L'invasione dell'Ucraina da parte della Russia ha visto, per la prima volta nella storia dei conflitti, l'impiego intensivo di attacchi informatici. Tale fenomeno ha trasformato il panorama bellico tradizionale, sollevando molti interrogativi. Analizziamo insieme la guerra cibernetica ibrida, in cui le forze coinvolte si alternano tra campi di battaglia tradizionali e una nuova dimensione digitale.
Il periodo prebellico in Ucraina: quale ruolo occupa la cibernetica nei conflitti armati?
In altre parole: da quando il cyberspazio è diventato terreno di operazioni militari? Come spesso accade, la storia ci fornisce le risorse necessarie per comprendere il contesto e, in questo caso, la natura senza precedenti di questa guerra informatica. Per analizzare i primi approcci al cyberspazio bisogna risalire agli anni Ottanta e Novanta del ventesimo secolo. Ma ciò che caratterizza questo periodo è piuttosto il divario tra la realtà dell'impatto di tali operazioni e l'immaginario che ruota attorno ad esse. “All'epoca, alcuni analisti sostenevano che era ormai possibile mettere in ginocchio intere popolazioni semplicemente brandendo uno strumento informatico“, afferma con un pizzico di ironia Pierre-Olivier Kaplan, ingegnere R&S del team Stormshield Cyber Threat Intelligence. Una visione piuttosto apocalittica, distante anni luce dalla portata limitata degli attacchi informatici del periodo, permeata da una palpabile psicosi che si riflette vividamente nella narrazione del celebre millennium bug. “La Pearl Harbor cibernetica non è mai avvenuta“, aggiunge l'esperto. In seguito, però, la situazione è cambiata, culminando in attacchi informatici su larga scala. Prendendo di mira infrastrutture critiche e sensibili, il loro impatto può essere misurato a livello internazionale, come nel caso dell'Estonia nel 2007, dell'india nel 2009, dell’Iran nel 2010 con Stuxnet, dell'Ucraina (già) nel 2015 e nel 2017 con i malware Black Energy, CrashOverride e Triton, e della Corea del Sud nel 2018 con Olympic Destroyer. Nonostante una serie di indizi riconducano ad alcune forze governative, questi attacchi non sono stati attribuiti ufficialmente. Tuttavia, presentano un elemento comune (con l'eccezione dell'Olympic Destroyer), come spiega Sébastien Viou, responsabile di Sicurezza informatica e Gestione dei prodotti di Stormshield: “L'obiettivo principale di questi attacchi informatici è senza alcun dubbio l'energia: tagliare le risorse di un Paese ed esasperare la popolazione. L'arma cibernetica qui non è progettata per uccidere, ma per rendere la vita precaria, persino insostenibile.“ È quindi corretto considerare un attacco informatico come un atto di guerra? “In pratica sì, ma da un punto di vista puramente semantico no“, afferma Pierre Olivier Kaplan. “Ancora una volta, risulta estremamente arduo individuare con precisione l'origine degli attacchi informatici, specialmente perché nessuno Stato ha mai dichiarato apertamente di esserne responsabile.“
Un gioco di potere? Obbligo di riservatezza? Protezione degli equilibri internazionali? Per Pierre-Olivier Kaplan, l'assenza di rivendicazioni si spiega con la natura poco chiara di questo tipo di attacchi, che non appartengono ufficialmente alle dottrine militari tradizionali, ma al tempo stesso presentano i tratti distintivi di metodi associati a determinati Stati. Secondo lui, è proprio a partire dal conflitto russo-georgiano del 2008 che gli attacchi informatici sono stati utilizzati per sostenere le operazioni militari. “A questo proposito, il caso della Georgia nel 2008 è emblematico. La modalità di invasione dei siti web governativi con ingenti attacchi DDoS reca in sé l'impronta della Russia. Tuttavia, i servizi russi non hanno mai rivendicato ufficialmente le responsabilità di questa intrusione, che ha paralizzato alcuni siti sensibili del Paese, perché ciò avrebbe portato all'ufficializzazione delle pratiche di alcuni gruppi hacktivisti indipendenti.“ Si tratta, in effetti, di satelliti dei servizi russi, anche se non integrati nelle istituzioni militari ufficiali, che operano in una zona grigia geopolitica non ancora esplorata. Durante il suo intervento alla FIC 2021 in Francia, l'allora Ministro della Difesa, Florence Parly, ha parlato di una “guerra fredda nel cyberspazio“ e delle relative problematiche: “A differenza di quella del passato, che aveva i suoi meccanismi di de-escalation volti a evitare uno scenario da apocalisse nucleare, una nuova guerra fredda cibernetica, che coinvolga Stati o attori non governativi, non sarebbe certamente disciplinata dai medesimi vincoli. Non esiste un telefono rosso cibernetico. Anzi, c’è una certa riluttanza nel definire le regole del gioco per il confronto nel cyberspazio. Potremmo quindi trovarci di fronte a un'escalation rapida e incontrollata, che porterebbe a crisi senza precedenti e ad effetti a cascata imprevisti.“
Una cyberguerra ibrida: cibernetica e fisica
Conflitto digitale, guerra informatica, di movimento o informatica: come descrivere la guerra in Ucraina? Le definizioni variano a seconda degli interlocutori. Ufficialmente, la guerra è stata descritta come cibernetica dal Generale Maggiore Aymeric Bonnemaison, comandante della difesa informatica francese, in occasione di una riunione del Comitato di Difesa Nazionale e delle Forze Armate nel dicembre 2022: “In Ucraina, ha avuto luogo una vera e propria guerra cibernetica“.
A prescindere dalla terminologia, il conflitto russo-ucraino segna una novità nell'uso delle armi informatiche, poiché si differenzia dal conflitto russo-georgiano per la diversificazione delle tattiche di attacco informatico a sostegno delle operazioni belliche. O persino per finanziarne una parte...“Negli ultimi anni abbiamo assistito a una crescita esponenziale degli attacchi ransomware“, afferma Sébastien Viou. “È risaputo che dietro a gran parte di essi si celano gruppi di matrice russa e che vi sono connessioni tra questi e lo Stato russo. Ma c'è solo una possibilità, che purtroppo non saremo mai in grado di verificare, che si tratti di una preparazione finanziaria alla guerra.“ Secondo Pierre-Olivier Kaplan, “in questo conflitto possiamo distinguere quattro tipi ricorrenti di operazioni informatiche: distruzione, interruzione, spionaggio e condizionamento“. La prima comporta la distruzione delle infrastrutture, dai semplici server informatici a interi impianti elettrici. L'interruzione consiste nel moltiplicare gli attacchi DDoS per neutralizzare determinate infrastrutture per un determinato periodo di tempo. Più tradizionalmente, lo spionaggio si basa sulla raccolta di informazioni sensibili. Infine, il condizionamento consiste nel manipolare le opinioni attraverso i social network, utilizzando bot e troll. Quattro modalità per destabilizzare uno Stato nel mondo virtuale. La guerra russo-ucraina segna quindi un punto di svolta in questa corsa alle armi informatiche.
“Secondo gli strateghi del Cremlino, la guerra avrebbe dovuto consistere in un attacco lampo, della durata di sole tre settimane“, afferma Pierre-Olivier Kaplan. Tanto che all'inizio del conflitto, la maggior parte delle aggressioni cibernetiche registrate provenivano da “gruppi di partigiani informatici che non avevano molte interazioni con i quartieri generali fisici dello schieramento russo“. In quel frangente, la correlazione tra la guerra fisica di movimento e la guerra condotta nel cyberspazio era limitata. Solo alla fine del 2022, a seguito della situazione di stallo da parte dei russi, il volume degli attacchi informatici è aumentato in modo significativo. In particolare, stiamo assistendo a un aumento delle operazioni di interferenza delle onde per contrastare l'impiego dei droni militari. E il coordinamento tra il fronte fisico e quello cibernetico diventa una strategia che paga. “Questa completa ibridazione tra la guerra di trincea, che rimanda ai giorni bui del conflitto mondiale del '14-'18, e la guerra tecnologica, basata sugli attacchi e lo spionaggio informatici, è uno dei punti salienti di questo conflitto“, aggiunge Sébastien Viou. Contestualmente, nell'aprile del 2022, si è aperto un altro fronte: la guerra dell'informazione. Il ritrovamento di una fossa comune nella città di Boutcha, che era stata occupata dalle forze russe, ha fatto sì che i massacri perpetrati sulla popolazione civile venissero ampiamente riportati dalla stampa internazionale. La Russia è stata così messa sotto pressione dai media per presentare un contro-discorso che evidenziasse gli abusi commessi dall'esercito ucraino. Una controffensiva propagandistica indispensabile in un momento in cui la sensibilità dell'opinione pubblica internazionale può indurre un governo a cambiare la propria strategia militare. In definitiva, queste tre forme di guerra - militare, cibernetica e di informazione - sono collegate in modo permanente.
Le forze informatiche coinvolte
La guerra in Ucraina rappresenta un'opportunità per i gruppi di hacktivisti per indirizzare le loro attività in modo trasversale, sia che lavorino per conto dello Stato russo sia che difendano gli interessi ucraini. Con il cyberspazio che funge da nuovo campo di battaglia, diversi gruppi di hacktivisti hanno dichiarato esplicitamente la propria appartenenza politica.
E nel quadro di questo conflitto, quali sono le (principali) forze coinvolte? Nel rapporto di febbraio 2023 della società Thalès, si sottolinea che “i belligeranti filorussi adottano una serie di strategie, che vanno dalla distruzione informatica mirata fino alla persecuzione informatica su vasta scala. In particolare, gli hacktivisti utilizzano attacchi Denial of service (DDoS) per raggiungere i loro obiettivi.“ Questi metodi “contribuiscono ad alimentare le procedure russe di guerra d'informazione che mirano ad indebolire le organizzazioni private e pubbliche“. Dal canto suo, Sekoia.io rileva l'esplicita collaborazione di alcuni gruppi di hacktivisti con i servizi segreti del Cremlino. Un'affiliazione diretta che rende la guerra in Ucraina unica nel suo genere. Secondo gli esperti dell'ENISA, i gruppi di hacktivisti “hanno scelto di schierarsi“, con quasi 70 organizzazioni coinvolte, tra cui l'Armata Informatica Russa, che supporta apertamente i filorussi. Inoltre, talvolta si osserva un notevole grado di sofisticazione nelle loro operazioni. Il sito francese Numerama rileva la presenza del gruppo d'attacco pro-russo Conti, che è stato rapidamente scoperto e contrattaccato dagli ucraini. Ma anche i potenti Killnet e NoName, considerati controllati dallo Stato russo. Questi gruppi consolidati operano parallelamente a piccole realtà isolate che, spinte dal patriottismo, intraprendono azioni di attacco in modo indipendente. “Sono veri e propri pirati del cyberspazio“, osserva Pierre-Olivier Kaplan, che agiscono in modo indipendente. L'esercito del Cremlino può contare anche sul supporto di agenzie statali, “come l'SVR, il servizio di intelligence straniero, e il suo braccio informatico, che svolgono le cosiddette operazioni di interruzione e supporto“, sottolinea l'esperto. “L'FSB, il servizio di intelligence nazionale, opera nel settore dello spionaggio militare, mentre il GRU, il servizio di intelligence interno all'esercito russo, è responsabile delle operazioni offensive con malware per distruggere i sistemi di difesa avversari“. La cooperazione tra questi tre servizi è un chiaro esempio di come la guerra informatica sia orchestrata direttamente dal governo russo.
Non appena è iniziata l'invasione, l'Ucraina ha reagito con la formazione dell'IT Ukrainian Army, un gruppo di volontari costituito sotto la supervisione dello Stato per lanciare attacchi informatici contro obiettivi russi. Esperto in materia di attacchi Denial of service (DDoS), questo gruppo svolge anche operazioni di intelligence per divulgare informazioni che potrebbero indebolire gli aggressori russi. Inoltre, può contare sul sostegno del gruppo Anonymous, che in un tweet del 24 febbraio 2022 si è dichiarato “ufficialmente in guerra con il governo russo“. Secondo le stime di EY, dall'inizio dell'offensiva, sono stati attaccati da questo gruppo internazionale di attivisti 2.500 siti web russi. “In Polonia, anche la Squad 303 ha sostenuto esplicitamente il fronte ucraino. Analogamente, in Bielorussia, un gruppo di cyber-partigiani che si oppone al governo filorusso sta difendendo gli interessi ucraini con operazioni di guerriglia informatica“, aggiunge Pierre Olivier Kaplan. Per ragioni storiche, anche gli Stati Uniti sono entrati in gioco molto presto, offrendo agli ucraini alcuni strumenti come l'accesso ai servizi Microsoft per rafforzare la sicurezza informatica delle infrastrutture critiche del Paese. Un intervento che avrebbe permesso, secondo l'esperto, di “evitare il peggio“. In particolare, l'assistenza statunitense ha contribuito a resistere all'attacco russo perpetrato con il malware Hermetic Wiper, che ha preso di mira server informatici, aziende governative e il satellite per telecomunicazioni KA-SAT nelle prime ore dell'invasione russa. È grazie a un'altra azienda americana, Starlink, che è stato possibile mantenere il collegamento satellitare in Ucraina in quelle settimane di destabilizzazione.
Il contributo dei gruppi ausiliari partigiani è stato quindi decisivo per sostenere le azioni informatiche di entrambe le parti. “Attenzione, però, a vigilare sull'affidabilità di tutti questi gruppi ausiliari“, insiste Pierre-Olivier Kaplan. “Per quanto riguarda i filorussi, l'ammutinamento guidato da Evgueny Prigogine, il defunto leader del gruppo Wagner, ha dimostrato quanto queste organizzazioni satellite siano capaci di ribellarsi.“
Il dopoguerra in Ucraina: ci saranno ripercussioni sui futuri conflitti?
Il concetto di resilienza è più che mai al centro di questi due anni di offensive russe in Ucraina. Finora l'esercito ucraino ha tenuto duro, anche se le ultime informazioni diffuse dall'intelligence militare norvegese indicano un'escalation del conflitto. Tuttavia, l'impatto più evidente riguarda l'integrazione delle operazioni e degli attacchi informatici nelle dottrine militari, come nel caso di l'attacco informatico degli Stati Uniti contro una nave militare iraniana sospetto spionaggio avvenuto all'inizio del 2024.
L'impiego di armi informatiche in questo conflitto evidenzia la scarsa trasparenza del contesto normativo nella guerra cibernetica. Questo perché una tale minaccia può causare danni considerevoli alle popolazioni civili, soprattutto nel caso di attacchi informatici mirati ad infrastrutture critiche. D'altra parte, gli aggressori informatici non sono tutelati dal punto di vista civile, sebbene non godano di uno status militare. Per quanto riguarda la classificazione dei loro atti, non è ancora chiaro: terrorismo? crimini di guerra? crimini contro l'umanità? Al di là della risposta a quest'ultima domanda, all'inizio di ottobre 2022 il Comitato Internazionale della Croce Rossa (CICR) ha pubblicato un elenco di regole volte a fornire un quadro migliore per i conflitti informatici. Parola d'ordine: limitare l'impatto sulle popolazioni civili. In totale, sono otto le regole o raccomandazioni per gli aggressori informatici: non condurre attacchi contro obiettivi civili; non utilizzare software malevoli o altri strumenti o tecniche che si propagano automaticamente e causano danni indiscriminati a obiettivi militari e civili; quando si pianifica un attacco informatico contro un obiettivo militare, fare tutto il possibile per evitare o limitare gli effetti che tale operazione potrebbe avere sui civili; non condurre operazioni informatiche contro strutture mediche e umanitarie; non condurre attacchi informatici contro risorse essenziali per la sopravvivenza della popolazione o che potrebbero liberare sostanze pericolose; non lanciare minacce di violenza per diffondere il terrore tra la popolazione civile; non incitare a violazioni del diritto umanitario internazionale; rispettare queste regole anche se il nemico le ignora. Queste regole cautelative possono essere applicate già oggi nel contesto dei numerosi conflitti armati che agitano il pianeta, la maggior parte dei quali ha ripercussioni nello spazio cibernetico, come nel caso del conflitto israelo-palestinese.
C'è quindi un prima e un dopo nel conflitto russo-ucraino. Il ricorso ufficiale alla cibernetica come arma da guerra ha aperto le porte a un potenziamento degli arsenali statali in termini di sicurezza informatica, sollevando la questione di una possibile cooperazione internazionale rafforzata nella lotta contro la criminalità informatica in tempi di guerra. Un nuovo conflitto richiede nuovi strumenti: dopo i consiglieri diplomatici, avremo presto anche quelli informatici?
