Con un attacco Ransomware ai danni della Kaseya, scoperto nel pomeriggio del 2 luglio, è avvenuta la violazione dei sistemi di centinaia di aziende clienti, anche al di fuori degli stessi Stati Uniti, che utilizzano i software della società americana. L’attacco, portato alla vigilia dei festeggiamenti del 4 luglio, ha dimostrato ancora una volta come gli attacchi informatici abbiano alcune delle caratteristiche del warfare “classico”. Ciò è dimostrato dal fatto che si sia deciso di colpire a ridosso di una festività ben sapendo che molti dei soggetti colpiti non sarebbero stati pienamente operativi e “fast responsive” nel periodo dell’attacco.
Articolo precedentemente pubblicato nel dodicesimo numero della newsletter “A Stelle e Strisce”. Iscriviti qui
Nella notte tra il 30 e il 31 gennaio 1968 l’esercito nord-vietnamita, insieme ai cosiddetti Viet Cong, lanciò una violenta offensiva contro tutte le maggiori città del Vietnam del Sud ottenendo notevoli successi e cogliendo impreparate le forze americane e sudvietnamite. Dopo l’iniziale sbandamento le forze del Sud ripresero in mano la situazione ma con un costo altissimo in termini di morale sul fronte interno. L’offensiva fu infatti una vittoria morale e propagandistica del Nord che causò una crisi politica negli Stati Uniti culminata con il ritiro del presidente Johnson e l’avvio dei colloqui di pace.
Ciò che lega l’offensiva del Tet e l’attacco a Kaseya è il fatto che entrambi avvengono alla vigilia di una delle festività più importanti del paese coinvolto, nel 1968 si trattava della vigilia del Capodanno vietnamita mentre nel 2021 della giorno dell’indipendenza. In entrambi i casi le festività hanno comportato un allentamento dei controlli e di una ridotta capacità di risposta rapida alle minacce. Dal 2 luglio, e per tutto il week-end, molte aziende hanno operato a ranghi ridotti o chiuso le attività in virtù dei festeggiamenti di domenica, abbassando notevolmente la capacità di risposta immediata verso potenziali attacchi. Elemento che deve essere sommato al fatto che, in prossimità di tali eventi, l’attenzione del singolo individuo è mediamente inferiore. È chiaro come l’attacco ransomware a Kaseya sia un’operazione pianificata da tempo e studiata nei modi e nei tempi al pari di una qualsiasi operazione militare o di spionaggio. In questo senso è quindi possibile vedere un pattern comune che lega la pianificazione e l’esecuzione nel dominio informatico con le dinamiche tipiche degli altri domini strategici. Oggi è fondamentale infatti considerare tutti i domini strategici come piani che si intersecano tra loro e che sono in grado di influenzarsi a vicenda includendo, in via definitiva, anche il dominio informatico. Di fatto è ormai palese come le conseguenze di un attacco cyber si ripercuotano sul mondo fisico (e quindi sugli altri domini strategici) e di come a sua volta questo sia influenzato da quanto accade nel mondo reale (come la distruzione fisica di una infrastruttura IT).
L’attacco a Kaseya
Una delle prime considerazioni in merito all’attacco di venerdì 2 luglio è come gli attacchi informatici siano particolarmente distruttivi se operati ai danni di società di servizi IT che gestiscono dati e informazioni di soggetti terzi. Kaseya è infatti una società IT, con sede in Florida, che fornisce diversi software e applicativi per la sicurezza informatica di aziende che li acquistano dagli appaltatori della società. In sostanza, si tratta di migliaia di soggetti coinvolti nella gestione e protezione dei dati sensibili di centinaia di imprese che utilizzano questi applicativi. L’attacco ai server della società di Miami ha di fatto permesso l’accesso ai sistemi di sicurezza e quindi alla conseguente violazione del perimetro digitale di migliaia di attori parte del network. In questo caso specifico si è rilevata tuttavia una peculiarità: l’attacco sarebbe stato articolato in due fasi distinte. In un primo momento vi sarebbe stato il tentativo di sottrazione dei dati a cui gli attaccanti avrebbero avuto accesso, quindi si sarebbe inserito il vero e proprio ransomware con il blocco dell’accesso agli stessi da parte dei legittimi proprietari. Dalla casa madre gli hacker avrebbero avuto accesso ai sistemi di circa 40 appaltatori di sicurezza da cui sarebbe partito l’attacco alle singole aziende clienti. I numeri vanno dalle centinaia alle migliaia di attività infettate durante l’arco del fine settimana del 4 luglio. L’attacco ha interessato principalmente gli Stati Uniti ma non sono mancati forti disagi anche in altri paesi. In Svezia, ad esempio, la Coop è stata obbligata a chiudere i suoi 800 negozi a seguito del blocco dei registratori di cassa con danni economici non indifferenti. Ai soggetti interessati dall’attacco è stato chiesto un riscatto che oscilla tra i 500 mila e i 5 milioni di dollari per lo sblocco dei dati, metodo analogo a quello adottato con JBS (il più grande produttore di carne al mondo) oggetto di un attacco ransomware poche settimane fa che ha dovuto sborsare la cifra di 11 milioni di dollari per ottenere nuovamente l’accesso ai sistemi. Ad oggi sembrerebbe che i colpevoli siano gli stessi in entrambi i casi e che siano stati identificati come il gruppo REvil con sede in Russia. Il presidente Biden ha tuttavia allentato possibili tensioni con Mosca affermando che non vi siano prove certe né che sia opera di hacker russi né che le autorità del Cremlino fossero in qualsiasi modo coinvolte o a conoscenza dell’attacco a Kaseya.
Lo Zenit del cyberwarfare
Questo ennesimo attacco su vasta scala porta con sé una serie di considerazioni che non sono altro che un rafforzamento dei trend emersi nel decennio precedente.
Tornando ad un caso storico durante la Guerra del Pacifico, ciò che mise maggiormente in crisi le operazioni giapponesi fu la martellante campagna sottomarina statunitense volta a colpire massicciamente le linee di rifornimento delle flotte e delle truppe a terra con attacchi mirati al naviglio mercantile e di supporto, tagliando così le gambe a tutta la catena logistica e di approvvigionamento. In questo modo la Flotta Imperiale andò ben presto in crisi e le truppe a terra si ritrovarono spesso ad operare con mezzi inadeguati soccombendo alle forze Alleate. In questo senso l’attacco a Kaseya è molto simile alla guerra sottomarina del Pacifico in quanto si è attaccato in modo estensivo una catena di approvvigionamento internazionale con danni, non solo economici, incalcolabili. A differenza di quanto accaduto in passato, in questo caso l’attacco è stato eseguito con un singolo mezzo che ha aggredito e mandato in down migliaia di obiettivi contemporaneamente, dimostrando ancora una volta come il ransomware sia, ad oggi, una delle tecniche di maggior impatto nel dominio informatico.
L’attacco di inizio luglio è parte di un’ondata che inizia quasi in contemporanea con la crisi pandemica (con attacchi a infrastrutture sanitarie e pubbliche) e che è culminata negli ultimi mesi con quanto accaduto alla Colonial Pipeline, JBS e, in ultimo, a Kaseya. Altro fatto è che, volente o nolente, la Russia è al centro di questo confronto sul dominio cyber. Che siano gruppi legati in qualche modo a Mosca o autonomi, ad oggi buona parte delle minacce proviene da attori “ad est del muro” ricreando un certo dualismo conflittuale e di reciproca diffidenza che ricorda, anche se solo sulla superficie, i tempi dei due blocchi e di un’Europa divisa. Di certo Mosca ha dato prova di voler sfruttare un terreno dove non paga la crisi degli anni immediatamente successivi al crollo dell’Unione Sovietica e di avere chiare le idee su come si conducono le operazioni, anche su larga scala, di hybrid warfare. Ciò che risulta meno chiaro è quanto controllo abbia sui gruppi che operano nel dominio cyber e che tipo di relazione leghi le autorità a queste entità.
Semplificando Clausewitz, se la guerra è un altro modo di fare politica allora Stati Uniti ed Europa devono comprendere che non ci si trova all’alba di un mondo in cui il dominio cyber è strumento attivo e pervasivo del “fare politica” e di strutturare le relazioni internazionali. Anni di campagne di disinformazione massicce, di vere e proprie psyops e di attacchi più o meno diretti alle infrastrutture chiave, sia statali che private, fanno comprendere come si è già allo zenit di un mondo in cui il dominio cyber è fondamentale strumento di progresso e al contempo terreno di scontro (anche se forse sarebbe più corretto affermarlo come terreno di vera e propria relazione) tra soggetti che sono in grado di influenzare i macro-sistemi sociali e politici degli attori nazionali e internazionali.
