Biden, Putin e il predominio cyber: tra i due litiganti la Cina gode? I fronti aperti e le minacce

Era il 19 novembre 1985 quando a Ginevra si incontrarono Ronald Regan e Michail Gorbačëv per dare inizio a quel processo di distensione che avrebbe portato, in pochi anni, alla fine della guerra fredda. Trentasei anni dopo, è stata di nuovo Ginevra la località scelta da Joe Biden e Vladimir Putin per il loro primo incontro bilaterale dall’inizio della presidenza USA.

Oltre al nucleare, il digitale è stato il secondo dossier entro cui i leader hanno riconosciuto dei margini per la cooperazione. Ma su questo fronte, Washington ha un altro temibile rivale, che è la Cina. E la minaccia di Pechino va ben oltre il fronte degli attacchi informatici.

Nato, la nuova “Cyber Defence Policy”: ecco le priorità dell’Alleanza nella difesa dello spazio cibernetico

Il digitale protagonista a Ginevra

A Ginevra, i due presidenti si sono visti concordi sulla necessita di avviare una discussione strutturale per garantire una maggiore sicurezza nello spazio cibernetico. Secondo quanto riportato nella conferenza stampa tenuta da Biden a seguito del meeting: “la linea di fondo che ho tenuto con il presidente Putin è che abbiamo bisogno di alcune regole di base che tutti possano rispettare.”^[1]

Come a sottolineare la centralità del tema, i due presidenti hanno portato al vertice alti consiglieri diplomatici e militari tra i quali, ad esempio, il capo di stato maggiore della Russia Valery Gerasimov, responsabile dello sviluppo della dottrina della “guerra ibrida”.^[2] Durante la discussione, i funzionari statunitensi hanno presentato un elenco alle controparti russe di 16 settori critici, le così dette ‘critical infrastructure’, che Washington ritiene dovrebbero essere off-limits quando si tratta di attacchi informatici. L’elenco comprende il settore alimentare e agricolo, i servizi finanziari, le comunicazioni, l’industria della difesa. Biden ha inoltre affermato che i due presidenti hanno concordato di assegnare degli esperti in entrambi i paesi per avanzare il lavoro sulla comprensione reciproca circa le aree che dovrebbero essere considerate critiche, e quindi off-limits, in ciascun paese.^[3]

L’offensiva russa

La necessità di progredire nella discussione sulla sicurezza cibernetica nasce anche dalla rinnovata – o meglio, mai arrestata – attività offensiva portata avanti da Mosca. Il riferimento alle infrastrutture critiche, in particolare, è chiaramente legato all’attacco alla Colonial Pipeline.

L’attacco alla Colonial Pipeline

L’attacco ransomware alla Colonial Pipeline, avvenuto qualche mese fa, ha di fatto costretto la compagnia statunitense a chiudere novemila chilometri di oleodotto, dal Texas a New York, lasciando per giorni un grave ammanco di carburante in tutta la costa orientale.^[5] Il 10 maggio 2021 l’FBI ha confermato l’attribuzione dell’attacco al gruppo DarkSide, un gruppo di hacker operanti dal territorio russo. Il vettore di attacco iniziale non è noto, ma potrebbe essere stata una vecchia vulnerabilità senza patch in un sistema; un’e-mail di phishing che ha ingannato con successo un dipendente; l’uso di credenziali di accesso acquistate o ottenute altrove o qualsiasi altra tattica impiegata dai criminali informatici per infiltrarsi nella rete dell’azienda. Ciò che è emerso con certezza da un’inchiesta di Bloomberg, invece, è che la compagnia americana ha pagato un riscatto di 5 milioni di dollari in Bitcoin in cambio di una chiave di decriptazione utile a ripristinare le funzionalità della rete informatica.^[6]

L’attacco alla Colonial Pipeline è stato uno degli attacchi informatici più grandi e di maggior successo a danno di un’infrastruttura critica registrato fino ad oggi. Non stupisce quindi l’accento posto da Biden sulla protezione di queste infrastrutture. “L’ho guardato e gli ho detto: ‘Come ti sentiresti se un ransomware bloccasse gli oleodotti dei tuoi giacimenti petroliferi?’ e lui ha risposto: “Mi importerebbe”, ha detto Biden ai giornalisti a seguito del citato incontro a Ginevra.^[7] L’attacco ha anche dato origine ad una discussione interna al Congresso americano circa la possibilità di rendere illegale il pagamento di ransomware. “Le compagine dovrebbero essere obbligate a riportare questo tipo di attacchi, piuttosto che cercare di risolvere il problema attraverso il pagamento dei riscatti, comportamento che non fa che incoraggiare i perpetratori dell’attacco sulla bontà delle loro tecniche”, ha detto il Senatore della Virginia Mark Warner.^[8]

Colonial Pipeline, se è l’infrastruttura IT (non l’OT) il problema per la sicurezza: la lezione

L’attacco a SolarWinds

L’attacco all’oleodotto è stato tuttavia solo l’ultimo di una serie di attacchi attribuiti alla Russia che si sono verificati negli scorsi mesi, tra i quali il più importante è stato probabilmente l’attacco hacker alla supply chain della piattaforma Orion di SolarWinds. L’attacco ha consentito al gruppo hacker APT29, presumibilmente sostenuto dal governo russo, di spiare per mesi enti governativi USA e aziende in tutto il mondo.^[9] Secondo le ricostruzioni, gli attaccanti hanno sfruttato l’accesso ottenuto alla rete di SolarWinds per aggiungere una backdoor a una libreria chiave del prodotto.

La libreria è stata poi diffusa ai clienti, tramite il normale processo di aggiornamento della piattaforma Orion. Secondo FireEye, una delle società di sicurezza informatica oggetto di questa violazione, il plug-in compromesso della piattaforma Orion, “dopo un periodo iniziale di inattività, ha recuperato ed eseguito comandi che hanno consentito agli hacker di trasferire ed eseguire file, profilare sistemi, riavviare e disabilitare i servizi di sistema.”^[10] Tutta questa attività si è mescolata con l’attività legittima di SolarWinds, il che ha reso estremamente difficile rilevare la compromissione. Il New York Times, ha riferito che questo attacco, che ha colpito più di 250 agenzie federali e aziende negli Stati Uniti, è il frutto, tra gli altri, anche di una politica di sicurezza maldestra messa in atto da SolarWinds. La compagnia avrebbe infatti ignorato le pratiche di sicurezza di base e trasferito lo sviluppo del software in Europa orientale, poiché più economicamente vantaggioso, senza considerare però che in quest’area geografica l’intelligence degli stati-nazione (tra cui la Russia) è più influente.^[11]

Cyber spionaggio agli Usa, perché la Russia forse è innocente

La vera minaccia per Washington

Se le capacità offensive russe preoccupano gli Stati Uniti di Biden, una ben più grande minaccia è rappresentata però dalla Cina. Pechino è sicuramente il competitor principale di Washington, non solo per le sue capacità offensive, plausibilmente più sviluppate di quelle russe, ma più in generale per la sua maggiore centralità all’interno delle catene del valore globale.

Un esempio su tutti è quello della centralità cinese nella catena del valore dei chip, che ha generato una vera e propria guerra commerciale da parte dell’ex Presidente Donald Trump, la quale ha portato a sua volta ad a un’impennata dello stoccaggio cinese di semiconduttori, riducendo la loro disponibilità sul mercato internazionale e causando un’imponente crisi del mercato di questi prodotti che tarda ancora a risolversi.^[15]

La minaccia che la Cina rappresenta è una sfida all’egemonia globale statunitense, ben più preoccupante quindi forse per Biden della minaccia informatica che Mosca, per quanto si sforzi, potrà mai porre.

La risposta americana e il nuovo atlantismo di Biden

A seguito dell’attacco SolarWinds gli USA hanno imposto sanzioni contro la Russia, tra le quali limitazioni nelle transazioni tra istituzioni finanziarie americane e il governo Russo, nonché l’espulsione di diplomatici russi di stanza in America. In retrospettiva, se si considera che non molti mesi dopo è stato sferrato l’attacco alla Colonial Pipeline, si evince quanto le misure di ritorsione quali le sanzioni non siano da considerarsi poi così efficaci.

In linea di principio, le sanzioni potrebbero avere un effetto deterrente, soprattutto per i paesi le cui economie sono già in sofferenza. Tuttavia, in pratica, le sanzioni non producono necessariamente un cambiamento di atteggiamento. In primo luogo, un paese potrebbe essere già così schiacciato dalle sanzioni economiche che qualsiasi altra sanzione sarebbe, al minimo, inefficace. Nel peggiore dei casi, nuove sanzioni potrebbero persino rafforzare la posizione offensiva della paese in questione.

In Corea del Nord, ad esempio, la stagnazione economica è stata aggravata dalle sanzioni imposte dalla comunità internazionale e, apparentemente, una delle strategie che il paese ha messo in atto è stata quella di superare tale stagnazione eseguendo vasti furti informatici. La Corea del Nord si è resa responsabile, ad esempio, della rapina da 81 milioni di dollari alla Banca centrale del Bangladesh,^[12] o dell’attacco da 530 milioni di dollari ai danni dell’ Exchange giapponese Coincheck. ^[13] Appare quindi evidente che, nel caso di Pyongyang, come in quello della Russia, le sanzioni potrebbe avere addirittura un effetto controproducente.

Queste criticità impediscono la piena applicazione del principio di deterrenza nel contesto del ciberspazio, e sono aggravate dalla maggiore facilità di condurre un attacco in questo dominio rispetto ai domini di battaglia tradizionali e alle relative difficoltà nell’attribuire un attacco.

Non sorprende dunque che gli Stati Uniti vogliano ricorrere ad un rafforzamento dell’Alleanza atlantica come possibile mezzo per rispondere alla minaccia Russa. Prima dell’incontro a Ginevra con Putin, nello stesso viaggio attorno all’Europa, Biden si è incontrato a Bruxelles con segretario della NATO e nell’incontro, in particolare, è stato sollevato il tema del ricorso all’Articolo 5, articolo che tratta il dovere di mutua difesa tra gli Stati del patto atlantico. Secondo quanto detto dall’Ammiragio di Squadra Ruggero di Biase, direttore del comando per le operazioni in rete della difesa ai microfoni di Radio1: “Nel 2016 la NATO ha dichiarato il cyberspace un nuovo dominio di operazioni”, il che permetterebbe agli Stati del patto di rispondere in maniera congiunta ad un attacco cibernetico, tuttavia, “ad oggi, sebbene vediamo degli scenari di guerra fredda nel cyberspace, gli eventi rimangono definibili sotto la soglia che permetterebbe l’attuazione dell’Articolo 5.”^[14]

Note

1. https://www.washingtonpost.com/politics/biden-putin/2021/06/16/cdd677dc-ce0a-11eb-8014-2f3926ca24d9_story.html ↑
2. https://www.theguardian.com/us-news/2021/jun/16/biden-to-meet-putin-at-highly-anticipated-summit-in-geneva ↑
3. https://www.washingtonpost.com/politics/biden-putin/2021/06/16/cdd677dc-ce0a-11eb-8014-2f3926ca24d9_story.html ↑
4. https://www.reuters.com/world/wide-disagreements-low-expectations-biden-putin-meet-2021-06-15/ ↑
5. https://www.cybersecurity360.it/nuove-minacce/ransomware/attacco-a-colonial-pipeline-il-prima-e-dopo-che-stanno-cambiando-lo-scenario-del-cyber-crime/ ↑
6. https://www.bloomberg.com/news/articles/2021-05-13/colonial-pipeline-paid-hackers-nearly-5-million-in-ransom ↑
7. https://www.washingtonpost.com/politics/biden-putin/2021/06/16/cdd677dc-ce0a-11eb-8014-2f3926ca24d9_story.html ↑
8. https://www.theguardian.com/technology/2021/jun/06/us-military-response-ransomware-attacks-biden-russia-putin ↑
9. https://www.cybersecurity360.it/nuove-minacce/attacco-agli-usa-nuovi-dettagli-del-breach-solarwinds-e-come-mitigare-i-rischi/ ↑
10. Constantin L. (2020), SolarWinds attack explained: And why it was so hard to detect”, CSOonline ↑
11. Sanger D. et al (2021), As Understanding of Russian Hacking Grows, So Does Alarm, The new York Times, 2 January ↑
12. David Sanger, David Kirkpatrick and Nicole Perlroth, ‘The World Once Laughed at North Korean Cyberpower, No More,’ The New York Times, October 15, 2017. Available: https://www.nytimes.com/2017/10/15/world/asia/north-korea-hacking-cyber-sony.html ↑
13. ‘South Korean intelligence says N. Korean hackers possibly behind Coincheck heist-sources,’ Reuters, February 6, 2018. https://www.reuters.com/article/uk-southkorea-northkorea-cryptocurrency/south-korean-intelligence-says-n- korean-hackers-possibly-behind-coincheck-heist-sources-idUSKBN1FP2XX ↑
14. https://www.raiplayradio.it/audio/2021/06/VOCI-DAL-MONDO-e14565de-1d43-4947-b75c-8f182b11ed76.html ↑
15. https://www.agendadigitale.eu/mercati-digitali/geopolitica-e-semiconduttori-la-sovranita-tecnologica-europea-e-unillusione-ecco-perche/ ↑