L’anno appena trascorso ha visto un vertiginoso incremento delle minacce e degli attacchi informatici, dovuto tanto alla pandemia di COVID, quanto alla crescente digitalizzazione della società. Come evidenziato dal report di Microsoft, rispetto al 2019 c’è stato un aumento quantitativo e qualitativo delle minacce. Gli attacchi, infatti, sono divenuti sempre più sofisticati, rendendo più difficile l’individuazione degli autori. Le potenze coinvolte maggiormente nell’escalation – il cui culmine è stato registrato nel mese di dicembre – di attacchi informatici del 2020, sono state Russia e Stati Uniti, ma anche Unione Europea, Israele, Iran e Cina. L’azione degli Stati è stata talvolta supportata da attori APT, Advanced Persistent Threat, che hanno applicato la strategia delle potenze nel cyberspazio. Riconosciuto nel 2016 come dominio operativo dalla NATO, il cyberspace ha acquisito, negli ultimi anni, una rilevanza geopolitica sempre maggiore. Non a caso, sono numerose le iniziative adottate da organizzazioni regionali come la NATO o sovranazionali come l’Unione Europea, che quest’anno ha presentato la Cybersecurity Strategy for the Digital Decade, volte a incrementare le capacità di cyber defence e di gestione delle crisi cibernetiche.
L’articolo è stato curato da Davide Lo Prete che partecipa alle attività di “Faro Atlantico – Osservatorio sulla difesa euro-atlantica” del Centro Studi e Alessia Sposini responsabile dell’area “Cyber e Tech” del Centro Studi.
Tensioni geopolitiche e cyberwarfare tra Israele e Iran
La digitalizzazione della società e dei settori produttivi implica, allo stesso tempo, un grande vantaggio e un elemento di vulnerabilità. Come sottolineato dall’analista dell’U.S. Naval War College, Jacquelyn Schneider, l’aumento delle capacità tecnologiche determina un incremento delle vulnerabilità, concetto riassunto nel capability-vulnerability paradox.
Questo è vero, in particolare, per le infrastrutture critiche, ovvero quei sistemi e quelle strutture essenziali per il mantenimento delle funzioni della società. L’implementazione di componenti tecnologiche in queste infrastrutture determina, quindi, una loro maggiore vulnerabilità ed esposizione ad attacchi cibernetici. L’attacco informatico perpetrato lo scorso aprile alla rete idraulica israeliana da parte dell’Iran ne è un esempio lampante. Nel precario equilibrio geopolitico mediorientale, lo strumento del cyberattack acquisisce una funzione ancora più pericolosa e disruptive. L’attacco, operato attraverso server statunitensi, aveva l’obiettivo di privare migliaia di civili dell’utilizzo dell’acqua, elemento particolarmente vitale in quella regione e in quel periodo, in cui Israele è stata colpita da un’ondata di caldo.
Nonostante l’attacco sia stato bloccato sul nascere, esso ha determinato una risposta dura di Israele, deciso a non lasciare impunita un’intrusione che avrebbe potuto causare gravi danni alla popolazione civile. La risposta non si è fatta attendere e il 9 maggio il porto di Shahid Rajaee, sullo stretto del Golfo Persico, è stato colpito da un attacco informatico di notevole portata, che ha determinato un malfunzionamento dei computer, bloccando il traffico di navi, camion e container.
Israele, grazie a un elevato livello di investimenti in sicurezza informatica, ha dimostrato di essere uno dei principali attori nel dominio cyber, non solo a livello regionale, ma addirittura internazionale. L’Iran, invece, utilizza i cyberattacks per cercare di ritagliarsi un ruolo nel complicato equilibrio di potenze del Medio Oriente.
Twitter Bitcoin Scam: quando 130 profili autorizzati, da Elon Musk a Barack Obama, sono stati hackerati e avrebbero potuto scatenare una guerra
Nel luglio del 2020 ha avuto luogo su Twitter una degli episodi di scamming più significativi degli ultimi anni. Al di là delle perdite registrate in termini monetari dagli utenti che hanno eseguito il versamento della criptovaluta ai truffatori, a sorprendere è come gli hacker siano riusciti a prendere il possesso in contemporanea di circa 130 profili autorizzati, “parlando” a nome di aziende o personaggi non solo noti, ma soprattutto autorevoli. I tweet pubblicati da questi account incitavano gli utenti ad effettuare donazioni in bitcoin ad un wallet specifico, con la promessa che l’intera cifra sarebbe stata restituita raddoppiata al generoso donatore.
Si è trattato di un episodio di ingegneria sociale ad opera di quattro ragazzi americani, una truffa. Il movente dell’attacco è quello economico, non si tratta in questo caso di un’operazione di cyberspionaggio russo o cinese, né di computational propaganda alla Cambridge Analytica. Quattro truffatori hanno orchestrato un attacco di phone phishing ai danni di alcuni dipendenti di Twitter – soprattutto quelli coinvolti nel servizio clienti, così da poter accedere ai pannelli di controllo a loro disposizione –, chiedendo di eseguire un reset della password. Solo alcuni degli account sono stati compromessi, molti dipendenti si sono accorti della truffa e hanno eseguito una segnalazione al dipartimento sicurezza dell’azienda. Dunque, una volta rubate le credenziali di operatori interni a Twitter, gli scammers hanno potuto modificare manualmente le email di alcuni accountautorizzati – da Apple, a Joe Biden e Kim Kardashian – e non, per questi ultimi si è trattato per lo più di furto di account con nickname estremamente corti, per i quali esiste un vero e proprio mercato di contrabbando. Per porre fine all’hackeraggio, Twitter ha dovuto sospendere tutti gli account autorizzati e procedere ad un’autenticazione manuale di tutti i profili dei dipendenti con autenticazione via webcam, visto che il doppio fattore era stato compromesso già dalla campagna di phone phishing iniziale.
Questo episodio si è collocato in un momento delicato, prima delle presidenziali americane, e ha colpito il social media più utilizzato dai politici, così come dalle testate giornalistiche. Quindi al di là della vicenda in sé, al di là del valore in crypto-moneta della truffa, quello che ha causato maggior preoccupazione non è quello che è accaduto, ma quello che sarebbe potuto accadere. In altre parole, cosa sarebbe potuto succedere se quel tweet inviato dal “reale” profilo di Joe Biden non fosse stato relegato ad una, tutto sommato, semplice truffa, ma se avesse avuto contenuti geo-politici? Potrebbe un tweet scatenare una guerra? Probabilmente no, ma sicuramente ci sono molti altri danni che potrebbe causare, a partire dal crollo in borsa di determinate azioni.
Interferenze straniere nelle elezioni USA: il fenomeno del cyberspionaggio
Il cyberspazio, quindi, è divenuto sempre più un mezzo attraverso cui gli stati cercano di affermare o di aumentare la propria importanza in un mondo sempre più digital-dependent.
Non stupisce, quindi, che anche l’evento politico più significativo dell’anno, le elezioni presidenziali statunitensi, siano state oggetto di campagne di hacking da parte di state-actors.
In particolare, lo scorso settembre Microsoft ha messo in luce l’azione di tre gruppi di hackers.
Il primo, Fancy Bear (o APT28), è un gruppo di cyberspionaggio russo, attivo già durante la campagna presidenziale del 2016. Negli scorsi mesi, la sua azione si è esplicata in attacchi a organizzazioni direttamente o indirettamente coinvolte nelle elezioni, think tanks e organizzazioni di partito. Microsoft ha evidenziato un notevole miglioramento delle tecniche e degli strumenti utilizzati dal gruppo russo, con l’utilizzo di attacchi di tipo password spray e brute force. L’obiettivo primario del gruppo era ottenere informazioni e provare a condizionare le elezioni statunitensi. Nonostante ciò, nei giorni delle elezioni le autorità non hanno registrato alcuna anomalia; addirittura, la Cybersecurity and Infrastructure Security Agency (CISA) ha dichiarato che “le elezioni del 3 novembre sono state le più sicure nella storia americana”.
Così come Fancy Bear, anche il gruppo cinese Zirconium e quello iraniano Phosphorus hanno condotto campagne di attacchi informatici contro organizzazioni e persone coinvolte nelle elezioni statunitensi, al fine di ottenere informazioni rilevanti.
La provenienza di questi attacchi mette in luce che le principali minacce cyber per gli Stati Uniti sono rappresentate dai nemici “tradizionali”. Se le relazioni con la Russia sono altalenanti, quelle con l’Iran sono, ormai da tempo, di tipo antagonistico. La Cina, considerata potenza revisionista, rappresenta una minaccia sempre maggiore. Se negli anni precedenti molte sfide provenienti dal paese asiatico riguardavano il campo economico, nel prossimo futuro esse coinvolgeranno sempre più l’ambito della sicurezza e, in particolare, della cybersecurity.
SolarWinds Hack: scoperta massiccia campagna di cyberspionaggio ai danni degli Stati Uniti, una nuova cyberguerra-fredda?
Qualche giorno prima che venisse alla luce l’attacco a SolarWinds, un altro incidente informatico ha esposto l’americana FireEye, una delle più grandi aziende di cybersecurity a livello globale. L’8 dicembre, infatti, FireEye è stata vittima di un attacco hacker “altamente sofisticato” ad opera di un threat actor sponsorizzato da uno Stato. Proprio per stabilire con “certezza” l’attribuzione dell’attacco, il quale sembrerebbe essere stato fatto con tecniche sconosciute all’azienda, è stata avviata un’indagine in concerto con FireEye, FBI e Microsoft. La rilevanza dell’incidente sta anche nel materiale esfiltrato poiché, così come dichiarato dalla stessa compagnia, sono stati sottratti degli strumenti del Red Team, il reparto che si occupa di simulare degli attacchi malevoli verso i clienti – previa richiesta o autorizzazione – per testarne il livello di sicurezza e resistenza. L’azienda sottolinea che non sono presenti zero-day exploits tra gli elementi trafugati. Non si sa quale sia lo scopo di questo furto, ma FireEye dichiara di aver messo in atto, per precauzione, più di trecento contromisure di sicurezza per identificare e bloccare l’abuso dei tool del Red Team. Il bersaglio della campagna di cyberspionaggio sono state le informazioni legate ad “alcuni clienti governativi”, da qui la – quasi – certezza che gli attaccanti siano di origine statale. Già questo episodio di per sé rappresenta un’inequivocabile dimostrazione di potenza, probabilmente da parte di uno Stato, nel cyberspazio, tuttavia non è stato nemmeno il più significativo.
Se “le elezioni del 3 novembre sono state le più sicure nella storia americana”, probabilmente è perché non sono state direttamente il bersaglio di uno dei più massicci attacchi informatici degli ultimi cinque anni. Il 13 dicembre è stata scoperta una campagna globale di cyberspionaggio delle comunicazioni – nello specifico ad essere violate sono state le caselle di posta elettronica – ai danni di diverse agenzie federali statunitensi, del Pentagono, dei Dipartimenti del Tesoro, del Commercio, di Stato, del Dipartimento di Sicurezza Interna (DHS), ma anche di università e di numerose aziende, tra le quali Cisco. In un comunicato, FireEye ha riportato che l’inizio della campagna è da ascriversi alla primavera del 2020, nello specifico al mese di marzo, gli attori malevoli hanno quindi operato per mesi senza che nessuno ne rilevasse la presenza all’interno dei sistemi. Nemmeno la National Security Agency (NSA), l’agenzia di intelligence statunitense che ha monitorato impropriamente i dati di migliaia di cittadini di tutto il mondo come rivelato dalle dichiarazioni dell’ex agente Edward Snowden nel 2013, è stata in grado di scoprire la minaccia.
Come hanno fatto gli attaccanti a penetrare così tanti sistemi contemporaneamente? Si è trattato di un attacco alla supply chain di un software di SolarWinds, azienda di IT management con oltre 300mila clienti a livello globale. Il prodotto colpito e utilizzato come trojan è stato Orion un software di monitoraggio e management, più precisamente, ad essere manomessi sono stati degli aggiornamenti non autorizzati del programma che sono riusciti a passare come “originali” e ai quali è stato dato il nome di Sunburst (FireEye) o Solarigate. Tali aggiornamenti hanno permesso l’installazione di una backdoor che ha fornito l’accesso per mesi ai sistemi delle vittime. Gli autori dell’hack sono stati chiamati provvisoriamente UNC2452 (Unknown), ma le attribuzioni – per ora non ufficiali – sembrano puntare tutte in direzione del Cremlino e, nello specifico, del gruppo APT, Advanced Persistent Threat, 29 o Cozy Bear. Quest’ultimo è ritenuto essere alle dipendenze di agenzie di intelligence russa quali FSB e SVR, diretti eredi del KGB.
Negli ultimi anni è stato evidente l’incremento dell’esposizione mediatica dei gruppi APT affiliati con il governo russo, quest’ultimo evento si colloca all’interno di un trend già confermato nel 2016. Tuttavia, non sarebbe corretto fossilizzarsi in una narrativa vittime/carnefici univoca, considerando che a differenza dell’impiego delle forze cinetiche – limitate dalla disponibilità fisica di mezzi o persone – l’attuazione di campagne nel cyberspazio è per natura potenzialmente infinita. Per tale ragione, le previsioni per il 2021 contengono una maggior attenzione per l’esercizio di protezione delle proprie infrastrutture hardware e software, ma anche l’avviamento di un iter normativo che possa fungere da deterrente per questi episodi a livello internazionale.
L’UE adotta una nuova strategia per la sicurezza informatica: aumentare la cyberdefence e incrementare gli investimenti
Se è vero che gli Stati Uniti, secondo la Karsperky Cyberthreat Real Map, si posizionano al quinto posto tra le nazioni più colpite al mondo da attacchi informatici, anche i paesi dell’Unione europea occupano una posizione rilevante in questa classifica. Il fatto che Germania, Francia, Italia e Spagna siano tra le prime 15 nazioni al mondo per numero di attacchi subiti, la dice lunga sul livello di minacce che interessa l’Unione.
Dotata ormai di vari organismi di controllo, ricerca e promozione della cybersecurity, come l’Agenzia europea per la sicurezza informatica (ENISA), l’Unione europea sta profondendo numerosi sforzi per incrementare il livello di resilienza e di cyber awareness. La strategia adottata lo scorso 16 dicembre è forse l’emblema di questa nuova consapevolezza delle istituzioni europee. Il documento pubblicato dalla Commissione si propone l’obiettivo di incrementare in modo sostanzioso gli investimenti per la cybersecurity, in modo da colmare il gap evidenziato dal NIS Investments report, il quale ha messo in luce la grave carenza di investimenti degli stati membri in sicurezza informatica e tutela delle infrastrutture critiche, che corrisponde al 41% in meno rispetto a quanto stanziato dagli Stati Uniti.
La strategia introduce alcune novità importanti. Innanzitutto, si propone una revisione della Direttiva NIS o la creazione di una nuova (NIS 2), necessaria ad adattare il policy framework allo scenario di minacce attuale. Poi, la Commissione ha proposto la creazione di un European Cyber Shield, attraverso l’istituzione di una rete di Security Operation Centres, al fine di incrementare la cooperazione e la condivisione di informazioni tra stati membri.
Altro elemento chiave della strategia è la creazione della Joint Cyber Unit, concepita quale punto di coordinamento per gestire le crisi e le minacce transfrontaliere. In ambito difesa, invece, la Commissione ha proposto la modifica del Cyber Defence Policy Framework e il supporto all’adozione della Military Vision and Strategy on Cyberspace as a Domain of Operations, che verrà adottata dal Comitato Militare dell’UE per legare ancora di più le operazioni militari e la difesa europea al cyberspazio.
