Esclusiva

Maggio 2 2022
Il virus della guerra. Il report di Microsoft sui cyber attacchi russi

Il report «Special Report: Ukraine. An overview of Russia’s cyberattack activity in Ukraine» pubblicato il 27 aprile 2022 traccia una cronistoria intrecciata delle azioni militari e informatiche prima e dopo lo scoppio del conflitto

ACTINIUM, NOBELIUM, BROMINE, STRONTIUM, SEABORGIUM e DEV-0257. Non sono i principi attivi di farmaci in commercio, ma i nomi di collettivi informatici individuati dal monitoraggio di Microsoft sugli attacchi cyber correlati alla guerra in Ucraina. Il report «Special Report: Ukraine. An overview of Russia’s cyberattack activity in Ukraine» pubblicato il 27 aprile 2022 traccia una cronistoria intrecciata delle azioni militari e informatiche prima e dopo lo scoppio del conflitto.

È l’inizio del 2021. Le truppe russe iniziano a muoversi verso il confine con l’Ucraina. NOBELIUM e DEV-0257, due threat actors russi, gruppi organizzati di cyber attentatori, lanciano campagne di phishing contro obiettivi in grado fornire informazioni sui partenariati militari e stranieri dell’Ucraina. A metà del 2021 Microsoft osserva una serie di attacchi informatici, volti ad assicurarsi l’accesso e un posizionamento strategico in rete in vista di future incursioni contro l’Ucraina e i suoi partner NATO, ai danni dei fornitori della catena di approvvigionamento del Paese.  Nei mesi successivi a essere presi di mira da altri threat actors saranno i sistemi di gestione delle risorse del Ministero della Difesa ucraino, le organizzazioni che si occupano di comunicazione e trasporti, nonché quelle fornitrici di energia e servizi IT. 

A finire invischiati nell’imboscata cyber sono anche aziende di consulenza militare e organizzazioni umanitarie di paesi occidentali, specie di quelli NATO. È a loro che si è rivolto il 93% di tutta l’attività di attacco sostenuta dalla Russia. «Al di là del più ampio valore derivato da quelle che sembrano essere le tradizionali operazioni di spionaggio, l’accesso persistente alle organizzazioni di politica estera negli Stati membri della NATO potrebbe fornire alla leadership russa informazioni continue su cosa aspettarsi dall’Occidente in risposta alle azioni militari in Ucraina», scrive Microsoft nel report. 

Con lo sfumare degli sforzi diplomatici per allentare le tensioni sul confine, i threat actors hanno sferrato attacchi malware contro le organizzazioni ucraine. DEV-0586 ha lanciato WhisperGate5, un malware wiper, che ha cancellato estensioni mirate di file e manipolato una parte dell’hardware, il Master Boot Record, che rende inutilizzabili alcune macchine necessarie al funzionamento di sistemi governativi e del settore IT. La distruttività dell’assalto ha impattato su un numero limitato di sistemi, ciò lascia pensare che si sia trattato di un’azione ricattatoria finalizzata a ottenere concessioni dal governo Zelensky. 

Alla vigilia del conflitto è stata la volta del malware FoxBlade6, potenziato e lanciato dal collettivo IRIDIUM. Ad essere messi fuori gioco in questo caso sono stati, si legge nel report, «circa 300 sistemi in più di una dozzina di organizzazioni del settore governativo, IT, energetico, agricolo e finanziario». 

Il virus della guerra. Il report di Microsoft sui cyber attacchi russi
Special Report: Ukraine. An overview of Russia’s cyberattack activity in Ukraine (Microsoft, 27/04/2022)

È il 24 febbraio 2022, l’esercito russo invade l’Ucraina. Azioni dei threat actors a sostegno degli obiettivi strategici e tattici delle forze armate di Putin vengono registrati dalla Microsoft. Nonostante non si possa parlare di un indiscutibile coordinamento tra le operazioni informatiche e quelle militari, l’aggressione parallela armata e cibernetica evidenzia, quantomeno, un insieme condiviso di priorità tra l’esercito e i collettivi. Le operazioni informatiche si sono dimostrate, secondo il report, «coerenti con le azioni volte a degradare, interrompere o screditare il governo ucraino, le funzioni militari ed economiche, garantire punti d’appoggio nelle infrastrutture critiche e ridurre l’accesso del pubblico ucraino alle informazioni».

La mappa mostra come alte concentrazioni di aggressioni in rete si sovrappongano a combattimenti ad alta intensità durante le prime settimane dopo l’invasione. 

Il virus della guerra. Il report di Microsoft sui cyber attacchi russi
Special Report: Ukraine. An overview of Russia’s cyberattack activity in Ukraine (Microsoft, 27/04/2022)

Il controllo delle comunicazioni

Sin dallo scoppio del conflitto il primo comparto verso cui si è diretta l’attività di attacco informatico è stato quello dell’informazione. Un modus operandi che rimarca, se ancora ci fosse bisogno di specificarlo, che la guerra in Ucraina è ibrida e si combatte anche sul fronte informativo. Il 27 febbraio, tre giorni dopo l’invasione, le truppe russe sono entrate nella città di Berdyansk, nel sud del Paese, e hanno occupato la torre della Tv, interrompendo tutte le trasmissioni e dichiarando in tal modo la centralità nel conflitto del controllo delle informazioni. Pochi giorni dopo, il 1 marzo, un attacco missilistico è stato diretto contro la torre della Tv di Kiev. Negli stessi momenti il malware DesertBlade è stato lanciato contro un’importante società di trasmissioni. L’offensiva informatica contro le aziende di media digitali è continuata anche nel periodo successivo fino al gravissimo attacco subito da Ukrtelecom, la fornitrice leader nel settore delle telecomunicazioni di linea fissa, nella quinta settimana di guerra (24-30 marzo). 

Centrali nella strategia russa si sono rivelati gli attacchi informatici mirati a destabilizzare l’opinione pubblica ucraina e mondiale circa l’affidabilità del governo guidato da Volodymyr Zelensky, allo scopo di indebolire la capacità di resistenza del nemico. «Mentre le unità militari catturavano le centrali nucleari e i media militari e statali russi facevano leva sulla disinformazione riguardo la possibilità che l’Ucraina stesse lavorando per creare armi chimiche e biologiche, i threat actors hanno condotto operazioni per rubare dati dalle organizzazioni del settore nucleare che avrebbero potuto supportare tali sforzi» riporta Microsoft nel rapporto. 

All’inizio del mese di marzo il collettivo IRIDIUM si è introdotto nei sistemi di un istituto di ricerca ucraino coinvolto in passato in false cospirazioni russe che gli attribuivano la volontà di creare armi nucleari. FSB BROMINE, invece, ha rubato i dati di un’organizzazione per la sicurezza nucleare. Tutto questo mentre l’esercito russo si impadroniva delle centrali nucleari di Chernobyl e Zaporizhzhia dimostrando «un chiaro interesse militare per i target energetici nucleari».

I cyber attacchi russi all’economia e al governo Zelensky

I threat actors hanno preso di mira anche l’economia ucraina tentando di fiaccarla per ottenere i risultati militari sperati nel minor tempo possibile. Nella prima settimana di guerra IRIDIUM ha immesso nella rete di un’azienda agricola, tra le prime in Ucraina nella produzione di grano, una delle principali merci di esportazione della nazione, un file encryptor con grandi potenzialità, distruttive per il futuro. Lo stesso threat actor, nella quarta settimana del conflitto (17-23 marzo), ha attaccato la rete di un’azienda di servizi logistici con sede nella parte occidentale del paese coinvolta nel trasporto di forniture, militari e umanitarie, nei punti caldi del conflitto. 

Un altro metodo utilizzato da questi gruppi di attentatori informatici per fiaccare l’Ucraina è stato quello di minare la fiducia e la credibilità delle istituzioni attraverso la compromissione dei siti istituzionali. Non solo, DEV-0586 ha inviato a numerosi indirizzi di posta elettronica un messaggio nel quale, fingendo di essere un residente di Mariupol, ha incolpato il governo ucraino per averli abbandonati durante l’assedio della città.  L’e-mail non conteneva allegati o link dannosi che potessero far dubitare il ricevente delle reali intenzioni di circuizione. 

Le contromisure adottate da Microsoft

L’azienda fondata da Bill Gates, per sua stessa ammissione, ha «costantemente agito per informare le organizzazioni e le imprese minacciate o attaccate. All’inizio della guerra, sono stati utilizzati i canali di comunicazione concordati con i funzionari della sicurezza informatica del governo ucraino per fornire informazioni sulle minacce in tempo reale e una guida che sostenesse gli sforzi delle organizzazioni ucraine per trovare e sconfiggere gli attacchi informatici». L’azione di monitoraggio è proseguita con l’evolversi degli eventi militari e l’affinamento dei metodi di intrusione nelle reti informatiche e con essa sono aumentati l’impegno e l’attenzione nel contrasto agli attacchi russi.

Leggi il report QUI

Articolo di Giulia Moretti, studentessa del Master in Giornalismo e Comunicazione Multimediale dell’Università Luiss Guido Carli.