In realtà sono molti i gruppi cybercriminali che già partecipano allo sforzo bellico dei russi che hanno avviato campagne di ritorsione contro le aziende occidentali e ucraine usando malware distruttivi, ricatti ransomware, o attacchi DDoS, insieme ad altre iniziative di spionaggio e sabotaggio. Guerra digitale
L’avviso diramato mercoledì ha dichiarato senza mezzi termini che gli attori informatici sponsorizzati dallo stato russo hanno la capacità di compromettere le reti informatiche, rimanere acquattati nelle infrastrutture critiche, rubare dati sensibili, interrompere e sabotare i sistemi di controllo industriale con malware specializzato per manipolarli, acquisirne i dati e distruggere i macchinari che comandano.
“Questa attività potrebbe verificarsi in risposta ai costi economici senza precedenti imposti alla Russia, nonché al supporto materiale fornito dagli Stati Uniti e dagli alleati e partner degli Stati Uniti” dicono le fonti.
I danni della cyberwar
Se un computer può fermare un carrarmato e la guerra elettronica propriamente detta può abbattere un drone o interrompere le comunicazioni militari con azioni di jamming, un cyberattacco può interrompere l’erogazione di servizi essenziali e fare vittime civili.
In effetti un attacco informatico ben riuscito può bloccare l’erogazione di acqua e energia elettrica, far deragliare un treno e spegnere i semafori in città ma anche interferire col ciclo di raccolta dei rifiuti e con tutte le attività che caratterizzano il funzionamento di una smart city. Di esempi ne abbiamo avuti molti. Gli attacchi agli impianti di desalinizzazione israeliani da parte di gruppi filo-iraniani, lo spionaggio industriale cinese, il ransomware Wannacry che ha bloccato la sanità inglese per giorni, l’interruzione della fornitura di gas da parte della Colonial Pipeline l’inverno scorso in Texas e molti, molti, altri. La guerra
La stessa Ucraina è stata bersagliata fin dal 2014 da cyberattacchi. In quel caso il malware Black Energy, operato da hacker russi, venne nascosto dentro documenti power point e dentro un allegato che indicava una lista di password deboli da cambiare inviato alle sei compagnie ferroviarie statali. Lo stesso trucco fu usato per attaccare tre compagnie elettriche ucraine il 23 dicembre del 2015 lasciando senza elettricità 225 mila persone. Uno scenario ripetutosi nel 2016 con un altro virus, CrashOvveride.
Si tratta di tecniche ben note agli hacker russi che hanno continuato a esercitarsi su target occidentali in tutti questi anni coi nomi più fantasiosi come Apt29, accusato dall’agenzia britannica per la cybersecurity di aver tentato di rubare ricerche su potenziali vaccini per il coronavirus; Cozy Bear, CozyDuke, The Dukes, responsabili secondo FireEye ed Eset dello spionaggio ai danni del Congresso Usa e dei Democratici americani, e poi Nobelium, Strontium e Yttrium, il gruppo che secondo Brad Smith di Microsoft avrebbe compromesso il fornitore mondiale di servizi tecnologici Solarwinds, arrivando fino alle porte dell’Agenzia nucleare americana, insomma un elenco lunghissimo pubblicato qualche giorno fa dall’Agenzia americana per la cybersecurity Cisa. War in Ukraine
Con la guerra, approfittano del caos
In questa situazione di guerra e approfittando del caos internazionale, altri gruppi collegati alla Russia continuano a perseguire obbiettivi finanziari e propongono in maniera spavalda di attaccare grandi aziende americane come la Coca Cola.
Come rilevato anche da aziende italiane di cybersecurity, altro settore critico secondo l’FBI è quello alimentare e agricolo impegnato in questo periodo nella stagione della semina e del raccolto: “Gli attori informatici possono percepire le cooperative come obiettivi redditizi con una disponibilità a pagare a causa del ruolo sensibile che hanno nella produzione agricola”.
Israele vs Iran: il nuovo fronte di guerra è il cyberspazio
Arturo Di Corinto 20 Maggio 2020
Per i Five Eyes, gli autori degli attacchi lavorano per cinque realtà governative e militari della Russia: il Servizio federale per la sicurezza, FSB (ex KGB), il Servizio di intelligence internazionale, in sigla SVR, e poi il Direttorato principale per l’informazione, GRU (Forze Armate), il Centro per le tecnologie speciali del GRU (GtsST), il Ministero della Difesa e l’Istituto centrale per la Chimica e la Meccanica, (TsNIIKhM).
I consigli per proteggere le infrastruture critiche
L’avviso di sicurezza contiene un elenco di azioni per proteggere le infrastrutture critiche:
- Aggiornare i sistemi e correggere le vulnerabilità note
- Adottare l’autenticazione multifattore
- Monitorare i protocolli che permettono l’acceso remoto ai terminali
- Formare gli addetti e creare consapevolezza del rischio
Non è un caso infine che l’allarme sia stato divulgato in corrispondenza con la rinascita nel Darkweb, il 19 aprile, del gruppo REvil, autore degli attacchi al gigante alimentare JBS e alla Colonial Pipeline, e smantellato grazie alla cooperazione tra la Russia e gli Stati Uniti. Una cooperazione che, secondo Oleg Khramov, vicesegretario del Consiglio di sicurezza della Federazione Russa, si sarebbe interrotta il 7 Aprile 2022 per la chiusura unilaterale del canale di comunicazione da parte Usa.
