Mentre l’offensiva russa continua a martoriare l’Ucraina, parallelamente alla guerra continua a svilupparsi una cyberwar fatta di cyberspionaggio, ransomware, furto e cancellazione di dati (come quelli di HermeticWiper), assalti DDoS mirati all’oscuramento di siti e piattaforme Web. Riporta la divisione Threat Intelligence di Check Point Software Technologies che nei primi tre giorni di combattimento, tra il 24 e il 27 febbraio scorsi, i cyberattacchi al governo e al settore militare dell'Ucraina sono aumentati del 196% rispetto ai livelli precedenti. Dall'inizio del conflitto, inoltre, i cyberattacchi rivolti ai cittadini, alle aziende e alle istituzioni ucraine sono cresciuti del 20%. E anche la Russia, sebbene in misura minore (solo dell’1%), nello stesso periodo ha registrato un incremento degli attacchi informatici.
Se questi risultati erano in qualche modo prevedibili, è interessante notare che, secondo i monitoraggi di CheckPoint, gli attacchi al settore governativo e a quello militare dall’inizio delle ostilità sono cresciuti del 21% su base mondiale. Un segnale, forse, di quanto il conflitto russo-ucraino sia già un conflitto globale per molti versi. D’altra parte anche il settore dell’energia è pesantemente coinvolto non solo nella guerra ma nella cyberguerra, e il caso di questi giorni vede un’azienda russa nel ruolo del bersaglio: la compagnia petrolifera Rosneft, controllata dal governo, è stata colpita dagli hacker di Anonymous, che sostengono di aver rubato 20 terabyte di dati.
“Sembra che inizialmente gli hacker si siano focalizzati fortemente sul conflitto, e dopo due settimane abbiano capito che cosa possono o non possono fare”, ha commentato Omer Dembinksy, data group manager di Check Point. “In altre parole, gli hacker hanno ripreso le attività normali. Vediamo, inoltre, uno sforzo focalizzato sull’attaccare obiettivi governativi e militari, forse come parte dell’impatto della diplomazia sulla guerra, e anche per trarre vantaggio dall'accresciuto interesse, che permette di portare a termine attacchi di phishing”. A proposito del phishing, un po’ come accaduto con la pandemia di covid negli ultimi due anni, anche con la guerra il mondo cybercriminale ha fin da subito colto l’occasione per fare sciacallaggio. Come segnalato da Bitdefender, stanno attualmente circolando campagne di spam che tentano di sfruttare l’onda emotiva dell’esodo di massa di donne e bambini dall’Ucraina.
Israele sotto attacco
Più in generale, in queste settimane di marzo si è registrato a livello globale un incremento degli attacchi informatici ed è di ieri la notizia di un eclatante episodio DDoS che ha paralizzato, anche se per breve tempo, il sito del governo israelieano. Eclatante perché Israele è forse la nazione di riferimento per la cybersicurezza evoluta e per la cyberintelligence, e perché, come riportato dai media locali, si è trattato di un attacco di “dimensioni insolite”, uno tra i più gravi mai verificatisi nel Paese.
L’origine e le motivazioni dell’attacco al momento non sono chiare, e nulla consente di ipotizzare una qualche legame con l’offensiva militare e diplomatica messa in campo da Putin. Tuttavia la notizia crea ulteriore tensione in un momento in cui gli equilibri dell’Europa sembrano precari come mai era accaduto negli ultimi decenni. E oggi, più che nelle grandi guerre del secolo scorso, le armi informatiche stanno affiancando missili e bombe e avranno un ruolo nel determinare gli esiti del conflitto.
Rischi per le aziende italiane?
Le propaggini del conflitto russo-ucraino raggiungono anche l’Italia, non solo purtroppo sul piano dell’accoglienza dei profughi e nei rincari delle materie prime, ma anche nella sicurezza informatica. L’evoluzione della guerra potrebbe "pregiudicare l'affidabilità e l'efficacia" di tecnologie informatiche fornite da aziende legate alla Russia: a dirlo è l'Agenzia per la cybersicurezza nazionale, da cui già sono giunte in queste settimane raccomandazioni sul malware HermeticWiper.
L’agenzia caldeggia le aziende italiane a “procedere urgentemente ad un'analisi del rischio derivante dalle soluzioni di sicurezza informatica utilizzate e di considerare l'attuazione di opportune strategie di diversificazione per quanto riguarda, in particolare, le seguenti categorie di prodotti per la sicurezza dei dispositivi: antivirus, web application firewall, protezione della posta elettronica; protezione dei servizi cloud; servizi di sicurezza gestiti”. Non si fanno nomi, naturalmente, ma è segreto di Pulcinella che uno tra i principali fornitori di cybersicurezza mondiali vanti natali russi, e ci sarebbe da discutere sul fatto che la semplice nazionalità sia una colpa in questo momento o che possa rappresentare un valido motivo di sospetto.
Nel difficile momento attraversato, aziende come Kaspersky non hanno fatto dichiarazioni in merito al conflitto. La società ha però parlato attraverso Twitter per negare di essere stata vittima di attacco hacker, come era stato rivendicato dalla gang nota con il nome Network Battalion 65, o NB65 (un gruppo forse legato al movimento di Anonymous, il quale è apertamente schierato contro Putin). I membri di NB65 sostengono di aver hackerato il codice sorgente di Kaspersky, mentre quest’ultima ha smentito. “Gli esperti di Kaspersky”, si legge nel tweet pubblicato sul profilo dell’azienda, “hanno controllato le recenti informazioni pubblicate, presumibilmente contenenti il codice sorgente dei prodotti Kaspersky. I risultati dell’analisi confermano che le rivendicazioni sono infondate: il leak non contiene il codice sorgente dei prodotti dell’azienda. Il materiale analizzato contiene, invece, dati tratti dai server Kaspersky pubblicamente disponibili”.