L’invasione dell’Ucraina è stata seguita da una netta presa di posizione di gruppi di hacktivisti, in primis Anonymous, che hanno dichiarato una vera e propria guerra cyber al Cremlino. Gli attacchi cibernetici che hanno colpito infrastrutture e aziende russe, tuttavia, mettono in luce le capacità di tali gruppi e fanno (ri)emergere alcune problematiche del cyberspazio che gli Stati non possono ignorare.
Il 24 febbraio scorso, all’indomani dell’invasione russa dell’Ucraina, il gruppo di hacktivisti Anonymous ha dichiarato guerra a Mosca attraverso un Tweet. Non – ovviamente – mediante il dispiegamento di forze militari, ma con l’utilizzo di armi cibernetiche per condurre attacchi contro le infrastrutture critiche. Alla “dichiarazione di guerra”, infatti, hanno fatto seguito numerosi attacchi Distributed Denial of Service (DDoS) che hanno visto come vittime siti governativi, quali quelli del Cremlino e del Ministero della Difesa, e la tv di stato Russia Today. Successivi attacchi hanno preso di mira aziende strategiche russe, come la multinazionale Gazprom, ma anche infrastrutture bielorusse, quali il sistema ferroviario nazionale e i siti di alcune banche.
Queste azioni sono state accolte con grande favore su tutti i social network. Tuttavia, bisogna tenere in considerazione due elementi, prima di esaltare un gruppo di hacktivisti per le azioni compiute. Innanzitutto, Anonymous non opera secondo logiche statuali ed è un gruppo (o più gruppi) di individui che agisce per motivi non sempre ben identificati. Secondo poi, la moltiplicazione degli attori nel cyberspazio, fenomeno che in questo momento è particolarmente visibile, non è un bene. Il basso costo di entrata nel dominio cyber fa sì che qualunque individuo o gruppo possa rappresentare una minaccia. Le armi cibernetiche, infatti, sono sempre più diffuse e meno costose. Non a caso, la Relazione annuale del Comparto Intelligence ha messo in luce la preoccupante crescita del Ransomware-as-a-Service (RaaS), ovvero la possibilità di acquistare ransomware nel dark web da poter utilizzare per sferrare attacchi (potenzialmente) contro chiunque. La moltiplicazione degli attori nel cyberspazio è stata favorita anche dalla chiamata alle armi (cyber) da parte del Vice Primo Ministero ucraino e Ministro per la Transizione Digital, Mykhailo Fedorov, che il 26 febbraio ha annunciato la creazione dell’IT Army of Ukraine, un esercito di hacker volontari che sta accorrendo in difesa dell’Ucraina attraverso attacchi cibernetici contro la Russia.
Sebbene molti analisti, anche in seguito all’intensificazione delle attività ucraine nel cyberspazio, abbiano parlato di una cyber war, lo strumento informatico è stato utilizzato finora come fattore abilitante delle operazioni cinetiche ed è pertanto sbagliato parlare di guerra cibernetica, come evidenziato dal Prof. Luigi Martino, direttore del Center for Cyber Security and International Relations Studies dell’Università degli Studi di Firenze. Inoltre, gli attacchi finora condotti non hanno avuto effetti distruttivi tali da far pensare che il cyberspazio possa avere un ruolo rilevante nel conflitto. Mosca ha condotto finora degli attacchi a bassa intensità perché sa che una campagna cyber più ampia e disruptive potrebbe causare un effetto spillover e colpire anche i paesi della NATO. Questi, in tal caso, potrebbero avvalersi dell’articolo 5 del Trattato Nord Atlantico, secondo cui un attacco contro uno degli Stati membri deve essere considerato come un attacco a tutta l’Alleanza e quindi giustificare un intervento armato contro l’aggressore (la Russia).
La risposta dei paesi occidentali è emblematica in questo senso. Agli attacchi russi all’Ucraina, infatti, né l’UE, né la NATO hanno minacciato o messo in atto azioni di retaliation nel cyberspazio. L’approccio è stato, invece, di tipo difensivo, attraverso il rafforzamento delle infrastrutture digitali nazionali e l’invio di esperti per aiutare l’Ucraina a prevenire e mitigare gli effetti di futuri attacchi. È proprio in questo vuoto che si è inserita l’azione di Anonymous e di altri attori, quali i Belarusian Cyber Partisans, che già a gennaio avevano annunciato di aver hackerato la rete ferroviaria bielorussa per sabotare il dispiegamento di truppe russe nel Paese. Questo fenomeno pone due ulteriori problematiche, nello scenario attuale. Da un lato, dato l’approccio difensivo dell’Occidente, la Russia potrebbe sentirsi legittimata a compiere attacchi cibernetici di più ampia portata, senza dover temere una risposta concreta, se non da gruppi di hacktivisti che non hanno le capacità offensive di uno Stato. Dall’altro lato, l’azione di tali attori in difesa dell’Ucraina potrebbe legittimarli agli occhi dei cittadini, che non li vedrebbero più come un pericolo. La moltiplicazione degli attori, unita alla legittimazione di alcuni di loro, potrebbe portare, nel prossimo futuro, a un’escalation di attività criminali nel cyberspazio, ai danni di tutti gli Stati, non solo della Russia.
Secondo Pierluigi Paganini, CEO di Cybhorus ed esperto di cybersecurity ed intelligence, “i dati trafugati dai gruppi di hacktivisti e resi disponibili online potrebbero essere utilizzati da molteplici attori malevoli per sferrare ulteriori attacchi contro aziende multinazionali ed infrastrutture critiche nelle prossime settimane.
Per una comprensione più profonda della complessità dello scenario attuale è molto utile l’analisi condotta da CyberKnow. Accanto ad attori nation-state troviamo differenti gruppi di attivisti, molti affiliati ad Anonymous, assieme a gruppi criminali di alto profilo”.
Secondo l’analisi, sono numerosi i gruppi, tra cui attori state-sponsored e ransomware gangs, che hanno dichiarato il proprio sostegno a Mosca. Il gruppo Conti, ad esempio, ha dichiarato che se i Paesi occidentali prenderanno di mira infrastrutture critiche della Russia o di altri Paesi russofoni, userà tutte le sue risorse per compiere azioni di retaliation per tutelare “il benessere e la sicurezza dei cittadini pacifici”. Il rischio di un’escalation di attività criminali è quindi concreta, sebbene gli attacchi perpetrati finora non abbiano prodotto danni notevoli.
I due schieramenti nel cyberspazio sono – quindi – così delineati: Anonymous in difesa dell’Ucraina e Conti a “protezione” delle infrastrutture russe. Dietro queste “maschere” potrebbero nascondersi, però, Stati Uniti e Russia. Secondo Paganini “un ulteriore elemento da considerare è la possibilità che attori nation-state di terze parti potrebbero sfruttare gli attacchi di Anonymous per muovere operazioni sotto copertura o false flag. Gruppi cyber di altri governi potrebbero aggregarsi ed utilizzare gli attacchi di Anonymous come schermo per ulteriori operazioni di ricognizione ed attacco, il tutto rendendo impossibile l’attribuzione dell’offensiva e quindi eludendo sanzioni internazionali. Inoltre, la pressione posta sulle infrastrutture russe potrebbe aver indebolito le difese e potrebbe aprire le porte a devastanti offensive. Anche per questo motivo, nelle ultime ore si parla insistentemente di un piano di Mosca di disconnessione da Internet.”
“Infine” – evidenzia Paganini – “numerosi sono stati gli attacchi a elementi chiave della propaganda Russa, ovvero le reti TV e radio nazionali. Sono stati compromessi i servizi di streaming di importanti aziende russe, l’equivalente di Netflix, con l’intento di diffondere video delle sofferenze patite dagli ucraini a seguito della violenta invasione. Immagini che non accessibili ai russi oggetto di censura dalle autorità locali e per questo motivo potrebbero avere effetti destabilizzanti sul contesto interno.”
Seppur oggi Anonymous può rappresentare uno “strumento” attraverso cui colpire la Russia, bisogna tenere conto della natura del gruppo. In passato, numerose infrastrutture critiche sono state attaccate dal gruppo di hacktivisti. Nel 2012, il sito di Trenitalia è stato hackerato in segno di protesta contro la cancellazione di alcuni treni Intercity Notte. Nel 2013, vengono resi pubblici numerosi documenti del Ministero dell’Interno, trafugati da Anonymous. Nel marzo 2016, l’#OpSafePharma ha avuto come target numerose infrastrutture legate alla Sanità italiana, tra cui il Ministero della Salute, l’Istituto Superiore di Sanità e la Croce Rosse Italiana.
Sebbene non sia in atto una guerra cibernetica, gli Stati devono tenere in considerazione i rischi insiti nel lasciar agire liberamente tali gruppi, che operano secondo logiche criminali o di attivismo. I casi passati dimostrano la capacità e la volontà di tali attori di colpire infrastrutture critiche in qualsiasi momento. Piuttosto che paventare una Cyber Pearl Harbor, i governi occidentali dovrebbero preoccuparsi dell’approccio di persistent engagement adottato da una molteplicità di attori non statali, volto a creare maggiore instabilità in un dominio così complesso come quello cibernetico.
