Nelle ultime 48 ore il mondo ha assistito a ciò che alcuni analisti prevedevano ormai da mesi: dopo aver riconosciuto le autoproclamate Repubbliche di Donetsk e Lugansk, Mosca ha avviato l’assedio militare dell’Ucraina, generando reazioni immediate da parte di tutti i governi occidentali.
La guerra cinetica che si sta combattendo in questo momento è stata preceduta, però, da diversi attacchi cibernetici ai danni dell’Ucraina. A gennaio, circa 70 siti governativi sono stati colpiti da un malware che ha fatto comparire sugli schermi dei computer la scritta “Abbiate paura e temete il peggio”. L’escalation militare è stata accompagnata da nuovi attacchi, questa volta di tipo Distributed denial-of-service (DDoS) ai danni di alcune agenzie governative e due tra le principali banche ucraine: Privatbank e Oschadbank.
L’invasione del paese è stata preceduta di poche ore da un ulteriore attacco ai danni dei sistemi informatici ucraini. Secondo gli esperti, Mosca avrebbe diffuso un malware di tipo wiper, ovvero finalizzato alla cancellazione dei dati, molto simile a quello che utilizzato per attaccare i siti governativi a gennaio.
La combinazione di operazioni offensive cinetiche e cibernetiche non è una novità per Mosca. Tant’è che molti analisti si sono chiesti, prima dell’invasione, se tali attacchi facessero parte di un copione già visto: un intervento massiccio nello spazio cibernetico a supporto di un intervento militare. Tuttavia, tali attività si sono concretizzate in attacchi al di sotto del livello del conflitto che non hanno prodotto danni significativi, come invece accadde nel 2017 nel caso di NotPetya. Nonostante ciò, gli attacchi hanno generato grande preoccupazione in tutto il mondo occidentale. Sono due gli scenari che i Paesi temono: il primo è un attacco cibernetico disruptive contro l’Ucraina che, come nel 2017, possa poi avere un riverbero internazionale e produrre danni in tutto il mondo. Non bisogna dimenticare che, come evidenziato dal Ministro degli Esteri ucraino, più di 100 aziende tra le Fortune 500, fanno affidamento almeno parzialmente su servizi IT ucraini.
Il secondo scenario è quello di un attacco diretto agli Stati Uniti o ai Paesi membri dell’UE, soprattutto in seguito alle sanzioni imposte, a cui Mosca potrebbe rispondere in modo asimmetrico, attraverso cyber offensive operations.
L’approccio difensivo dell’UE e dell’Italia
Già a gennaio, all’indomani degli attacchi ai siti governativi ucraini, provenienti da soggetti non identificati, l’Alto rappresentante dell’Unione per gli affari esteri e la politica di sicurezza, Josep Borrell, aveva annunciato una mobilitazione dell’UE per aiutare l’Ucraina ad affrontare ulteriori impatti cibernetici.
L’annuncio è stato seguito, negli scorsi giorni, dal dispiegamento del Cyber Rapid Response Teams (CRRTs) sviluppato nell’ambito del progetto Permanent Structured Cooperation (PESCO) e composto da 8-12 esperti di cybersecurity provenienti da Croazia, Estonia, Lituania, Olanda, Polonia e Romania. Il team sarà dotato di un cyber toolkit al fine di rilevare, riconoscere e mitigare le minacce cibernetiche. Gli esperti potranno fornire all’Ucraina, quindi, un aiuto concreto per incrementare il proprio livello di cyber defense e prevenire i rischi legati ad attacchi futuri.
Questo dispiegamento rappresenta una novità importante. È la prima volta, infatti, che viene utilizzata in ambito operativo, una capability sviluppata all’interno della PESCO. La scelta di fornire all’Ucraina un team di esperti è arrivata dopo che il Paese, il 18 febbraio, aveva richiesto un aiuto del personale militare UE per contrastare gli attacchi russi. La cooperazione dell’UE con l’Ucraina in ambito cyber non rappresenta una misura una novità dettata dalla crisi attuale. Già in passato l’Unione ha fornito le proprie competenze per addestrare il personale militare ucraino e aumentare le difese cibernetiche del Paese. Lo scorso settembre, si sono tenute a Kiev esercitazioni di cybersecurity finanziate dall’UE, proprio al fine di migliorare le capacità dell’Ucraina di prevenire e rispondere agli attacchi cibernetici. Lo scorso mese, poi, è stato annunciato un investimento di 31 milioni di euro, provenienti dall’European Peace Facility, per aumentare le difese cyber dell’Ucraina.
Mentre l’UE vara un pacchetto di sanzioni ai danni della Russia, l’Italia, attraverso l’Agenzia per la cybersicurezza nazionale, guidata dal Professor Roberto Baldoni, alza le difese cyber. Il timore è che, a causa delle sanzioni previste e del futuro dispiegamento di nuove truppe con la NATO, il Paese diventi un target molto appetibile per gli hacker russi state-sponsored. Non è un caso, che il Computer Security Incident Response Team (CSIRT) Italia abbia pubblicato delle misure per proteggere le infrastrutture digitali nazionali dai rischi derivanti dalla crisi ucraina. In particolare, il rischio cyber potrebbe derivare da “impatti collaterali a carico di infrastrutture ICT interconnesse con il cyberspazio ucraino, con particolare riferimento ad enti, organizzazioni ed aziende che intrattengono rapporti con soggetti ucraini e con i quali siano in essere interconnessioni telematiche.” L’avvertimento su una possibile escalation di attacchi cibernetici contro il Paese è stato lanciato anche da Franco Gabrielli, sottosegretario con delega ai Servizi, durante l’audizione al Comitato parlamentare per la sicurezza della Repubblica (COPASIR). La guerra ibrida messa in atto da Mosca, però, mette in luce una carenza nell’ordinamento italiano che, come evidenziato da Enrico Borghi, deputato Pd e membro del COPASIR, non fa rientrare gli attacchi cibernetici tra le minacce alla sicurezza nazionale. Questione già sollevata dall’Avv. Stefano Mele, partner e responsabile della cybersecurity dello Studio Gianni&Origoni, secondo cui l’attacco alla Regione Lazio ha rappresentato un caso emblematico di minaccia alla sicurezza nazionale, in quanto ha colpito un’infrastruttura critica del paese, causando l’interruzione dell’erogazione di servizi di primaria importanza.
USA: escalation militare nel cyberspazio?
Ben diversa, invece, potrebbe essere la risposta degli Stati Uniti. L’approccio USA, almeno fino al 2018, è stato quello della deterrence-by-denial, ovvero il rafforzamento delle reti informatiche del Paese per far desistere il nemico dall’attaccare. Dal 2018 in poi, gli Stati Uniti hanno adottato una postura più offensiva, mirando ad ottenere la superiorità nel cyberspazio e costringere il nemico alla difesa. Tuttavia, i recenti attacchi all’Ucraina, preceduti da attacchi alle infrastrutture americane (si veda il caso Colonial Pipeline), hanno messo in luce l’inconsistenza di tale approccio.
In seguito agli attacchi all’Ucraina, l’amministrazione americana ha allertato le aziende a rafforzare le proprie difese cyber attraverso l’adozione di misure tecniche e best practices. Già a inizio febbraio, tuttavia, il Presidente Biden aveva annunciato una “risposta” agli attacchi cibernetici. Questa difficilmente poteva concretizzarsi in offensive cyber operations, in quanto non vi era ancora la certezza che gli attacchi fossero opera di Mosca. Certezza che è arrivata nell’ ultima settimana, quando gli Stati Uniti e il Regno Unito hanno imputato al Glavnoe razvedyvatel’noe upravlenie (GRU), ovvero l’agenzia di intelligence militare russa, la responsabilità delle attività condotte ai danni dell’Ucraina.
L’invasione dell’Ucraina, però, ha cambiato le carte in tavola. Secondo fonti di intelligence, numerosi membri dell’apparato militare e dell’intelligence statunitense, hanno proposto a Biden l’utilizzo di cyberweapons in una misura mai vista prima. Tra le opzioni, infatti, vi sarebbero l’interruzione della connessione a Internet in Russia, l’interruzione dell’erogazione di energia elettrica e la manomissione degli scambi ferroviari per impedire a Mosca di rifornire le proprie truppe. Un approccio, questo, che rispecchia il concetto di deterrence by punishment, decisamente più efficace della deterrence by denial (approccio UE e Italia) in tale contesto, come affermato da Pierluigi Paganini – CEO di CYBHORUS – secondo il quale, tuttavia, “vi sono pochi spazi di azione per attività di deterrenza”.
Tuttavia, bisogna considerare una potenziale risposta della Russia, paese che, stando ai dati del Military Balance+, pubblicato dall’International Institute for Strategic Studies, dedica molte più forze militari degli Stati Uniti alle cyber offensive operations. È difficile prevedere se l’escalation militare cinetica verrà accompagnata da quella cibernetica. Secondo Pierluigi Paganini è certo, però, che “lo scenario che ci aspetta è caratterizzato da un incremento significativo di attacchi, che potrebbero derivare da un lato dalla circolazione incontrollata di codici malevoli e dall’altro da attacchi mirati di sabotaggio e spionaggio. In quest’ultimo scenario è lecito attendersi un aumento delle campagne di spionaggio indirizzate a paesi dell’alleanza NATO con l’intento di svolgere attività di intelligence per comprenderne le posizioni dei governi sull’evoluzione degli eventi in Ucraina e modulare la strategia militare in funzione delle informazioni emerse. Infine, non possiamo non considerare un aumento anche dovuto ad attività criminali che utilizzano il conflitto come esca per la diffusione di codici malevoli.”
