Il fatto risale al 23 dicembre 2015, ma l’eco della notizia è arrivato in Occidente soltanto in queste ore. La scorsa antivigilia di Natale una vasta fetta di territorio ucraino è andata completamente al buio a causa di un malware, che ha lasciato senza corrente oltre mezzo milione di persone perlopiù nell’oblast di Ivano-Frankivskz, nella zona ovest del Paese. Le aziende colpite sarebbero tre, a quanto si apprende le prime nella storia costrette a interrompere la fornitura di energia elettrica per colpa di un programma malevolo. Il malware, secondo fonti ucraine poi rilanciate da società di sicurezza come iSight Partners, si sarebbe intrufolato nei sistemi informatici tramite macro infette di documenti Microsoft Office, andando poi a colpire a disconnettere una serie di pannelli e sottostazioni energetiche. Le autorità ucraine stanno ancora adesso conducendo indagini in merito, ma secondo la Reuters i servizi segreti del Paese caucasico avrebbero già additato la Russia come principale sospettato.
In un comunicato ufficiale, l’intelligence ucraina ha dichiarato di essere riuscita a debellare il malware in tempi brevi. Segno che, probabilmente, non si trattava di un programma complicato, ma comunque in grado di causare disservizi per diverse ore. Più che la portata e la complessità dell’attacco, a colpire l’immaginario sono stati sicuramente i target prescelti dagli hacker: tre aziende incaricate di fornire servizi di pubblica utilità.
Come sottolineato a Motherboard da Robert M. Lee, ex ufficiale dell’aeronautica militare statunitense e tra i primi a ottenere parti di codice da analizzare, il danno “è stato facilmente recuperabile, ma è ovviamente una cattiva notizia l’interruzione della corrente. Non è una cosa da niente, perché serve comunque abilità per entrare nei sistemi e metterli fuori uso, ma non è nemmeno una cosa così difficile”.
Dopo le prime analisi condotte da Lee e dalla sua società di sicurezza Dragos Security, altre aziende sono riuscite a mettere le mani sul malware e hanno potuto così avanzare ipotesi. Secondo Eset, per esempio, il programma che prima di Natale ha attaccato le aziende ucraine sarebbe riconducibile al malware Blackenergy, circolante sin dal 2007 e probabilmente diffuso in origine dal gruppo di hacker russo Sandworm. Grazie alla backdoor, i cybercriminali sarebbero riusciti a inserire la componente Killdisk nei computer colpiti, in modo che non potessero più essere riavviati.
Ma, nonostante la certezza delle autorità ucraine, non è detto che i russi siano implicati in questa vicenda. “In molti ora dicono che la parte di malware fosse collegata a Blackenergy”, spiega Lee. “Posso capire questo punto di vista e ci sono diverse ottime analisi che danno autorevolezza alla tesi. Ma il fatto che Blackenergy sia stato utilizzato ancora non significa che l’attacco sia riconducibile per forza a Sandworm”.
Ma un possibile coinvolgimento dell’orso russo rimane comunque plausibile, considerati gli attriti con l’Ucraina in seguito alle rivolte popolari del 2014 contro il presidente Viktor Janukovyč e all’annessione della Crimea da parte di Mosca. E, sempre secondo Eset, proprio nel 2014 si verificarono “incidenti” informatici nei sistemi informatici di agenzie governative di Kiev riconducibili ancora a Blackenergy. Le indagini, nel frattempo, continuano, ma è ormai chiaro come attacchi hacker di questo genere possano aprire scenari davvero inquietanti.