La guerra tra Russia e Ucraina non viene condotta soltanto in modi tradizionali, sui campi di battaglia, ma anche online, come si può facilmente immaginare. La domanda che si pongono in molti è quindi la seguente: cosa sta accadendo sul web? A dare una prima risposta è un rapporto elaborato da Microsoft, dal titolo abbastanza esplicito: Defending Ukraine: Early Lessons from the Cyber War.

Il rapporto cerca in particolare di capire come la Russia stia operando per indebolire le difese avversarie e propone una strategia coordinata e globale tesa ad un deciso rafforzamento delle difese collettive, chiedendo in tal senso il raccordo tra settore privato, settore pubblico, organizzazioni non profit e della società civile. Andiamo quindi a vedere i punti più interessanti toccati dal documento.

La guerra è iniziata il 23 febbraio, non il 24

Uno dei primi punti affrontati dal documento di Microsoft è quello relativo all’inizio delle ostilità. Secondo i redattori del rapporto, infatti, se il primo colpo d’arma da fuoco è stato sparato il 24 febbraio, il primo atto di ostilità risale al giorno precedente, quando i russi hanno lanciato un’arma informatica chiamata “Foxblade” contro i computer ucraini.

Proprio sulla guerra cibernetica, quindi, va a concentrare la sua analisi Microsoft, ricordando che l‘invasione russa si basa in parte su una strategia informatica dispiegata lungo tre distinte direttrici:

  1. attacchi informatici distruttivi all’interno dell’Ucraina;
  2. penetrazione della rete e spionaggio al di fuori dell’Ucraina;
  3. operazioni di propaganda informatica rivolte verso persone dislocate in ogni parte del globo.

Da qui, gli estensori del rapporto hanno cercato di trarre conclusioni in grado di rispondere all’importanza della sfida. Importanza che deriva da una precisa constatazione: gli aspetti cibernetici della guerra non riguardano solo l’Ucraina. Proprio la presenza di Internet permette alle attività informatiche di abbattere le difese fornite da confini, muri e oceani, prefigurando strategie assolutamente nuove, tali da richiedere una nuova forma di difesa collettiva.

Dopo quattro mesi di guerra, è ora possibile dare una prima valutazione sui punti di forza e di debolezza delle operazioni informatiche dell’una e dell’altra parte. In particolare, le domande cui occorre dare una risposta sono le seguenti, secondo gli analisti di Microsoft:

  • quali difese collettive stanno contrastando con successo gli attacchi e quali al contrario stanno fallendo?
  • quali innovazioni tecnologiche sono usate nel conflitto?
  • quali misure sono necessarie per riuscire ad approntare una efficace difesa dagli attacchi informatici in futuro?

Per riuscire a dare risposte concrete occorre basare le valutazioni su dati accurati e, soprattutto, non cedere all’impressione che la guerra cibernetica in Ucraina non abbia raggiunto i livelli distruttivi che in molti avevano previsto prima dello scoppio delle ostilità.

Proprio le conclusioni del rapporto rappresentano naturalmente la parte più importante, in quanto vanno a indicare non solo le lezioni apprese durante il conflitto ancora in atto, ma anche le risposte cui occorre iniziare a pensare in vista di futuri conflitti giocati non solo sui campi di battaglia, ma anche online.

Decentralizzare i dati

La prima  conclusione cui giunge il rapporto è quella relativa alla necessità di decentralizzare i sistemi informatici e i dati. Occorre cioè cercare di erogare e distribuire operazioni digitali e risorse di dati oltre i confini nazionali e in altri Paesi, naturalmente quelli alleati.

Sotto tale punto di vista non sorprende eccessivamente il fatto che la Russia abbia preso di mira il data center del governo ucraino, mediante un attacco condotto con un missile da crociera. Più sorprendente il fatto che altri server locali fossero vulnerabili agli attacchi condotti con l’impiego di armi convenzionali, oltre che coi cosiddetti attacchi tergicristallo (wiper), ovvero portati avanti tramite malware il cui obiettivo è quello di di distruggere i dati dei sistemi colpiti.

La risposta del governo ucraino sotto questo punto di vista è stata però convincente, dando luogo ad una reazione rapida, portata avanti distribuendo la sua infrastruttura digitale nel cloud pubblico, aiutata dall’aiuto offerto dai data center di tutta Europa. Uno sforzo cui ha partecipato anche Microsoft, insieme ad un gran numero di aziende del settore tecnologico e il quale è risultato fondamentale.

L’evoluzione degli strumenti utilizzati dalla Russia nella guerra cibernetica

Il secondo dato che emerge analizzando quanto accaduto nella guerra cibernetica tra Russia e Ucraina è l’evoluzione degli strumenti utilizzati da Mosca. Le tattiche usate stavolta sono diverse da quelle impiegate nell’attacco NotPetya contro l’Ucraina, risalente al 2017. In quella occasione, infatti, era stato usato malware distruttivo “wormable”, il quale era in grado di passare da un dominio all’altro e attraversare di conseguenza i confini in altri Paesi.

Questo genere di software è stato stavolta limitato a domini di rete specifici posizionati all’interno del territorio ucraino. Quelli più recenti, però, sono stati non solo molto sofisticati, ma anche molto più diffusi di quanto affermato da molti rapporti prodotti ad hoc. A renderli ancora più performanti è poi il fatto che l’esercito russo continua ad adattare questi attacchi alle mutevoli esigenze belliche, accoppiandoli agli attacchi condotti con l’utilizzo di armi convenzionali.  

Se gli attacchi russi hanno denotato un vero e proprio salto di qualità, anche l’Ucraina ha però messo in mostra progressi nell’intelligence delle minacce informatiche e nella protezione delle proprie strutture. Naturalmente si è parlato poco di questo aspetto, in quanto le attività informatiche sono invisibili ad occhio nudo, quindi più difficili da rintracciare non solo per i giornalisti, ma anche per molti analisti militari. Proprio Microsoft, però, ha assistito ad una lunga serie di attacchi informatici russi, rivolti contro 48 distinte agenzie e imprese ucraine

Secondo gli analisti dell’azienda statunitense, a rivelarsi sorprendente è stata proprio la capacità di reazione delle difese informatiche, le quali hanno permesso di rintuzzare molti degli attacchi. A rendere possibile ciò sono stati in particolare due fattori:

  1. i progressi dell’intelligence, che hanno permesso una rilevazione più efficace degli attacchi, anche quando ad essere impiegata è stata l’intelligenza artificiale;
  2. la protezione degli endpoint connessi a Internet, la quale ha permesso una rapida distribuzione del codice del software di protezione non solo ai servizi cloud, ma anche ad altri dispositivi informatici connessi in modo da identificare e disabilitare il malware. 

L’offensiva russa fuori dall’Ucraina

Altro punto affrontato dagli analisti di Microsoft è poi relativo all’intensificazione delle attività da parte delle agenzie di intelligence russe contro i governi alleati fuori dal territorio ucraino, condotta con una capillare penetrazione della rete e attività di spionaggio. Oltre agli Stati Uniti, l’altro principale obiettivo della Russia è stata la Polonia, per il suo particolare ruolo di centro di coordinamento di gran parte della consegna logistica relativa ad assistenza militare e umanitaria.

Inoltre, le attività russe hanno avuto come bersaglio anche i paesi baltici e, nel corso degli ultimi due mesi le reti di computer in Danimarca, Norvegia, Finlandia, Svezia e Turchia. Così come un aumento di questo genere di operazioni ha avuto come obiettivo i ministeri degli esteri di altri paesi della NATO. Nell’elenco degli obiettivi sono però reperibili anche gruppi di riflessione, organizzazioni umanitarie, società IT, fornitori di energia e altre infrastrutture critiche. La percentuale di riuscita delle operazioni russe ammonta al 29%Un quarto delle intrusioni coronate da successo ha permesso l’esfiltrazione dei dati dell’organizzazione colpita. I dati in questione, però, vanno probabilmente a sottostimare il grado di successo.  

Al proposito, Microsoft esprime la sua preoccupazione per i computer governativi “on premise” (quelli in cui la fornitura, l’installazione e la gestione di programmi informatici installati avviene attraverso dispositivi locali) più che per quelli affidati al cloud. L’incidente di SolarWinds, avvenuto 18 mesi fa, ha reso note le notevoli capacità delle agenzie di intelligence russe nell’impianto di codice e nel dare vita ad operazioni di Advanced Persistant Threat (APT) tese a ottenere ed esfiltrare informazioni sensibili da una rete su base continuativa. Se da allora si sono verificati sostanziali progressi nella protezione, gli stessi sono avvenuti in maniera non omogenea. In particolare sono ancora presenti debolezze difensive nei Paesi europei.

Le operazioni globali di influenza informatica 

Un altro punto affrontato dallo studio di Microsoft è poi quello relativo alle operazioni di influenza informatica condotte dalle agenzie russe. Al fine di sostenere lo sforzo bellico, tali attività di propaganda vanno a combinare le tattiche in precedenza sviluppate dal KGB con le nuove tecnologie digitali. Paradossalmente, nel farlo gli interessati sono stati avvantaggiati dall’apertura che caratterizza le democrazie e dalla polarizzazione tipica della nostra epoca. 

Con il progredire delle operazioni belliche sul suolo ucraino, le agenzie russe hanno deciso di concentrare le operazioni di cyber-influenza su quattro distinti target:

  • la popolazione russa con l’obiettivo di elevare il sostegno all’operazione Z;
  • quella ucraina, mirando a minarne la fiducia nei riguardi della volontà e capacità del Paese di resistere agli attacchi;
  • le popolazioni americane ed europee, puntando a indebolire l’unità occidentale e deviare le critiche sui crimini di guerra militari russi;
  • le popolazioni dei paesi non allineati, con l’obiettivo di avere il loro sostegno alle Nazioni Unite e in altri consessi internazionali. 

Oltre ai team APT operanti all’interno dei servizi di intelligence russi, in queste operazioni sono implicati quelli di Advanced Persistent Manipulator (APM) che attuano le loro operazioni tramite social media e piattaforme digitali. Per farlo utilizzano false narrazioni su siti gestiti e influenzati dal governo di Mosca e che fanno leva su strumenti tecnologici progettati per sfruttare i canali utilizzati. Tra gli esempi recenti ci sarebbero le narrazioni sui biolab in Ucraina e gli sforzi tesi a offuscare gli attacchi militari contro obiettivi civili ucraini. Operazioni che secondo il team messo al lavoro da Microsoft per monitorarle, avrebbero aumentato con successo la diffusione della propaganda russa dopo l’inizio della guerra del 216% in Ucraina e dell’82% negli Stati Uniti.  

Le operazioni russe in corso sono peraltro basate sui metodi utilizzati al fine di diffondere false notizie sul Covid all’interno dei Paesi occidentali. Le operazioni di cyber-influenza sponsorizzate da Mosca nel 2021 hanno in particolare cercato di scoraggiare l’adozione di vaccini con la diffusione di rapporti online in lingua inglese, incoraggiando di converso l’uso del vaccino russo tramite siti in quella lingua. In particolare, nel corso degli ultimi sei mesi queste operazioni hanno avuto come bersaglio Nuova Zelanda e Canada, cercando di infiammare l’opposizione pubblica alle politiche sanitarie dei rispettivi governi. Per quanto riguarda il Canada, il riferimento è al Freedom Convoy dei camionisti che ha assediato Ottawa in segno di protesta contro l’obbligo vaccinale.  

Nell’intento di contrastare queste operazioni, l’azienda afferma la sua intenzione di espandere il proprio lavoro in questo ambito, anche con acquisizioni di società specializzate, come è stato fatto nella passata settimana con Miburo Solutions, società leader nell’analisi e ricerca delle minacce informatiche specializzata nell’individuazione delle operazioni di propaganda da parte di Stati esteri e nella risposta alla stessa. 

La necessità di una strategia globale

L’ultimo punto toccato dallo studio di Microsoft è quello relativo alla necessità di approntare una strategia coordinata a livello globale, al fine di rafforzare le difese contro le operazioni cibernetiche, lo spionaggio e la propaganda. Come dimostrato dalla guerra in Ucraina, il governo russo non le persegue come sforzi separati da quelli bellici convenzionali, un’ottica che dovrebbe essere adottata anche da Stati Uniti e Paesi alleati.

Nell’intento di perseguire progressi in grado di opporre una barriera alle minacce informatiche  il rapporto consiglia di fare leva su questi principi comuni:

  1. il riconoscimento del fatto che le minacce informatiche russe sono portate avanti da una serie di attori all’interno e all’esterno del governo russo e il dispiegamento di tattiche digitali analoghe;
  2. progressi consistenti in tema di tecnologia digitale, intelligenza artificiale e trattamento dati al fine di poterli contrastare, con una crescente collaborazione tra settore pubblico e privato, diversamente da quanto accaduto al verificarsi di analoghe minacce passate;
  3. la necessità di una stretta collaborazione multilaterale tra i governi con l’obiettivo di proteggere le società aperte e democratiche.  

Una risposta efficace deve basarsi su questi principi mixandoli a quattro pilastri strategici, in modo tale da incrementare le capacità collettive al fine di rilevare le minacce informatiche straniere, difendersi da esse, interromperle e scoraggiarle. Tale approccio è già rintracciabile in molti sforzi collettivi tesi ad affrontare raid e spionaggio informatico. Già applicate nella lotta al ransomware, ora dovrebbero essere allargate all’opera di contrasto verso le operazioni informatiche russe tese ad accrescere l’influenza di Mosca. Per quanto riguarda Microsoft, l’azienda assicura il suo impegno nel dispiegamento di tutti gli sforzi necessari, anche con massicci investimenti in tecnologia, dati e partnership tesi a sostenere governi, aziende, ONG e università. 

Leggi anche: La Russia annuncia CELLS, un nuovo sistema blockchain alternativo allo SWIFT

I nostri contenuti da non perdere: