In base al rapporto, da prima dell’invasione ad oggi sono state lanciate 237 cyber-operations contro l’Ucraina da parte di almeno sei differenti gruppi di hacker statali russi. Questi hacker secondo Microsoft sono tutti collegati ai servizi segreti interni ed esteri e militari russi. Si tratta in gran parte di attacchi distruttivi che hanno fatto uso di virus informatici per indebolire la capacità di reazione del Paese attaccato avendo come target le istituzioni ucraine, i servizi e le aziende informatiche, il comparto energetico, i media, le telecomunicazioni, il settore nucleare, vendita, commercio e Internet, esattamente in quest’ordine.
Servizi segreti russi e gruppi hacker
Secondo gli specialisti dell’azienda americana gli attacchi distruttivi sono stati accompagnati anche da ampie attività di spionaggio e sabotaggio che hanno sia degradato i sistemi informatici delle istituzioni in Ucraina, sia cercato di interrompere l’accesso delle persone a informazioni affidabili cercando di minare la fiducia nella leadership del paese.
In molti casi gli effetti si sono visti con gli attacchi a banche, tv, elettrodotti, altre volte no. Tuttavia, la cosa peggiore è che questi attacchi sono ancora in corso.
Gli attacchi distruttivi osservati – circa 40, mirati a centinaia di sistemi – sono stati particolarmente preoccupanti: il 32% degli attacchi distruttivi ha preso di mira direttamente le organizzazioni del governo ucraino a livello nazionale, regionale e cittadino ma un altro 40% è stato rivolto ai gestori di infrastrutture critiche con effetti negativi di secondo ordine su governo, esercito, economia e civili ucraini.
Se non bastasse, il rapporto Microsoft afferma di avere osservato una limitata attività di spionaggio ai danni di Stati membri della Nato e svariate attività di disinformazione.
La guerra ibrida e l’armamentario russo
Come dettaglia il rapporto, l’uso da parte della Russia degli attacchi informatici sembra essere fortemente correlato e talvolta direttamente sincronizzato con le sue operazioni militari cinetiche (quelle che in gergo militare indicano il movimento), che prendono di mira servizi e istituzioni cruciali per i civili, come si vede anche dalla tabella qui sotto.
Esempi? Quando un gruppo russo ha lanciato attacchi informatici contro un’importante compagnia televisiva il 1° marzo, l’esercito russo ha annunciato l’intenzione di distruggere obiettivi ucraini di “disinformazione” e ha diretto un attacco missilistico contro una torre della TV a Kiev.
Il 13 marzo, nella terza settimana dell’invasione, dopo che le unità militari russe hanno iniziato a occupare le centrali atomiche suscitando la paure di un incidente nucleare, un attore russo ha rubato dati da un’organizzazione per la sicurezza nucleare.
Mentre le forze russe assediavano la città di Mariupol, gli ucraini hanno iniziato a ricevere un’e-mail da hacker russi che, fingendosi residenti di Mariupol, accusavano falsamente il governo ucraino di “abbandonare” i cittadini ucraini.
Gli attori coinvolti in questi attacchi utilizzano una varietà di tecniche per superare le difese degli obbiettivi, tra cui phishing, lo sfruttamento di vulnerabilità non risolte del software e la compromissione dei fornitori di servizi IT a monte (gli attacchi alla supply chain). Mentre gli ucraini, anche grazie all’intelligence straniera e all’esercito informatico di Kiev trovano il modo di difendersi, i filorussi ogni volta modificano il proprio malware per eluderne il rilevamento.
La guerra informatica prima e dopo l’invasione
Sono note le incursioni di hacker statali russi contro ferrovie e centrali elettriche ucraine nel 2015, 2016 e 2017. In parte motivate dalla rappresaglia contro il governo filo-europeo insediatosi dopo la così detta Rivoluzione Arancione, in parte condotte come “esercitazione” per testare la capacità di difesa del paese. Gli APT (Advanced Persistent Threats) russi hanno fatto lo stesso con Estonia, Lettonia e Lituania, le ex repubbliche sovietiche del Baltico, attaccandone sia le istituzioni finanziare sia le infrastrutture energetiche, un modo esplicito per minacciarle se avessero stretto più forti legami con l’Europa.
Ma stavolta gli attori allineati con la Russia hanno iniziato a posizionarsi per un conflitto aperto già nel marzo 2021, intensificando le azioni contro organizzazioni alleate dell’Ucraina e mettere un piede dentro i suoi sistemi informatici in caso di conflitto manifesto. E questo, secondo il rapporto, è stato evidente quando le truppe russe hanno iniziato a spostarsi per la prima volta verso il confine: i nation state hacker russi hanno moltiplicato gli sforzi per ottenere l’accesso iniziale a obiettivi che potessero fornire informazioni sui partenariati militari e stranieri dell’Ucraina.
Per garantire un ulteriore accesso non solo ai sistemi di Kiev ma anche agli Stati membri della Nato avrebbero anche compromesso diversi fornitori IT mondiali. Così quando all’inizio del 2022 gli sforzi diplomatici non sono riusciti ad allentare le tensioni al confine, gli attori russi hanno lanciato attacchi distruttivi di malware wiper contro le organizzazioni ucraine con crescente intensità.
I malware usati a questo scopo e individuati sono stati almeno 8, nomi fantasiosi come WhisperGate, FoxBlade, DesertBlade e CaddyWiper rimandano però tutti a “famiglie malware” che sovrascrivono i dati e rendono i pc inutilizzabili o “vuoti”, come FiberLake, una funzionalità .NET utilizzata per l’eliminazione dei dati, oppure SonicVote, un codificatore di file talvolta utilizzato insieme a FoxBlade e Industroyer2 che mira specificamente alla tecnologia operativa per ottenere effetti fisici per bloccare produzione e processi industriali.
Le raccomandazioni di Microsoft
“Dato che gli attori delle minacce russe hanno rispecchiato e aumentato le azioni militari, riteniamo che gli attacchi informatici continueranno a intensificarsi mentre il conflitto infuria”, si legge nel rapporto. Gli hacker russi potrebbero essere incaricati di attaccare i Paesi che decidono di fornire maggiore assistenza militare all’Ucraina e adottare misure più punitive contro il Cremlino in risposta all’aggressione militare. Una previsione ancora più sinistra se associata alla minaccia del presidente Putin di usare “armi mai viste”, da quando si è scoperto l’interesse russo ad hackerare il fianco est della Nato, i Paesi baltici e la Turchia.
Una ipotesi che viene dal fatto che uno degli attori più pericolosi individuati, Nobelium, legato all’intelligence estera SVR, ha tentato nel passato di accedere a società IT che servono clienti governativi di membri Nato, a volte compromettendo con successo e poi sfruttando account privilegiati per violare e rubare dati dalle organizzazioni di politica estera occidentali.
“Al di là del più ampio valore derivato da quelle che sembrano essere le tradizionali operazioni di spionaggio, l’accesso persistente alle organizzazioni di politica estera negli Stati membri della Nato potrebbe fornire alla leadership russa informazioni continue su cosa aspettarsi dall’Occidente in risposta alle azioni russe in Ucraina. Circa il 93% di tutta l’attività di attacco sostenuta dalla Russia osservata nei nostri servizi online è stata rivolta agli Stati membri della Nato, in particolare contro Stati Uniti, Regno Unito, Norvegia, Germania e Turchia fino al 2021”.
Per Microsoft gli avvisti pubblicati dalla Cisa e da altre agenzie governative vanno presi sul serio e dovrebbero essere adottate le misure difensive e di resilienza adeguate in particolare dalle agenzie governative e dalle imprese di infrastrutture critiche. L’Italia queste raccomandazioni sono state divulgate dall’Agenzia per la Cybersicurezza nazionale e da altri organismi europei.
E siccome repetita iuvant, per adottare le contromisure necessarie hanno elencato le tecniche di intrusione più comuni usate dagli hacker vicini alla Russia:
- Sfruttamento di applicazioni rivolte al pubblico o phishing mirato con allegati/link per l’accesso iniziale al target.
- Furto di credenziali e utilizzo di account validi durante tutto il ciclo di vita dell’attacco, rendendo le “identità” un vettore chiave di intrusione. Ciò include il dominio Active Directory e tramite VPN o altre soluzioni di accesso remoto.
- Utilizzo di protocolli, strumenti e metodi di amministrazione validi per il movimento laterale, basandosi su identità compromesse con capacità amministrative.
- Uso di capacità offensive note pubblicamente disponibili, a volte offuscate utilizzando metodi specifici dell’attore per sconfiggere le firme statiche.
- “Living off the land” durante il rilevamento del sistema e della rete, spesso utilizzando utilità o comandi nativi fuori standard per gli ambienti.
- Uso di capacità distruttive che accedono a file system non elaborati per sovrascritture o eliminazioni.
Tutto questo potrebbe non bastare, e perciò Microsoft stessa incoraggia tutte le organizzazioni a proteggersi in modo proattivo dalle minacce descritte e migliorare la propria postura di difesa contro attività informatiche dannose, e anche verso quelle apparentemente innocue ma non attese, aggiungiamo noi.