Il report Microsoft

Attacchi cyber, ecco le prime lezioni da trarre dalla guerra in Ucraina

Aziende che combattono oltre a fornire strumenti per combattere, IT Army al limite della legalità, minacce ibride e attacchi advanced persistent manipulator. Sono diverse le novità e le lezioni che si possono trarre sul conflitto in corso da una lettura “trasversale” del recente report Microsoft

27 Giu 2022
Fabrizio Baiardi

Professore Ordinario di Informatica, Responsabile gruppo ICT risk assessment and management, Università di Pisa

cyberwar

Nei giorni scorsi Microsoft ha pubblicato un rapporto[1] con quelle che a suo giudizio sono le prime lezioni che possiamo trarre dall’invasione russa dell’Ucraina dal lato cyber. Un rapporto indubbiamente interessante ma che mescola considerazioni strategiche con altre più tipicamente commerciali sull’efficacia dei vari prodotti Microsoft utilizzati dai difensori ucraini.

Proviamo allora a darne una lettura trasversale e personale nel tentativo di distinguere tra le lezioni imparate e le altre considerazioni.

Ucraina, è anche una guerra “cyber”: ecco tutti i fronti aperti

A mio giudizio, la considerazione più interessante e che ne genera molte altre è un po’ nascosta nella parte finale e può essere così tradotta: “Se la guerra in terra, cielo e mare è un dominio degli stati, il dominio cyber è proprietà anche delle aziende. Ciò rende la guerra in Ucraina diversa dalla maggior parte delle guerre del passato”.

Il coinvolgimento di aziende informatiche nella guerra

Premesso che le stesse cose venivano dette alla fine della guerra del Golfo nel 1991, la frase conferma quello che da tempo era evidente ovvero il pesante coinvolgimento di aziende informatiche nella guerra e quindi abbiamo per la prima volta aziende che combattono oltre a fornire strumenti per combattere. L’evidenza di questo coinvolgimento di aziende nasceva dal fatto che quasi tutte le notizie su attacchi in atto, strumenti utilizzati, successi e fallimenti di invasori ed invasi proveniva da report e whitepaper pubblicati dalle aziende piuttosto che da notizie di uffici ed organi statali.

WHITEPAPER
Industry 4.0 con IoT e RTLS: tra sfide e vantaggi!
IoT
Supply Chain Management

D’altra parte, come evidenziato da altri testi ed articoli pubblicati di recente, molti stati non possono creare e mantenere una propria organizzazione dedicata in permanenza alle operazioni cyber delle dimensioni e della complessità richieste da una guerra come quella in atto. Sorge da qui la necessità di coinvolgere istituzioni private che dispongono delle risorse necessarie. Probabilmente, in futuro questa integrazione pubblico/privato renderà sempre più labili le differenze tra attaccanti sponsorizzati da uno stato ed altri attaccanti.

L’IT Army ucraino

Un altro esempio, non citato nel rapporto, è quello dell’IT Army ucraino un qualcosa creato mediante Telegram che non è pubblico, non è privato non è civile o militare e non è nemmeno chiaro se sia del tutto legale. Comunque esso è un attore del conflitto in atto[2] nell’ambito del quale esegue azioni offensive che vanno dai DDOS agli attacchi a specifici sistemi russi e in cui produce anche nuovi strumenti informatici.

La difesa funziona (e il cloud pure)

Una seconda lezione sottolineata dal rapporto è che la difesa funziona. Le statistiche sugli attacchi ai sistemi ucraini ma anche all’estero confermano che è possibile aumentare la robustezza dei sistemi informativi e renderli meno permeabili agli attaccanti. Se consideriamo la sofisticazione degli attaccanti e gli strumenti a loro disposizione, questa è indubbiamente una ottima notizia che conferma che spesso il successo degli attacchi è dovuto alla scarsa attenzione dei gestori dei sistemi piuttosto che al potere degli attaccanti. Un punto interessante è che la robustezza dimostrata dai sistemi attaccati per quanto riguarda attacchi distruttivi sia fisici che via wiper è dovuta alla loro migrazione su cloud. La flessibilità e l’elasticità delle architetture cloud è ovviamente molto importante per tollerare attacchi distruttivi che provochino la perdita di parte delle risorse logiche e fisiche dei sistemi di calcolo.

Un’architettura cloud è per sua natura distribuita su una vasta area geografica ed è quindi difficile attaccarla come può essere attaccato un centro di calcolo centralizzato che concentri le risorse per supportare un grande numero di utenti. Ovviamente, non è necessario che il cloud sia allocato in un paese estero come pare suggerire il rapporto, anche se questo può ovviamente aumentare la robustezza complessiva nel caso l’invasore non sia interessato a coinvolgere nel conflitto anche il paese che ospita il cloud. Diciamo che nel caso di un paese dell’Unione Europea, un cloud che spazi su più paesi dell’Unione può offrire la resilienza e la robustezza massima senza una perdita significativa di sovranità.

Il coordinamento tra attacchi cyber ed attacchi fisici

Il rapporto non discute un punto estremamente interessante. Le relazioni tra il successo dei difensori e le operazioni di defence forward che avrebbero eseguito gli US come comunicato dal generale Nakasone, direttore NSA. Questo tema meriterebbe sicuramente un approfondimento per capire quanto la situazione in Ucraina sia riproducibile in altri contesti.

Altre lezioni interessanti riguardano il coordinamento tra attacchi cyber ed attacchi fisici. Molti degli attacchi fisici sono stati preceduti da attacchi cyber alle infrastrutture di command & control delle stesse aree a conferma dello stretto coordinamento tra i vari gruppi di attaccanti.

Gli attacchi della Russia fuori dall’Ucraina

La nascita di una coalizione di nazioni, NGO ed aziende a difesa dell’Ucraina ha portato la Russia ad eseguire attacchi anche al di fuori dell’Ucraina, in particolare Microsoft ha rilevato 128 attacchi in 48 paesi diversi. Questi numeri sono molto inferiori a quelli segnalati da altre fonti. Ad esempio, il CyberPeace Institute di Ginevra segnala globalmente più di 200 attacchi. Un numero molto più alto di quello di Microsoft anche una volta sottratti gli attacchi a sistemi russi. Tra i paesi oggetto degli attacchi state sponsored segnalati da Microsoft, non appare il nostro che forse è stato lasciato ai gruppi criminali specializzati in ransomware. Gli attacchi al di fuori di Russia e Ucraina hanno avuto un successo in meno del 30% dei casi ma, prudentemente, il rapporto ricorda che questo dato potrebbe essere sottostimato per la visibilità parziale che Microsoft ha dei sistemi attaccati visto che non tutti sono ospitati su cloud. I dati sugli attacchi russi evidenziano come vi sia stata una attenta limitazione dei bersagli e delle politiche di diffusione di wiper e malware a domini interni dell’Ucraina.

Questa limitazione è ovviamente correlata all’art.5 del trattato NATO perché la diffusione di wiper ad altri stati si configurerebbe come attacco informatico e scatenerebbe l’obbligo della solidarietà e della difesa reciproca. Quindi la Russia ha posto molta attenzione ad evitare il ripetersi di diffusione incontrollata di malware come avvenuto, ad esempio, per NotPetya. Come confermato da altri studi[3] apparsi quasi contemporaneamente, questo limita necessariamente gli impatti che l’attaccante è in grado di ottenere ma è evidentemente necessario per impedire una diffusione incontrollata del conflitto. Non è facile quindi formulare previsioni su attacchi cyber nel caso di un conflitto che veda un maggior numero di nazioni coinvolte.

Guerra, minacce ibride e attacchi advanced persistent manipulator

L’ultima lezione è forse la più affascinante e riporta in gioco guerra e minacce ibride per la NATO o grigie per la Russia. Queste minacce operano mediante la diffusione di notizie false per dividere l’opinione pubblica ucraina e degli stati alleati e favorire la diffusione di notizie antigovernative attraverso piattaforme, mezzi di comunicazione e social network. L’aspetto evidenziato dal rapporto è l’integrazione di vecchie e nuove strategie da parte russa ed in particolare quello di operare delle minacce in modo permanente ragione per cui queste minacce vengono indicate come APM, advanced persistent manipulator.

Il rapporto utilizza il termine permanente per le strategie di questi APM perché essi non operano in modo puntuale, diffondendo una specifica notizia ma creano a priori quella che viene indicata come una narrazione in cui la specifica notizia si va ad inserire in modo coerente. Un esempio è quello della esistenza di laboratori per la produzione di armi biologiche in Ucraina. Questa narrazione era stata predisposta in precedenza, in particolare nel novembre 2021, ed è stata poi utilizzata per giustificare attacchi russi ad infrastrutture civili ed ospedali ucraini dopo febbraio 2022. Il termine APM si spiega perché questo comportamento è simile a quello di un APT che installi un malware in un sistema da attivare se e quando utile.

APM e polarizzazione della pubblica opinione

Come è molto facile verificare nel nostro paese, le tecniche usate da questi gruppi in Ucraina sono molto simili a quelle che gli stessi gruppi, o APM nella nuova terminologia, hanno usato in passato per spargere fake news sui vaccini Covid-19. Ad esempio, è interessante notare che gli APM diffondevano su forum russi notizie a favore della vaccinazione mentre contemporaneamente pubblicavano su quelli occidentali notizie sulla scarsa efficacia e sui danni del vaccino. Narrazioni queste ultime a cui poi è facile collegare news su laboratori biologici e simili. Gli APM riescono a sfruttare molto bene il carattere aperto e democratico della società occidentale e la polarizzazione della pubblica opinione caratteristica dei nostri tempi. Per questo hanno avuto molto successo, forse superiore a quello degli attacchi tradizionali e cyber, almeno se misuriamo il successo con il numero di pagine visitate dei siti che diffondono queste notizie. Il numero di visite è cresciuto in modo esponenziale nel momento sulle vecchie narrazioni si sono innestate nuove notizie. Ovviamente, il numero di visite ad una pagina non è necessariamente indice di accettazione dei contenuti o di credibilità della pagina ma indica in una qualche misura la capacità di penetrare nell’opinione pubblica e diffondere notizie divise su specifici temi.

Un possibile rimedio ai significativi successi degli APM può essere solo una strategia di difesa centrata su un approccio integrato tra misure tecnologiche e sociali. In particolare, se sul lato tecnologico sono stati fatti passi in avanti ed ottenuti successi nella difesa delle infrastrutture informatiche, è evidente la necessità di soluzioni tecnologiche, formative ed educative per creare una capacità diffusa dell’opinione pubblica di individuare e reagire alle narrazioni persistenti degli APM. Focalizzarsi solo su misure tecnologiche per il riconoscimento di bot o fake news o su DDOS contro i siti degli APM può essere un grave errore viste anche le difficoltà di spiegare alcuni dei risultati che alcune tecniche di rilevazione producono. Per aumentare ulteriormente la complessità della soluzione, essa deve poter operare in una dimensione non solo nazionale ma europea. Programma ambizioso e con tempi necessariamente lunghi se non lunghissimi.

Note

  1. Defending Ukraine: Early Lessons from the Cyber War, 22 giugno 2022
  2. Stefan Soesanto The IT Army of Ukraine Structure, Tasking, and Ecosystem Zürich, June 2022 Center for Security Studies (CSS), ETH Zürich
  3. Lennart Maschmeyer; The Subversive Trilemma: Why Cyber Operations Fall Short of Expectations. International Security 2021; 46 (2): 51–90.
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Analisi
PA
Salute digitale
News
Fondi
Formazione
Ecologia
Digital Economy
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4