Aria, spazio, terra, mare. E cyberspazio. Anni fa la Nato lo ha decretato come quinto dominio di guerra che, non contemplando limiti e confini giuridici, ha un campo di battaglia molto più esteso di quello in cui si gioca lo scontro reale. Non fa eccezione il conflitto in corso tra Russia e Ucraina, che si è già configurato come ibrido: ad azioni militari si sono aggiunte le strategie di una guerra cibernetica, supportata dalla diffusione di fake news.
Con un raggio di propagazione maggiore che in passato le notizie, false o partigiane, non si limitano al perimetro della propaganda più o meno ufficiale ma vengono create e diffuse da vere e proprie fabbriche in grado di fare dei social, tra cui Telegram e Twitter, l’ennesimo teatro di guerra. Infatti l’utilizzo di bot farm, account falsi in grado di far circolare notizie non veritiere per manipolare il sentiment, hanno messo piede in Ucraina prima delle truppe: solo lo scorso febbraio lo stesso Paese, oggi colpito anche fisicamente, ha dichiarato di aver eliminato una presunta bot farm russa con 18mila account falsi all’attivo.
Ad accelerare il conflitto tra Russia e Ucraina nel quinto dominio e a renderlo noto all’opinione pubblica, il coinvolgimento del più grande gruppo hacker al mondo, Anonymous, che con un attacco mirato attraverso tecniche di DDOS (Distributed Denial of Service), ha colpito i siti web di Duma e Cremlino rendendoli irraggiungibili. Stessa sorte toccata al sito del Ministero dell’Energia russo e a decine di altri website sia governativi che di importanti aziende russe.
Ma quanto successo negli ultimi giorni nel conflitto tra Russia e Ucraina, non è che un nuovo capitolo di una guerra cominciata ben prima: nelle scorse settimane si è assistito ad un’ondata di attacchi DDoS e defacement contro siti governativi istituzionali e di banche ucraine, fortunatamente con nessun impatto diretto sulla popolazione. E, tornando indietro di qualche anno, ricordiamo gli attacchi informatici russi con obiettivo la rete elettrica ucraina durante la stagione invernale nel 2015 e nel 2016 (BlackEnergy) l’offensiva di NotPetya nel 2017.
Volendo fare una previsione, per quanto possibile in un momento di tale instabilità, possiamo ipotizzare l’arrivo di attacchi malware che, con obiettivo una infrastruttura critica, potrebbero essere estremamente rischiosi per la popolazione. Gli esempi sono di facile immaginazione: basti pensare al danno causato da un’interruzione più o meno prolungata dell’erogazione di servizi essenziali. Ma non solo. Se era già noto che “il battito di una farfalla può generare un uragano nell’altra parte del mondo”, abbiamo scoperto con la pandemia il grado di interconnessione con le economie degli altri Paesi: un attacco al branch di un’azienda con filiali in diversi Paesi, rischia perciò di colpire più Stati in una reazione a catena infinitamente più pericolosa.
È stato il caso del malware NotPetya, diretto ai sistemi ucraini ma diffusosi poi in tutto il mondo, tra cui l’Italia.
L’efficienza cyber è ormai a tutti gli effetti un’arma di cui dotare il proprio arsenale. Viceversa, è sempre più necessario alzare l’attenzione preparando una difesa su più fronti.
Il CSIRT italiano (Computer Security Incident Response Team) ha raccomandato di implementare urgentemente gli indicatori di compromissione relativi ad un malware di tipo “wiper” – denominato HermeticWiper (alias KillDisk.NCV) – le cui peculiarità consistono nel distruggere intenzionalmente i dati presenti su un dispositivo al fine di renderli irrecuperabili, minando il corretto funzionamento del sistema operativo in esecuzione – e di elevare il livello di attenzione adottando, in via prioritaria, le azioni di mitigazione individuate.
Se intanto abbiamo assistito ad attacchi intimidatori per un gioco di affermazione della propria forza, nel caso in cui il conflitto tra Russia e Ucraina si amplifichi, si amplificherà con ogni probabilità anche la gravità degli attacchi. La raccomandazione per le aziende è di innalzare il livello di attenzione. Come? È bene assicurarsi che i propri sistemi abbiano una corretta gestione delle patch contro le vulnerabilità dando priorità ai sistemi esposti includendo web mail, VPN e sistemi di accesso remoto. Bisogna prepararsi contro attacchi mirati alla distruzione dei dati disponendo di backup fuori linea e assicurarsi di testare i piani di recovery che coprano tutti gli oggetti di business. Bisogna essere reattivi: è necessario individuare figure chiave in tutte le aree dell’organizzazione e definire metodi di comunicazione testati. Inoltre, evitare qualsiasi servizio e navigazione non necessaria per il business.
È necessario dunque un alto livello di attenzione e non sottovalutare la possibile propagazione, e quindi il possibile impatto, di una cyber warfare nel mondo.
di Mirko Gatto, CEO di Yarix, divisione Cyber Security di Var Group
