La cyberwar è fra noi, anche se non viene dichiarata o non ce ne accorgiamo: siamo pronti per un futuro di blackout nazionali e paralisi degli ospedali per colpa di attacchi cyber di potenze straniere?

Come rilevato anche dal DIS (Dipartimento delle Informazioni per la Sicurezza) nell’ultima relazione annuale al Parlamento, l’anno della pandemia di Covid-19 è stato caratterizzato da una minaccia cibernetica sempre più crescente e sofisticata.

La perdurante cyberwar combattuta fra attori statali ha visto una stratificazione di operazioni cibernetiche di varia natura, rivolte sempre più contro obiettivi critici, statali e non.

Operazioni cibernetiche in conflitti cinetici: il Nagorno-Karabakh.

Nel caso di conflitti cinetici, le operazioni nel dominio cyber hanno assunto soprattutto la natura di azioni complementari nella forma di hybrid warfare e campagne di disinformazione.

Il conflitto tra Armenia e Azerbaigian nel Nagorno-Karabakh, ad esempio, ha visto entrambi gli schieramenti impegnati sia in campagne social coordinate e mirate a influenzare l’opinione pubblica locale e internazionale, sia nell’utilizzo di attacchi APT (Advanced Persistent Threat) indirizzati a istituzioni governative e sistemi SCADA (Supervisory Control and Data Acquisition) di infrastrutture energetiche, in particolare turbine eoliche.

Come rilevato da Cisco Talos, attori ignoti sono riusciti ad attaccare con successo sistemi informativi del governo azero e sottrarre dati sensibili, tra cui alcuni passaporti diplomatici. Gli attaccanti hanno utilizzato un RAT (Remote Access Trojan) denominato “PoetRAT” per via dei riferimenti letterari di cui era disseminato il codice e che sono stati aggiornati nel corso del tempo unitamente ai protocolli utilizzati: ciò ne ha reso più difficile l’identificazione e dimostrato l’attenzione degli attori al controllo internazionale sul loro operato. Interessante notare come, stante la difficoltà se non l’impossibilità di attribuzione di tali attacchi, sia ragionevole ipotizzare che il dominio cyber abbia offerto agli stati alleati delle rispettive fazioni, con una dotazione cyber più avanzata, la possibilità di influenzare le sorti del conflitto pur non intervenendo militarmente.

Operazioni cibernetiche in tempo di pace

L’attacco a SolarWinds

Va riconosciuto, d’altronde, come la maggior parte degli attacchi avvenga al di fuori di conflitti dichiarati e con dinamiche che, malgrado sfuggano al tipico confronto diretto fra potenze, possono avere effetti anche più dirompenti. Nonostante le accuse alla Russia da parte del Governo USA, rimane incerta l’attribuzione dell’attacco alla società SolarWinds che, tramite la compromissione della supply chain del loro software di monitoraggio IT Orion, presumibilmente avvenuta circa un anno prima della rilevazione, ha permesso l’intrusione in diverse istituzioni pubbliche, agenzie governative statunitensi e aziende private in tutto il mondo. Pur non potendone definire con certezza portata, durata ed estensione, il presidente di Microsoft Brad Smith ha evidenziato che “dal punto di vista dell’ingegneria del software è probabilmente lecito ritenere che questo sia il più grande e sofisticato attacco che il mondo abbia mai visto” e che a suo dire potrebbe aver richiesto la partecipazione di oltre 1000 specialisti, dimostrando uno spiegamento di risorse tipico di un’entità statale. La stessa Microsoft ha visto sottrarsi porzioni di codice sorgente di Azure, Intune ed Exchange e ha suggerito l’adozione dell’approccio Zero Trust, in modo da evitare in futuro la propagazione degli attacchi e garantire la salvaguardia di dati e credenziali di accesso.

Il tentato attacco a un impianto idrico in Florida

I colpevoli non sono stati rintracciati neanche nel caso del recente attacco a un impianto di depurazione delle acque in Florida e la cui dinamica pone inquietanti interrogativi. L’assenza di un movente economico, dal momento che la manipolazione del livello di idrossido di sodio nell’acqua avrebbe potuto avere unicamente un esito nocivo se non letale per la salute dei cittadini, porterebbe a escludere un caso di cybercrime in favore di un’azione ostile di cyber warfare, verosimilmente perpetrata da un attore statale. Inoltre, l’attacco è stato portato avanti mediante intrusione nel software di controllo remoto TeamViewer, tramite cui un dipendente aveva accesso ai sistemi di regolazione dell’acqua: intrusione fortunatamente rilevata dagli operatori dell’impianto che hanno provveduto a ripristinare i corretti livelli della sostanza nell’acqua.

Inevitabile notare come un attacco del genere riproponga le due tematiche che hanno caratterizzato il 2020 pandemico: da un lato la nostra dipendenza dalle infrastrutture critiche e i danni derivanti da una loro compromissione o interruzione di fornitura, dall’altro l’uso massiccio e improvviso di tecnologie digitali senza i necessari adeguamenti di sicurezza, aumentando a dismisura la superficie d’attacco. Per evitare tale tipo di attacchi, nel corso degli anni sono state sviluppate configurazioni di tipo air-gap volte a tenere scollegati dalla rete i sistemi di controllo industriale e ridurre le possibilità di intrusione.

Le operazioni del GRU contro le infrastrutture critiche occidentali

Gli attacchi a infrastrutture critiche, in particolare reti elettriche, si sono susseguiti nel corso degli anni in un crescendo culminato con i noti attacchi alla rete Ucraina da parte dell’unità 74455, nota come “Sandworm”, appartenente alla Direzione Principale delle Informazioni russa (GRU). Lo scorso ottobre diversi membri dell’agenzia di intelligence del Cremlino sono stati ufficialmente accusati dal Dipartimento di Giustizia statunitense di essere legati a questi attacchi, mentre altri sono stati sanzionati dall’Unione europea per l’attacco informatico del 2015 al Bundestag tedesco in virtù del Cyber Diplomacy Toolbox.

Tuttavia, stando al rapporto annuale sullo stato della sicurezza dei sistemi di controllo industriale presentato dalla società di cybersecurity Dragos, gli attacchi vedrebbero coinvolti anche altre componenti dell’intelligence russa e avrebbero preso di mira infrastrutture critiche nel settore energetico anche negli Stati Uniti e nell’Europa occidentale nel corso degli ultimi anni. In particolare, Dragos sostiene che il gruppo comunemente noto come Sandworm sarebbe in realtà composto, o a ogni modo coadiuvato, da altri gruppi denominati “Kamacite” ed “Electron”, deputati rispettivamente a ottenere l’accesso ai sistemi e a rilasciare i payload malevoli. Tramite l’utilizzo di tecniche di spear-phishing sarebbero in grado di accedere a prodotti Microsoft quali Office 365 o l’Active Directory di Windows Server, ottenere credenziali utente valide e permanere nel sistema per le successive azioni di esfiltrazione o manipolazione dati.

Auspicabilmente, la proposta di revisione della direttiva NIS dell’Unione Europea, unitamente agli sforzi compiuti da parte della NATO per uniformare e rinforzare le capacità di sicurezza cibernetica dei paesi membri dell’Alleanza, permetteranno di porre un argine a questo tipo di attacchi che potrebbero neutralizzare infrastrutture fondamentali con effetti domino e danni incalcolabili per la collettività.

Leggi l’articolo completo