Armi ibride

Democrazia Futura. La guerra in Ucraina è anche sul web

di Arturo Di Corinto, giornalista e docente di Identità digitale, privacy e cybersecurity presso l’Università La Sapienza |

Perché il conflitto ci fa capire le differenze tra cyberguerra e infoguerra. Una guerra ibrida fatta di attacchi hacker e disinformazione, destinata a durare, indipendentemente dall’esito del conflitto.

Arturo Di Corinto

Arturo Di Corinto presenta uno studio sull’escalation degli attacchi informatici prodottisi in questo complicato 2022. “La guerra in Ucraina è anche sul web”. Così l’autore intitola il suo articolo che, ricostruendo la guerra ibrida soffermandosi sulle cosiddette “Misure Attive” per la disinformazione di massa intesa come “arma per la continuazione della guerra con altri mezzi”, spiega ai lettori come recita l’occhiello, “Perché il conflitto ci fa capire le differenze fra cyberguerra  e infoguerra”.

_______________________

Cosa può provocare un attacco informatico nel mondo odierno

Se un computer può fermare un carrarmato e la guerra elettronica abbattere un drone o destabilizzare le comunicazioni militari, un cyberattacco può interrompere l’erogazione di servizi essenziali e fare vittime civili. Un attacco informatico può infatti bloccare l’erogazione di acqua e energia elettrica, far deragliare un treno e spegnere i semafori in città ma anche interferire col ciclo di raccolta dei rifiuti e con tutte le attività che caratterizzano il funzionamento di una società moderna. Gli attacchi agli impianti di desalinizzazione israelianida parte di gruppi filo-iraniani, lo spionaggio industriale cinese, il ransomware Wannacry che ha bloccato la sanità inglese per giorni, l’interruzione della fornitura di gas da parte della Colonial Pipeline in Texas ne sono il plastico esempio.

La stessa Ucraina è stata bersagliata da potenti cyberattacchi fin dal 2014.

All’epoca il malware Black Energy, operato da hacker russi, venne nascosto dentro documenti power point e poi all’interno di un allegato con una lista di password deboli da cambiare inviato alle sei compagnie ferroviarie statali. Lo stesso trucco fu usato per attaccare tre compagnie elettriche ucraine il 23 dicembre del 2015 lasciando senza elettricità 225 mila persone. Uno scenario ripetutosi nel 2016 con un altro virus, CrashOvveride.

Si tratta di tecniche ben note agli hacker russi che hanno continuato a esercitarsi su target occidentali in tutti questi anni con nomi fantasiosi come Apt29, accusato dall’agenzia britannica per la cybersecurity di aver tentato di rubare ricerche su potenziali vaccini per il coronavirus; Cozy Bear, CozyDuke, The Dukes, responsabili secondo FireEye ed Eset dello spionaggio ai danni del Congresso Usa e dei Democratici americani, e poi Nobelium, Strontium e Yttrium, il gruppo che secondo Brad Smith di Microsoft avrebbe compromesso il fornitore mondiale di servizi tecnologici Solarwinds[1] arrivando fino alle porte dell’Agenzia nucleare americana. Un elenco lunghissimo pubblicato dalla Cybersecurity and Infrastructure Security Agency (CISA),  l’Agenzia americana per la cybersecurity[2].

Più indietro nel tempo, basti ricordare che nel 2007 i cyber soldati russi attaccarono l’Estonia mettendo offline 58 siti web pubblici e privati. Dal 2014 invece non si è ancora interrotta l’ondata di cyberattacchi che ha invece colpito aziende americane di servizi, strutture Nato e reti elettriche dell’Europa dell’Est, arrivando, nel 2017, a diffondere un malware, noto come NotPetya, per annichilire la capacità operativa dei maggiori operatori mondiali di logistica, sistemi sanitari e multinazionali farmaceutiche.

Nell’epicentro degli attacchi, l’Ucraina, i bancomat divennero scatolette inservibili, ferrovie, ospedali e sistema postale andarono giù per ore, poi per giorni, ripetutamente: dieci miliardi di dollari di danni causati da Sandworm, un gruppo di hacker governativi al servizio dell’intelligence russa.

L’escalation dell’uso di mezzi non militari per sostenere l’invasione russa dell’Ucraina e la reazione dell’Esercito informatico ucraino

Però è solo dal 24 febbraio del 2022 che abbiamo assistito a un’escalation nell’uso di mezzi non militari per sostenere e accompagnare un conflitto armato, l’invasione dell’Ucraina da parte della Russia.

Nei primi mesi del conflitto russo-ucraino almeno otto tipi di malware diversi sono stati lanciati contro il paese guidato da Volodymyr Zelensky, di cui quattro di tipo wiper, che cancellano i dati dei computer, accompagnati da attacchi Distributed Denial of Service (DDoS) a banche, ministeri e aziende ucraine. Contemporaneamente in Europa abbiamo assistito al blocco di 600 turbine eoliche in Germania, all’oscuramento dei satelliti Viasat in Francia, al DDoSing dei siti della Difesa, dei Carabinieri, e della Polizia in Italia.

Il confine tra i conflitti fisici e digitali si fa sempre più sottile e la guerra non si combatte più sui campi di battaglia tradizionali.

La cyberwar non è solo russa.

I primi cyberattacchi all’Ucraina hanno prodotto come reazione la chiamata alle armi dell’Esercito informatico Ucraino, e migliaia di attivisti hanno bloccato per ore banche e ministeri russi e, aiutati dai servizi di intelligence occidentali, rubato dati governativi usando il nome di Anonymous come copertura. Lo stesso NotPetya del 2017, evoluzione di Wannacry, fu realizzato sfruttando le cyberarmi rubate alla National Security Agency americana, codici informatici capaci di interferire con qualsiasi sistema Windows e mai comunicati al produttore. E sono gli stessi americani che, per bocca del capo dello US Cybercommand, Paul Nakasone, hanno rivendicato l’uso di azioni informatiche offensive contro la Russia dall’inizio dell’invasione dell’Ucraina.

L’attacco russo all’Ucraina e alle sue infrastrutture digitali è precedente all’inizio dell’invasione

Quando le armate di Putin hanno invaso il territorio ucraino il paese è già sotto attacco informatico da giorni. L’aggressione verso le infrastrutture digitali del Paese si è però intensificata quando il parlamento ucraino ha iniziato a discutere lo stato di emergenza per contrastare la minaccia militare russa. Gli attacchi DDoS, attacchi che impediscono di accedere ai siti web colpiti, hanno preso di mira i siti dei ministeri della Difesa, degli Esteri e degli Interni rendendoli irraggiungibili a lungo. PrivatBank, la più grande banca commerciale in Ucraina, e Oschadbank, la Cassa di risparmio statale dell’Ucraina, sono state bersagliate da attacchi ripetuti che hanno fatto seguito a DDoS e defacement di oltre 70 siti web del governo ucraino avvenuti poco prima nel gennaio del 2022.

A cavallo dell’invasione i ricercatori dell’azienda di cybersecurity Eset di Bratislava hanno però individuato subito il vero pericolo, un malware di tipo wiper che avrebbe successivamente infettato centinaia di computer in tutta l’area geografica limitrofa, Lettonia e Lituania comprese. Il malware è in grado di cancellare l’intera memoria dei computer infetti con tutti i dati contenuti, arrivando a danneggiarne il firmware[3] e quindi rendendoli inservibili. Denominato “KillDisk”, il wiper distrugge infatti il Master Boot Record, ovvero il settore di avvio principale dei dischi fisici connessi alle macchine contenente la sequenza di comandi/istruzioni necessarie all’avvio del sistema operativo, condizione che richiede la loro reinstallazione da zero.

Molte diverse organizzazioni sarebbero state colpite in maniera mirata da questo wiper: soprattutto appaltatori governativi e almeno un istituto finanziario ucraino.

Sin dal settembre 2021, secondo la stampa ucraina, ci sarebbero stati diversi tentativi di intrusione nella posta elettronica del presidente del Parlamento ucraino e della sua famiglia, mentre nell’underground criminale i gruppi ransomware colpivano con software estorsivi le realtà economiche del paese invaso.

La guerra ibrida

Tutti gli osservatori internazionali si aspettavano questo tipo di aggressione ibrida conoscendo l’abilità dei russi nell’utilizzare l’armamentario cyber per conseguire i suoi obiettivi politici e militari, e alla fine l’intelligence inglese e americana l’hanno confermato. Anne Neuberger, vice consigliere per la sicurezza nazionale degli Stati Uniti, ha dichiarato alla stampa di disporre di informazioni tecniche che dimostrano che

“l’infrastruttura del Gru (i Servizi segreti militari russi) è stata vista trasmettere elevati volumi di comunicazioni a indirizzi IP e domini con sede in Ucraina”.

In un’analisi dettagliata degli incidenti DDoS, la Squadra di Pronto Intervento informatico (Computer emergency response team) ucraina ha affermato che gli attacchi hanno impiegato sia le botnet[4] Mirai che Meris.

Mirai è quella rete botnet – ovvero sotto il controllo di un’unica entità – di computer zombie infetti che nel 2016 aveva bloccato tutta la comunicazione Internet della costa est degli Stati Uniti, rendendo irraggiungibili anche i siti di Amazon, Twitter e New York Times.

Il blocco dei siti governativi è stato confermato da Netblocks[5], organizzazione che tiene traccia delle interruzioni di Internet in tutto il mondo.

Secondo gli analisti questi attacchi sono progettati per aumentare l’attenzione e la pressione creando il caos tra la popolazione.

Gli stessi malware scatenati contro l’Ucraina potrebbero aver infettato anche le infrastrutture dell’Europa Occidentale per cui

“Il timore adesso è che, come già si è verificato in passato, ci siano malware dormienti pre-installati nelle principali infrastrutture critiche europee, scritti ad-hoc e silenti e quindi non individuati, ma pronti ad attivarsi a comando”.

Il Computer Security Response Team (CSIRT) dell’Agenzia per la difesa cibernetica nazionale italiana[6] e della Cybersecurity and Infrastructure Security Agency (CISA), l’Agenzia statunitense per la Cybersicurezza e la Sicurezza delle Infrastrutture[7] hanno di conseguenza diramato una serie di allarmi congiunti con la National Security Agency (NSA) e l’Fbi, avvisando i contractor di marina, esercito e aviazione americani di alzare i livelli di guardia.

L’insieme delle indicazioni per la protezione di segreti militari e industriali, per la protezione delle infrastrutture critiche e i consigli per la gestione della disinformazione hanno preso il nome di operazione Shields Up[8].

L’Allarme dei Five Eyes sull’aumento di attacchi informatici di hacker sponsorizzati dal Cremlino

A giustificare questi avvertimenti, nell’aprile del 2022, otto agenzie di cybersecurity dei Five Eyes, l’alleanza spionistica di Australia, Canada, Nuova Zelanda, Regno Unito e Stati Uniti hanno pubblicato un preoccupante allarme sull’aumento degli attacchi informatici condotti da nation state actors russi, cioè hacker governativi sponsorizzati dalla Federazione Russa e gruppi criminali simpatizzanti del Cremlino – come la famigerata gang Conti Team – e i gestori della botnet Emotet, col nome in codice di Mummy Spider.

L’avviso ha dichiarato senza mezzi termini che gli attori informatici sponsorizzati dallo stato russo hanno la capacità di compromettere le reti informatiche, rimanere acquattati nelle infrastrutture critiche, rubare dati sensibili, interrompere e sabotare i sistemi di controllo industriale con malware specializzato per manipolarli, acquisirne i dati e distruggere i macchinari che comandano.

“Questa attività potrebbe verificarsi in risposta ai costi economici senza precedenti imposti alla Russia, nonché al supporto materiale fornito dagli Stati Uniti e dagli alleati e partner degli Stati Uniti” dicono le fonti.

In realtà sono molti i gruppi cybercriminali che già partecipano allo sforzo bellico dei russi che hanno avviato campagne di ritorsione contro le aziende occidentali e ucraine usando malware distruttivi, ricatti ransomware, o attacchi DDoS, insieme ad altre iniziative di spionaggio e sabotaggio.

Per i Five Eyes, gli autori principali degli attacchi lavorano per cinque realtà governative e militari della Russia: il Servizio federale per la sicurezza, FSB (ex KGB), il Servizio di intelligence internazionale, in sigla SVR, il Direttorato principale per l’informazione, GRU (Forze Armate), il Centro per le tecnologie speciali del GRU (GtsST), il Ministero della Difesa e l’Istituto centrale per la Chimica e la Meccanica, (TsNIIKhM).

Le cyber-operations russe potrebbero coinvolgere i paesi Nato secondo Microsoft

A confermare che gli attacchi informatici russi sono stati utilizzati per supportare gli obiettivi tattici e strategici dell’esercito, subito dopo la divulgazione del rapporto dei Five Eyes è intervenuto  persino il vicepresidente di Microsoft Tom Burton che, presentando un dettagliato Rapporto[9] dell’azienda, ha dichiarato:

“è probabile che quelli che abbiamo osservato siano solo una frazione dell’attività cibernetica contro l’Ucraina”.

Per gli esperti dell’azienda di Redmond negli Stati Uniti, da prima dell’invasione fino alla pubblicazione del rapporto il 27 Aprile 2022, sono state lanciate 237 cyber-operations contro l’Ucraina da parte di almeno sei differenti gruppi di nation state hacker, ossia di pirati informatici governativi collegati ai servizi segreti interni ed esteri e militari russi.

Si tratta in gran parte di attacchi distruttivi che hanno fatto uso di virus informatici per indebolire la capacità di reazione del Paese attaccato avendo come target le istituzioni ucraine, i servizi e le aziende informatiche, il comparto energetico, i media, le telecomunicazioni, il settore nucleare, vendita, commercio e Internet.

Secondo gli specialisti dell’azienda americana gli attacchi distruttivi sono stati accompagnati anche da ampie attività di spionaggio e sabotaggio che hanno sia degradato i sistemi informatici delle istituzioni in Ucraina, sia cercato di interrompere l’accesso delle persone a informazioni affidabili cercando di minare la fiducia nella leadership del paese.

In molti casi gli effetti si sono visti con gli attacchi a banche, televisioni, elettrodotti, altre volte no.

Gli attacchi distruttivi osservati da Microsoft, circa 40, mirati a centinaia di sistemi – si sono rivelati preoccupanti: il 32 per cento degli attacchi distruttivi ha preso di mira direttamente le organizzazioni del governo ucraino a livello nazionale, regionale e cittadino ma un altro 40 per cento è stato rivolto ai gestori di infrastrutture critiche con effetti negativi di secondo ordine su governo, esercito, economia e civili ucraini.

Il rapporto Microsoft afferma anche di avere individuato una limitata attività di spionaggio ai danni di Stati membri della Nato e svariate attività di disinformazione.

Come dettaglia il rapporto, l’uso da parte della Russia degli attacchi informatici sembra essere fortemente correlato e talvolta direttamente sincronizzato con le sue operazioni militari cinetiche (quelle che in gergo militare indicano il movimento), che prendono di mira servizi e istituzioni cruciali per i civili (immagine).

Esempi? Quando un gruppo russo ha lanciato attacchi informatici contro un’importante compagnia televisiva il 1° marzo 2022, l’esercito russo ha annunciato l’intenzione di voler distruggere obiettivi ucraini di “disinformazione” e ha diretto un attacco missilistico contro una torre della Televisione a Kiev.

Il 13 marzo, nella terza settimana dell’invasione, dopo che le unità militari russe hanno iniziato a occupare le centrali atomiche suscitando il timore di un incidente nucleare, un attore russo ha rubato dati da un’organizzazione per la sicurezza nucleare.

Mentre le forze russe assediavano la città di Mariupol, gli ucraini hanno iniziato a ricevere un’e-mail da hacker russi che, fingendosi residenti di Mariupol, accusavano falsamente il governo ucraino di “abbandonare” i cittadini ucraini. Gli attori coinvolti in questi attacchi insomma utilizzano una varietà di tecniche per superare le difese degli obbiettivi, tra cui phishing, lo sfruttamento di vulnerabilità non risolte del software e la compromissione dei fornitori di servizi di Information Technology IT a monte – gli attacchi alla supply chain, ovvero la catena di distribuzione[10].

La guerra informatica prima e dopo l’invasione

Le incursioni di hacker statali russi contro ferrovie e centrali elettriche ucraine nel 2015, 2016, 2017 motivate dalla rappresaglia contro il governo filo-europeo insediatosi dopo la così detta Rivoluzione Arancione, sono state un modo per testare la capacità di difesa del paese.

Gli Advanced Persistent Threats APT (letteralmente “minacce persistenti avanzate), tecniche e software malevoli che per traslazione danno il nome ai gruppi che le usano), gli hacker russi, negli stessi anni avevano fatto lo stesso con Estonia, Lettonia e Lituania, le ex repubbliche sovietiche del Baltico, attaccandone sia le istituzioni finanziare sia le infrastrutture energetiche, un modo esplicito per minacciarle se avessero stretto più forti legami con l’Europa.

Ma stavolta gli attori allineati con e finanziati dalla Russia hanno iniziato a posizionarsi per un conflitto aperto già nel marzo 2021, intensificando le azioni contro organizzazioni alleate dell’Ucraina per prendere posizione all’interno dei suoi sistemi informatici in caso di conflitto manifesto.

Secondo il già citato rapporto di Microsoft An overview of Russia’s cyberattack activity in Ukraine, tutto ciò si è reso evidente quando le truppe russe hanno iniziato a spostarsi per la prima volta verso il confine nel 2022: i pirati informatici governativi russi (nation state hacker) hanno moltiplicato gli sforzi per ottenere l’accesso iniziale a obiettivi che potessero fornire informazioni sui partenariati militari e stranieri dell’Ucraina.

Per garantire un ulteriore accesso ai sistemi di Kiev e a quelli degli Stati membri della Nato avrebbero anche compromesso diversi fornitori IT mondiali.

Così quando all’inizio dell’anno gli sforzi diplomatici non sono riusciti ad allentare le tensioni al confine, gli attori russi hanno lanciato attacchi distruttivi di malware wiper contro le organizzazioni ucraine con crescente intensità.

I malware usati a questo scopo e individuati sono stati otto. Nomi evocativi come WhisperGate, FoxBlade, DesertBlade e CaddyWiper rimandano però tutti a “famiglie malware” che sovrascrivono i dati e rendono i pc inutilizzabili o “vuoti”, come FiberLake, una funzionalità .NET utilizzata per l’eliminazione dei dati, oppure SonicVote, un codificatore di file talvolta utilizzato insieme a FoxBlade e Industroyer2 che mira specificamente alla tecnologia operativa per ottenere effetti fisici per bloccare produzione e processi industriali.

Le raccomandazioni di Microsoft

“Dato che gli attori delle minacce russe hanno rispecchiato e potenziato le azioni militari, riteniamo che gli attacchi informatici continueranno a intensificarsi mentre il conflitto infuria

si legge nel rapporto. Gli hacker russi potrebbero essere incaricati di attaccare i paesi che decidono di fornire maggiore assistenza militare all’Ucraina e adottare misure più punitive contro il Cremlino in risposta all’aggressione militare. Una previsione ancora più sinistra se associata alla minaccia del presidente Putin di usare “armi mai viste”, da quando si è scoperto l’interesse russo ad hackerare il fianco est della Nato, i Paesi baltici e la Turchia.

Una ipotesi suffragata dal fatto che uno degli attori più pericolosi individuati, Nobelium, legato all’intelligence estera SVR, ha tentato nel passato di accedere a società IT che servono clienti governativi di membri Nato, a volte compromettendo con successo e poi sfruttando account privilegiati per violare e rubare dati dalle organizzazioni di politica estera occidentali.

“Al di là del più ampio valore derivato da quelle che sembrano essere le tradizionali operazioni di spionaggio, l’accesso persistente alle organizzazioni di politica estera negli Stati membri della Nato potrebbe fornire alla leadership russa informazioni continue su cosa aspettarsi dall’Occidente in risposta alle azioni russe in Ucraina. Circa il 93 per cento di tutta l’attività di attacco sostenuta dalla Russia osservata nei nostri servizi online è stata rivolta agli Stati membri della Nato, in particolare contro Stati Uniti, Regno Unito, Norvegia, Germania e Turchia fino al 2021”.

Per Microsoft, che ha messo in campo circa 1000 analisti del suo Mistic Team, gli avvisi pubblicati dalla CIA e da altre agenzie governative vanno presi sul serio e invita ad adottare le misure difensive e di resilienza adeguate, sia dalle agenzie governative che dalle imprese private che gestiscono infrastrutture critiche.

Per l’Italia queste raccomandazioni sono state divulgate dall’Agenzia per la Cybersicurezza nazionale e da altri organismi europei come Enisa.

La disinformazione come arma. Dagli anni della Grande Depressione alle Misure Attive attuali. La continuazione della guerra con altri mezzi

Insieme al sabotaggio informatico la guerra ibrida moderna è combattuta con operazioni di spionaggio e disinformazione[11]. E i russi, che con la disinformatia hanno provato a creare il contesto per l’annessione della Crimea, non hanno mai smesso di manipolare le percezioni dell’opinione pubblica occidentale con le così dette Misure Attive, cercando di influenzare sia i decisori politici sia l’opinione pubblica.

É bene ricordare che Misure attive è un’espressione gergale usata dalla comunità dell’intelligence e dagli studiosi quando si parla di manipolazione delle percezioni e del comportamento dell’avversario. La disinformazione riguarda esplicitamente tutte le attività di manipolazione dell’informazione organizzate a un livello centrale e burocratico per inquinare le notizie mescolando il vero col falso e produrre crepe all’interno di un corpo sociale, seminando paura, incertezza e dubbio. Disinformation non è però Misinformation, cioè la Misleading Information, l’informazione fuorviante o sbagliata che in genere traduciamo come “cattiva informazione”. La disinformation può sostenere la Propaganda che però è considerata un’azione legittima anche nell’ordinamento giuridico europeo.

Per capire cosa sia la disinformazione in quanto “Misura attiva”, il politologo tedesco Thomas Rid nel suo libro Misure Attive. Storia segreta della disinformazione[12], distingue quattro fasi storiche del loro uso:

  1. Una prima, a cavallo tra le due guerre coincidente con la Grande Depressione in cui gli americani usano il termine political warfare,
  2. la seconda, durante la guerra fredda in cui si afferma nel blocco sovietico il concetto di dezinformatzija,
  3. successivamente quella delle Misure Attive a ridosso della caduta del muro di Berlino.
  4. Infine, un’ultima fase è quella attuale in cui le Misure Attive sono basate sull’hack and leak (hackera e diffondi).

Comunque si chiamino, le Misure Attive sono da cent’anni un elemento centrale dei conflitti che non sono combattuti con missili, droni e carri armati. Esse rappresentano la continuazione della guerra con altri mezzi, quando la guerra con mezzi militari non riesce a conseguire gli obbiettivi assegnati, anche se spesso gli si affianca e la prepara.

Misure Attive. Il caso esemplare dell’annessione della Crimea alla Russia

L’annessione della Crimea alla Russia, il primo evento della guerra russo-ucraina iniziata nel 2014, è una storia esemplare di come le misure attive abbiano cercato di creare il contesto per l’invasione della penisola attraverso la pubblicazione di email false, documenti “leakati”, rivelazione di scandali politici, video online rivendicati da Anonymous Ukraine ma creati ad arte dai servizi segreti russi, Unità GRU 74455, e ritenute vere da molti attivisti. Sono gli stessi nation state hacker, quei pirati informatici governativi russi che in seguito hanno attaccato con armi cibernetiche le ferrovie, la rete elettrica e gli impianti industriali ucraini dal 2014 a oggi.

La logica delle Misure Attive applicate in Ucraina è da manuale: si decide di lanciare un’operazione militare, si trova un pretesto appropriato, magari di tipo umanitario – si dovevano proteggere i filorussi del Donbass -, e poi si agisce militarmente per un cambio di regime. Una logica che, come racconta Marta Federica Ottaviani nel libro Brigate Russe[13], evolverà nell’infowar teorizzata nella così detta “Dottrina Gerasimov”, dal nome di un capo di stato maggiore russo, per superare i concetti di guerra ibrida, grigia e asimmetrica. Che si parli di Misure Attive o di infowar, l’elemento centrale della disinformazione oggi è rappresentato dall’impiego di strumenti cyber per vincere la guerra cognitiva in rete. I soldati di questa guerra sono i cyberwarriors, gli hacker, i bot e i troll, di cui i russi, e non solo loro, hanno fatto largamente uso negli ultimi anni.

“La cultura Internet sembra fatta apposta per la disinformazione di massa”

Le Misure Attive hanno provocato un peculiare effetto: la rivoluzione digitale ha alterato profondamente le basi della disinformazione.

L’Internet culture dell’hack and leak (ossia hackera e diffondi, trapela), dello steal and publish (ossia ruba e pubblica) ha creato la copertura perfetta per la disinformazione dietro la difesa della libertà d’espressione, il culto dei whistleblower (cioè l’informatore, la talpa), la sostituzione del giornalismo con l’attivismo digitale, rendendo le misure attive più pericolose.

L’hacking oggi consente di attuare le misure attive a distanza, di non usare la violenza fisica e di negarla senza problemi:

La cultura Internet sembra fatta apposta per la disinformazione di massa”.

Il modo più diffuso per realizzare misure attive nel mondo occidentale è manipolare i media.

Il ruolo che le fake news possono giocare in questo tipo di guerra ibrida non è da sottovalutare.

Primo perché le fake news proliferano sui canali social dove incontriamo amici e parenti di cui ci fidiamo e quelli che abbiamo selezionato come appartenenti alla nostra cerchia, il famoso “effetto bolla”.

Il secondo motivo è la loro riproducibilità a costo zero che le rende virali. Il terzo è il tipo di tecnologia usate per diffonderle: troll, meme e fake video.

Gli strumenti della propaganda computazionale: troll, meme e deep fake

I troll automatizzati (bot) sono quelli che disturbano le conversazioni che abbiamo sui social. Ripetono alcuni messaggi in maniera ossessiva per dare l’idea di un largo consenso rispetto a notizie complottiste non verificabili e screditare tesi avversarie.

È l’evoluzione dell’Astroturfing,

“una tecnica di propaganda nell’ambito del marketing, consistente nella creazione a tavolino di un supposto consenso proveniente dal basso, della memoria o della storia pregressa di un’idea, un prodotto”.

Come dice Wikipedia. La tecnica di astroturfing si affida spesso a persone retribuite con modalità non trasparenti, affinché esse producano artificialmente un’aura positiva intorno al bene da promuovere.

I meme, immagini e slogan ad effetto, sono spesso la loro arma principale. Le persone sono catturate da questa forma immediata di pseudo-informazione se coerente con la loro visione del mondo innescando i bias cognitivi noti come il pregiudizio di conferma, le casse di risonanza e l’effetto bandwagon.

Infine i deep fake sono strumenti basati su algoritmi di intelligenza artificiale per produrre video e audio falsi in grado di mettere in bocca agli altri, cose che nella realtà non hanno mai detto.

Sono gli strumenti della propaganda computazionale.

Per quanto riguarda l’Ucraina è stata ad esempio individuata una campagna di disinformazione via Sms capace di raggiungere anche gli stessi soldati ucraini.

Il Digital Forensic Research Lab del Consiglio Atlantico ha anche segnalato una serie di false narrative distribuite sui social media e propagandate da giornali e televisioni pro-Cremlino.

Hanno tutti lo stesso scopo, minimizzare gli effetti del conflitto sulla popolazione civile e presentare Putin come un saggio capo di governo. Per proteggersi dalla disinformazione, l’Unione Europea ha da tempo definito delle linee guida e avviato una serie di progetti, mentre la Svezia ha creato l’Agenzia per la Difesa Psicologica contro la disinformazione[14].

Gli hacktivisti, i nation state hacker e la disinformazione. Il ruolo della società civile nel conflitto

Dall’inizio dell’invasione in Ucraina la società civile ha avuto un ruolo nel conflitto.

Il governo ucraino ha chiamato i cittadini a difendere le infrastrutture critiche del paese con mezzi informatici e a bersagliare con attacchi DDoS quelli russi e i russi, con i gruppi Legione e Killnet, hanno agito nello stesso modo mentre i paramilitari cibernetici finanziati dai servizi segreti diffondevano malware distruttivi dentro e fuori il paese invaso.

Per prevenire propaganda e disinformazione i governi occidentali hanno bandito social e media russi come Sputnik e Russia Today dai propri territori e la Russia ha fatto lo stesso in ritorsione con Twitter e Facebook.

Intanto però prima dell’ingresso delle truppe russe in Ucraina, i modem della rete Internet satellitare KA-SAT di Viasat sono stati disabilitati in massa e poi sono arrivati gli attacchi informatici veri e propri.
In aggiunta a questo i servizi segreti di Vladimir Putin hanno sfruttato i gruppi ransomware filorussi come Conti Team per attaccare la supply chain (ovvero la filiera, la catena di fornitura) di aziende dei paesi Nato con l’obbiettivo di interferire con la produzione di armi e l’erogazione di servizi essenziali come acqua e servizi sanitari.

L’intervento dei cybersoldati statunitensi

Motivo per cui gli Stati Uniti d’America sono intervenuti nel conflitto coi loro cybersoldiers.

Come era già successo nel 2015, le forze russe hanno anche occupato i principali Internet service provider della Crimea, interrotto i collegamenti con l’Ucraina, costruito un nuovo cavo sottomarino in fibra ottica e reindirizzato il traffico Internet attraverso Miranda Media, sede a Mosca, per consentire a Roskomnadzor, l’autorità russa di regolamentazione delle telecomunicazioni, di controllarlo e obbligare i residenti della penisola a rispettare le draconiane normative russe.

Un modello replicato nei territori occupati di Kherson e altre città che ha indotto gli ucraini in ritirata a distruggere le loro stesse infrastrutture di comunicazione.

Mosca ha pure tentato di vietare l’uso di sistemi di comunicazione anonima Tor[15] e reti private (Vpn), usate per aggirare la censura del governo, minacciando perfino di staccarsi dall’Internet globale col progetto RuNet.

Nel frattempo Elon Musk offriva a Volodymyr Zelenskyj il suo sistema satellitare per garantire agli ucraini la possibilità di comunicare via Internet e diverse aziende private mettevano a disposizione le immagini dei propri satelliti per dirimere la responsabilità di eccidi come quello di Bucha, mentre ClearView, la famigerata azienda americana di sorveglianza, gli offriva sistemi di riconoscimento facciale per identificare i soldati russi, usati anche per minacciare le loro famiglie.

Insomma il coinvolgimento di attori non statali, la censura dei media e la crescente importanza militare delle telecomunicazioni sta portando a un’accelerazione della balcanizzazione di Internet e alla fine dell’utopia di un mondo pacifico perché iperconnesso e interdipendente grazie alla Rete. E sta trasformando Internet in arma di guerra.

Il 13 Giugno 2022 il CyberTracker del gruppo di sicurezza informatica CyberKnow ha contato 74 gruppi hacker che supportano una delle due parti in guerra, 47 pro-Ucraina e 27 pro-Russia (si veda a questo riguardo la tabella riprodotta all’inizio della pagina successiva).

Potrebbe sembrare l’apice del dispiegamento della così detta “dottrina Gerasimov”, il generale dell’Armata Russa che ha teorizzato l’uso di tecnologia, falsi e propaganda per conseguire risultati militari.

In realtà non si discosta molto dal concetto di political warfare nel 1948 sviluppato dal diplomatico statunitense George Frost Kennan, ispiratore dell’Ufficio per i progetti speciali del Consiglio per la sicurezza nazionale Usa e delle successive attività perseguite con successo dalla Central Intelligence Agency, più nota come CIA, l’Agenzia statunitense di Informazioni Centrali nata il 26 Luglio del 1947 per coordinare operazioni d’attacco segrete volte a contrastare l’espansione del comunismo.

Fatto sta che l’evoluzione tecnologica e i cambiamenti nella dottrina militare in molti paesi, hanno aperto la strada alla collaborazione tra hacker di stato, hacktivisti e forze militari.

Le ultime prove giungono da un rapporto della società di cybersecurity Mandiant (acquisita da Google/Alphabet) del 23 Settembre 2022, secondo cui, quando gli hacker governativi russi attaccano, passano i dati rubati agli hacktivisti entro 24 ore dall’irruzione in modo da consentirgli di effettuare nuovi attacchi e diffondere propaganda filorussa.  Ad agire in questo modo sarebbero in particolare quattro gruppi non governativi: XakNat Team, Infoccentr, CyberArmyofRussia_Reborn e Killnet. XakNet si coordinerebbe con l’intelligence russa e con Killnet, il collettivo che, con motivazioni patriottiche, ha bloccato i siti delle Forze dell’ordine italiane nei mesi estivi. Recentemente gli hacker di Stato come Sandworm, noti per il virus Industroyer, hanno impersonificato gli operatori di telecomunicazioni ucraini Datagroup ed EuroTransTelecom nei loro attacchi.

Le autorità ucraine il 26 settembre 2022 hanno dichiarato di aver arrestato un gruppo di cybercriminali specializzato nella vendita di account per diffondere disinformazione. Operanti a Leopoli erano in possesso di circa 30 milioni di account appartenenti a cittadini ucraini ed europei. Il gruppo, pro-russo, avrebbe guadagnato circa 400 mila dollari rivendendoli all’ingrosso attraverso sistemi di pagamento elettronici.

I clienti sarebbero propagandisti pro-Cremlino che hanno l’obbiettivo di

“diffondere false notizie dal fronte e seminare il panico per la destabilizzazione su larga scala in più paesi nei social network e nei canali di messaggistica veloce”.

In precedenza le autorità avevano chiuso due farm di bot, a Mariupol e Odessa, da 7 mila account, l’uno per diffondere disinformazione e creare panico nella regione. Un’attività legata a una fase della guerra russo-ucraina per colpire i cittadini di alcune zone, soprattutto nel Donbass occupato.

Sempre il 26 settembre 2022 il governo ucraino ha anche diffuso un allarme circa massicci attacchi cibernetici sotto forma di malware e DDoS verso le infrastrutture energetiche del paese invaso e contro i suoi alleati come la Polonia e i Paesi baltici.

Secondo molti analisti e a parere di chi scrive, la guerra cibernetica, fatta di attacchi hacker e disinformazione, è destinata a durare, indipendentemente dall’esito del conflitto on the ground fra Russia e Ucraina.


[1]Arturo Di Corinto, “Perché l’attacco a Solarwinds è stato così devastante?” IT. Italian Tech, 28 settembre 2021. Cfr. https://www.italian.tech/2021/09/18/news/perche_l_attacco_a_solarwinds_e_stato_cosi_devastante_-318027621/

[2] Cybersecurity and Infrastructure Security Agency, “Alert (AA22-110A). Russian State-Sponsored and Criminal Cyber Threats to Critical Infrastructure”, 20 aprile 2022. Cfr. https://www.cisa.gov/uscert/ncas/alerts/aa22-110a.

[3]Il termine firmware deriva dall’unione di firm (stabile) e ware (componente) e rappresenta un programma presente in tutti i dispositivi elettronici che gli consente, in ultima analisi, di poter funzionare. Infatti il firmware permette al componente nel quale è inserito di avviarsi e interagire con altri componenti hardware. Il firmware, quindi, viene inserito all’interno del dispositivo in modo da poter essere sempre funzionante e permettere allo stesso di accendersi. Svolge il ruolo di ponte tra tutto l’apparato hardware e il software stesso.

[4] Una Botnet è una  Rete di computer collegati alla rete telematica che passano sotto il controllo di un’unica entità, diventando possibili oggetti di contagio da parte di virus informatici.

[5][5]“ Internet disruptions registered as Russia moves in on Ukraine”, Netblocks, 24 febbraio 2022. Cfr. https://netblocks.org/reports/internet-disruptions-registered-as-russia-moves-in-on-ukraine-W80p4k8K.

[6] https://www.csirt.gov.it/.

[7] Si veda lo Strategic Plan 2023-2025 della Cisa: cfr. https://www.cisa.gov/.

[8] https://www.cisa.gov/shields-up.

[9] Digital Security Unit Microsoft, Special Report: Ukraine. An Overview of Russia’s Cyberattack activity in Ukraine, Redmond, 27 aprile 2022, 21 p. Cfr. https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE4Vwwd.

[10]Il termine Supply Chain indica un sistema di organizzazioni, persone, attività, informazioni e risorse coinvolte nel processo atto a trasferire o fornire un prodotto o un servizio dal fornitore al cliente.

[11] Arturo di Corinto, “Hack and leak, le nuove Misure attive”, Il Manifesto, 19 maggio 2022. Disponibile per gli abbonati online: https://ilmanifesto.it/hack-and-leak-le-nuove-misure-attive.

[12] Thomas Rid, Active Measures: The Secret History of Disinformation and Political Warfare, London-New York, Profile Books – Farrar, Straus and Giroux, 2020, 523 p. Traduzione italiana di Paolo Bassotti, Misure Attive. Storia segreta della disinformazione, Roma, Luiss University Press, 2022, 496 p.

[13] Marta Federica Ottaviani, Brigate Russe. La guerra occulta del Cremlino tra troll e hacker, Milano, Ledizioni editore, 2022, 192 p.

[14]Si veda il sito della Swedish Psichological Defenze Agency:  https://www.mpf.se/en/about-us/.

[15] TOR (The Onion Router) è un sistema di comunicazione anonima per Internet, basato sul protocollo di rete “onion routing” che si sovrappone al comune TCP, avente lo scopo di salvaguardare la privacy e la libertà degli utenti, permettendo loro di comunicare in via confidenziale rendendo estremamente difficile la possibilità di monitoraggio.

Leggi le altre notizie sull’home page di Key4biz