Cosa sta avvenendo dentro la cyber war russo-ucraina, c'è rischio per l'Italia?
«Negli ultimi sette o otto anni, l’Ucraina ha registrato una serie di attacchi informatici mai visti in nessun altro Paese sulla Terra».
Ciaran Martin è stato a capo del National Cyber Security Center del Regno Unito, ora insegna come professore alla Oxford University. Per lui il disegno è chiaro: quella che stiamo vedendo in questi giorni è solo la parte più scenografica degli attacchi della Russia all’Ucraina: quella fatta di mezzi pesanti spostati ai confini, di soldati che si esercitano per un attacco via terra e della diplomazia internazionale che è costantemente al lavoro per evitare che si ripeta quello che nel 2014 è successo con la Crimea. Ma oltre a questa, c’è un altro tipo di guerra che passa attraverso cavi e antenne: è la cyber war, una strategia di offesa basata sugli attacchi informatici che in questi giorni ha colpito già diversi obiettivi.
Gli ultimi sono stati il sito del ministero della Difesa e i portali di due banche pubbliche. Al netto degli ultimi eventi, l’elenco degli attacchi subito da Kiev è lunghissimo. Il 14 gennaio il governo aveva già denunciato una serie di attacchi informatici contro diversi portali tra cui quello del ministero degli Affari esteri e quello del ministero dell’Istruzione. In questo caso su tutti i siti coinvolti era comparso uno messaggio identico in cui era scritto: «Cittadini ucraini! Tutte le informazioni su di voi sono diventate pubbliche, abbiate paura e aspettatevi il peggio». E ancora: nel 2015 e nel 2016 a Kiev gli attacchi informatici hanno causato due interruzioni di corrente che hanno lasciato senza elettricità migliaia di persone.
L’elenco dei casi arriva fino al 2014, quando le schede elettorali delle presidenziali ucraine vennero contate a mano dopo un attacco hacker ai sistemi informatici del Paese. In quello stesso anno la Russia aveva annesso la Crimea ai suoi territori. Nonostante quindi l’Ucraina sia abituata a convivere da anni con gli attacchi hacker, negli ultimi giorni le incursioni sono aumentate. Le minacce sono diventate talmente intense da diventare un rischio anche per gli altri Stati. È delle ultime ore l’avviso dell’Agenzia italiana per la cybersicurezza che chiede di alzare i livelli di protezione delle infrastrutture digitali: «Sono aumentati i rischi cibernetici ai quali sono esposte le imprese italiane che intrattengono rapporti con operatori situati in territorio ucraino, derivanti da possibili danni ad obiettivi digitali di quel Paese».
Il Team 42, gruppo internazione di ricerca sulle iA, cybersecurity e VRO, per tramite di Nicolini Massimiliano, uno dei suoi analisti, nonché il direttore della sezione che si occupa delle analisi sui flussi di attacchi. E lui a spiegare come sono stati sferrati gli ultimi attacchi a Kiev: «I media e le informazioni a disposizione suggeriscono che si tratti dell’ennesimo attacco DDoS (distributed denial of service), un tentativo di oscurare siti web o reti travolgendo i server web con volumi elevati di traffico». Un’azione vista spesso come semplice vandalismo, dal momento che non comporta un furto di dati: «Questi attacchi, non particolarmente sofisticati, sono relativamente facili da mitigare ma i cybercriminali sanno bene che un episodio del genere farà notizia, senza tuttavia realizzare abbastanza danni da provocare una reazione di contro-attacco cyber».
Secondo Nicolini questo tipo di attacchi potrebbe essere solo un diversivo, una tattica necessaria per spostare l’attenzione da altri obiettivi: «Queste tecniche sono in grado di suscitare molto clamore ma spesso vengono utilizzate per distrarre i team di sicurezza, mentre gli hacker rimangono all’interno dei sistemi per scagliare attacchi decisamente più pericolosi da dietro le quinte. Ad esempio possono rubare o alterare dati sensibili, spegnere i sistemi critici, o semplicemente rimanere dormienti fino al momento più opportuno. Resta da vedere se capiterà anche questa volta».
Nella cyber war gli obiettivi non devono essere solo banche o ministeri ma possono diventare anche piccole imprese e singoli utenti: «Ogni business deve essere protetto. Quando si verificano tutti questi attacchi e la situazione politica è così instabile, l’effetto è facile da intuire. Si crea una certa confusione e cominciano a intervenire anche gruppi criminali che non hanno niente a che fare con il conflitto. Spesso l’obiettivo di questi gruppi non è politico: vogliono solo infilarsi nella polvere per mettere a segno le loro azioni. E allora anche noi possiamo diventare dei target».