Cloudflare, azienda che protegge con la sua tecnologia i siti web proprio da questo tipo di attacchi ha affermato attraverso un portavoce che “Questa settimana abbiamo assistito a più attività DDoS rispetto alla scorsa settimana, ma meno di un mese fa. Ci sono stati attacchi contro singoli siti Web in Ucraina che sono stati dirompenti”.
I ricercatori di Eset a Bratislava e altre aziende di cybersecurity come Symantec però hanno minimizzato gli attacchi avvenuti la notte scorsa ritenendo che quelli precedentemente subiti erano stati ancora più vasti, e che il vero pericolo adesso viene da un malware di tipo wiper che avrebbe infettato centinaia di computer in tutta l’area geografica intorno all’Ucraina, Lettonia e Lituania comprese. Il malware sarebbe in grado di cancellare l’intera memoria dei computer infetti con tutti i dati contenuti, arrivando a danneggiarne il firmware e quindi rendendoli inservibili. Denominato “KillDisk”, il wiper distrugge il Master Boot Record dei dischi fisici connessi alle macchine, condizione che richiede la reinstallazione da zero.
Per Jean-Ian Boutin, capo della ricerca ESET molte diverse organizzazioni sarebbero state colpite in maniera mirata questo wiper: soprattutto appaltatori governativi e almeno un istituto finanziario ucraino. Nelle settimane precedenti, secondo la stampa ucraina, ci sarebbero stati anche diversi tentativi di intrusione nella posta elettronica del presidente del Parlamento Ucraino e della sua famiglia, mentre nell’underground criminale dei gruppi ransomware è stato dato il via libera ad attaccare con software estorsivi le realtà economiche ucraine.
La guerra ibrida
Tutti gli osservatori internazionali si aspettavano questo tipo di aggressione ibrida conoscendo l’abilità russa nell’utilizzare l’armamentario cyber per conseguire i suoi obiettivi politici e militari, e alla fine l’intelligence inglese e americana l’hanno confermato. Anne Neuberger, vice consigliere per la sicurezza nazionale degli Stati Uniti, ha dichiarato alla stampa di disporre di informazioni tecniche che dimostrano che “l’infrastruttura del Gru (servizi segreti militari russi, nda) è stata vista trasmettere elevati volumi di comunicazioni a indirizzi IP e domini con sede in Ucraina”.
In un’analisi dettagliata degli incidenti DDoS, il computer emergency response team ucraino ha affermato che gli attacchi hanno coinvolto sia le botnet Mirai che Meris. Mirai è la botnet di computer zombie infetti che aveva bloccato tutta la comunicazione Internet della costa est degli Stati Uniti nel 2016 rendendo irraggiungibili anche i siti di Amazon, Twitter e New York Times. Il blocco dei siti governativi è stato confermato da Netblocks, un’organizzazione che tiene traccia delle interruzioni di Internet in tutto il mondo.
Secondo gli analisti questi attacchi sono progettati per aumentare l’attenzione e la pressione creando il caos tra la popolazione e gli stessi malware scatenati potrebbero raggiungere anche le infrastrutture dell’Europa Occidentale. Per Enrico Frumento del Cefriel “Il timore adesso è che, come già si è verificato in passato, ci siano malware dormienti pre-installati nelle principali infrastrutture critiche europee, scritti ad-hoc e silenti e quindi non individuati, ma pronti ad attivarsi a comando”. Proprio oggi il tema Italiano di risposta agli incidenti informatici ha pubblicato i primi Indicatori di Compromissione del Data Wiper trovato ieri e ha creato delle misure straordinarie volte alla protezione delle infrastrutture digitali.
Ma già nei giorni scorsi l’agenzia per la difesa cibernetica statunitense Cisa aveva diramato una serie di allarmi congiunti con Nsa ed Fbi, avvisando i contractor di marina, esercito e aviazione americani di alzare i livelli di guardia. L’insieme delle indicazioni per la protezione di segreti militari e industriali, per la protezione delle infrastrutture critiche e i consigli per la gestione della disinformazione hanno preso il nome di operazione Shields Up.
La disinformazione come arma
Ma adesso sono due gli aspetti da considerare: il primo è che la marca temporale del wiper è di dicembre e questo depone per l’ipotesi di una pianificazione del suo uso, la seconda è che i target sono anche estranei all’Ucraina ma presso paesi Nato come Lituania e Lettonia. Cosa accadrà?
È noto che la Russia investe da molto tempo nelle attività di guerra e guerriglia cibernetica che in maniera sistematica organizzano azioni di spionaggio e sabotaggio industriale fino a provare a interferire con elezioni e Parlamenti in tutto il mondo. Secondo gli esperti l’Ucraina potrebbe essere un campo di prova ad ampio spettro per questi gruppi e per testare le capacità di risposta cyber della Nato.
Da non sottovalutare infine il ruolo che le fake news possono giocare in questo tipo di guerra ibrida. È stata infatti individuata una campagna di disinformazione via Sms capace di raggiungere anche gli stessi soldati ucraini. Il Digital Forensic Research Lab del Consiglio Atlantico ha anche segnalato una serie di false narrative distribuite nelle scorse settimane sui social media e propagandate da giornali e televisioni pro-Cremlino. Hanno tutti lo stesso scopo, minimizzare gli effetti del conflitto sulla popolazione civile e presentare Putin come un saggio capo di governo.
Per proteggersi dalla disinformazione, l’Unione Europea ha da tempo definito delle linee guida e avviato una serie di progetti, mentre la Svezia ha creato l’Agenzia per la Difesa Psicologica contro la disinformazione mentre il network dei CSIRT europei di Trusted Introducer si sta mobilitando a seguito dell’attacco Russo in Ucraina per sospendere Russia e Bielorussia, e condividere tutte le informazioni relative agli ultimi attacchi DDoS, Malware, Ransomware, Wiper legati agli eventi in corso.