l'analisi

Ucraina, come agisce la guerra cyber e quali impatti sull’Europa

La cyber guerra tra Russia e Ucraina, e che di fatto potrà coinvolgere direttamente e indirettamente altri paesi, si sta combattendo sulle seguenti principali linee di azione. Ma chi la mette in atto concretamente e con quali strumenti?

04 Mar 2022
Marco R. A. Bozzetti

Presidente AIPSI - Associazione Italiana Professionisti Sicurezza Informatica

L’invasione militare da parte russa all’Ucraina non solo costituisce una gravissima violazione dei trattati internazionali, peraltro già avvenuta con l’invasione della Crimea, ma rappresenta di fatto un attacco all’Europa e a tutto l’occidente.

In parallelo all’attuale invasione, e nei mesi precedenti a questa, si è attivata una “guerra informatica” (in inglese cyber warfare). Gli attori coinvolti sono da una parte gli attaccanti (strutture cyber governative russe, bielorusse e gruppi di hacker e di cybercriminali ad essi collegati) e dall’altra parte strutture ucraine piuttosto deboli, gruppi di hacker internazionali, tra i quali Anonymus, GhostSecurity, Cyber Partisans, e dietro ai quali forse si celano strutture governative cyber di paesi occidentali che attaccano e che non vogliono essere individuate.

Speciale Guerra in Ucraina

Nello spazio cyber, la cosiddetta quinta dimensione, in caso di attacchi digitali è ben difficile poter capire chi è l’attaccante e come sta attaccando, dato che può coinvolgere terze parti che ne sono totalmente ignare. Come per i tradizionali servizi segreti, si può effettuare un attacco per far credere che sia stato compiuto dalla controparte nemica o da un terzo, si possono far circolare informazioni false per condizionare l’avversario e fargli prendere le decisioni che si desiderano, e così via.

Le linee d’azione della cyber guerra tra Russia e Ucraina

La cyber guerra tra Russia e Ucraina, e che di fatto potrà coinvolgere direttamente e indirettamente altri paesi, si sta combattendo sulle seguenti principali linee di azione:

WHITEPAPER
Smart Logistic: semplificare, velocizzare e aumentare l'efficienza della logistica
IoT
Logistica/Trasporti
  • Larghissima diffusione di notizie false e di disinformazione sui vari canali di comunicazione, dalle televisioni ai social net, anche con email ad aziende, enti ed associazioni di paesi europei.
  • Malfunzionamenti e blocchi delle reti di comunicazione, in particolare degli accessi ad Internet, con attacchi digitali e talvolta fisici, con furto e/o distruzione dell’hardware e dei sistemi dei diversi dispositivi di rete.
  • Attacchi target ai sistemi informatici, soprattutto ai siti web ed alle applicazioni vitali per il funzionamento delle infrastrutture critiche e dei servizi essenziali per il paese. Gli attacchi più diffusi, ed attuati ben prima del giorno dell’attacco, riguardano in particolare la saturazione di risorse informatiche, il così detto DDoS, Distributed Denial of Service, e nuovi malware, in particolare di tipo Wiper, nel seguito approfonditi.
  • Grande aumento di phishing sulla posta elettronica di utenti, ad oggi prevalentemente ucraini.

Cyber attacchi da parte russa: chi li effettua?

Avendo già deciso di invadere la Crimea, fin dal 2020 la Russia ed i gruppi di hacker a lei riconducibili avevano aumentato significativamente gli attacchi digitali “diretti”, tipicamente con DDoS e malware-ransomware, ed “indiretti”, con una crescente disinformazione e phishing, compromettendo per periodi sempre più lunghi siti web, servizi ed applicazioni informatiche ucraine. Nell’ambito degli specialisti della cybersecurity questo crescendo di attacchi e di informazioni false o semi-false, queste ultime ancor più pericolose ed inoltrate a pioggia anche a molteplici interlocutori occidentali, era stato rilevato ed evidenziato sui siti web e sulle reti social degli addetti ai lavori. I primi chiari segnali d’allarme già suonavano forte, ma la cybercriminalità russa era ed è ben conosciuta, e ben noti i loro lauti guadagni con il ransomware e con le frodi su Internet. I più hanno pensato che in questa fase di lenta ripresa economica in Europa per avere, almeno in parte, sotto controllo il Covid 19, la cyber criminalità mondiale volesse cavalcare tale opportunità. Ma questi attacchi erano il preludio all’invasione, per altro chiaramente segnalata dai servizi segreti statunitensi, ed essi sono ovviamente ulteriormente aumentati nel corso dell’attacco militare. Ma chi effettua tali cyberattacchi da parte della Russia? Essi sono realizzati dalle loro strutture di intelligence, in particolare il GRU, e da gruppi di hacker e cyber criminali da queste pilotati. In particolare:

  • Gru, Gavone Razvedyvatel’noje Upravlenije, traducibile come “Direzione principale dell’intelligence”: costituisce l’intelligence militare per le attività informative offensive e dipende dal Ministero della Difesa.
  • Fsb, Federál’naja Služba Bezopásnosti, e Svr, Služba vnešnej razvedki: sono i servizi segreti russi che svolgono anche azioni cyber, e che fanno capo direttamente alla Presidenza della Federazione Russa, ossia a Putin. Fsb è l’erede del Kgb sovietico, Svr si occupa delle azioni all’estero.
  • Il gruppo Sandworm, noto anche con altri nomi quali Unit 74455, Voodoo Bear, Iron Viking: opera presumibilmente sotto la direzione Gru e ha svolto con successo l’attacco alla rete elettrica ucraina, vari attacchi a sistemi informativi ucraini con ransomware Petya, NotPetya e con il nuovo Cyclops Blink per i sistemi firewall Watchguard, più avanti descritto.
  • Conti Group, noto gruppo cybercriminale per le sue attività con ransoware e relativi ricatti. Vari attacchi cibernetici all’Ucraina, e a paesi occidentali, via ransomware e frodi tramite Internet, sono attribuiti a questo gruppo.

Cyber escalation, l’era dei wiper

Con l’invasione militare dell’Ucraina si assiste ad una forte “cyber escalation”, che può facilmente e velocemente estendersi a vari paesi occidentali, tra cui l’Italia, che hanno preso una precisa posizione contro Putin e la sua guerra. E tutte le strutture cyber statali di questi paesi hanno diramato precisi e severi allarmi ed inviti a potenziare le misure di Cybersicurezza in essere.

Importante evidenziare come l’attacco di DDoS contro siti governativi e banche ucraine del 15 e 16 febbraio 2022 sia stato attribuito molto chiaramente e soprattutto molto velocemente (rispetto ai normati tempi di verifica ed attribuzione) al GRU da parte di USA, UK e Australia.

Tale rapidità di individuazione certa dell’attaccante evidenzia ai governanti russi che da un lato l’occidente ha capacità e strumenti per individuare chi e come compie attacchi digitali e che questi, se condotti contro un paese della Nato, possono innescare l’articolo 5 del Trattato, e quindi una assistenza o un diretto intervento da parte degli altri Stati aderenti alla Nato.

Si è scoperto che, prima dell’invasione all’Ucraina, sul finire del 2021, molti sistemi informativi del paese, soprattutto quelli governativi, delle banche e di altri servizi essenziali, erano stati infettati con due specifici wiper, l’HermeticWiper e il WhisperGate, e più recentemente con il malware Cyclops-blink, qui di seguito descritti.

Che cosa è un wiper? Wiper in inglese significa tergicristallo, e il verbo wipe, più in generale, significa “pulire”: questo tipo di malware manipola e/o cancella il driver di un hard disk, eliminando tutti i dati archiviati e non consentendo più il suo utilizzo. Questi wiper sono considerati malware distruttivi.

HermeticWiper

Questo wiper manipola il Master Boot Record (MBR) in ambito Windows ed è riconoscibile come Win32/KillDisk.NCV. Sfrutta le vulnerabilità di Microsoft SQL Server (CVE-2021-1636), utilizzando (almeno negli attacchi ai sistemi ucraini) i driver di EaseUS Partition Master, software per la creazione gestione di partizionamento ed il ridimensionamento del disco rigido (hard disk). Ha il nome di Hermetic in quanto il certificato digitale che lo firma fa riferimento ad una società di nome Hermetica Digital Ltd con sede a Cipro. La società esiste effettivamente, opera nei videogiochi, ma il direttore e fondatore dichiara alla Reuters di non essere coinvolto nell’attacco e di non avere mai richiesto quello specifico certificato digitale. Cancellando il MBR, non è poi possibile effettuare l’operazione di avvio (accensione, boot) del sistema operativo Windows sui dispositivi infettati.

WhisperGate

WhisperGate è un malware distruttivo molto sofisticato, studiato per i sistemi Windows, in grado di autoproteggersi e che si camuffa da ransomware. Esso opera in tre fasi, sintetizzate nella figura seguente.

Fig. 1 (Fonte: Recorded Future)

Fase 1: WhisperGate sfrutta l’ambiente di sviluppo Minimalist GNU for Windows (MinGW) che  supporta il compilatore GNU Compiler Collection (GCC) 6.3.0 negli ambiti Windows. Con questi strumenti viene sovrascritto l’MBR originale in PhysicalDrive0 con uno “ad hoc”, che non svolge alcuna funzione finché il sistema infettato non viene spento e poi riattivato. Alla riaccensione, il BIOS fa partire il sistema dal falso MBR ed appare l’avviso riportato in fig. 2 che spaccia WhisperGate per un ransomware e chiede un riscatto di $ 10.000,00 in Bitcoin. Con il reboot tramite l’MBR falso, vengono poi riscritte le sezioni di ogni driver.

Fig. 2 (Fonte: Recorded Future)

Fase 2: in questa fase viene effettuato il download per poter eseguire la successiva terza ed ultima fase. Viene lanciato il commando di PowerShell  “powershell -enc UwB0AGEAcgB0AC0AUwBsAGUAZQBwACAALQBzACAAMQAwAA==”, che decodifica in “Start-Sleep -s 10”. Il ritardo di 10 secondi è eseguito due volte probabilmente per non farsi riconoscere dai sistemi anti-malware. Viene poi scaricato un file da un canale di Discord, una piattaforma che consente a persone di condividere e comunicare informazioni, tipicamente nelle comunità di gioco e di videogiochi. Questo file è in https://cdn[.]discordapp[.]com, è ha il nome bopbh.jpg. Il contenuto di questo file JPG viene caricato ed assemblato come un codice .NET, e viene poi attivata la funzione esportata “Ylfwdwgmpilzyaph”.

Fase 3: WhisperGate viene offuscato[3] tramite il programma eazfuscator.NET. Vengono poi spacchettati e de-zippati e de-compressi i moduli AdvancedRun[4] e Wagybg, due eseguibili “embedded”, ossia inclusi nel malware, e in formato PE, Portable[5] Executable, un formato per file eseguibili, file oggetto, librerie condivise e device drivers, usato nelle versioni a 32-bit e 64-bit del sistema operativo Microsoft Windows. Viene poi scritto lo script Visual Basic (.vbs) in “%AppData%localTempNmddfrqqrbyjeygggda.vbs”, ed eseguito con Wscript.exe. Questo consente di non far verificare l’intero disco C da Windows Defender. L’attivazione di AdvancedRun consente di gestire i vari privilegi necessari per operazioni da amministratore/installatore (TrustedInstaller) e per bloccare definitivamente Windows Defender, per poi cancellare tutti i suoi file. Viene poi attivato Wagybg, che utilizza il programma Microsoft  InstallUtil.exe (fa parte del framework .NET), per corrompere i file del disco. Per prima cosa individua tutti i driver logici del sistema chiamando la funzione GetLogicalDrives(), e considerando tutte le possibili estensioni dei file, da .bat a .exe, etc. (in fig. 3 le 191 estensioni controllate): i file individuati vengo corrotti scrivendo per ciascuno di essi il primo milione di Byte con 0xCC byte. Il disastro totale sul disco è compiuto ed il malware si auto cancella dal sistema.

Fig. 3 (Fonte: Recorded Future)

Cyclops-blink

È un sofisticato malware finalizzato ai firewall, individuato inizialmente su quelli di WatchGuard. Realizzato da Sandworm, sembrerebbe essere l’evoluzione e la sostituzione di VPNFilter, identificato da Cisco e dall’Fbi nel 2018 e in gran parte ormai smantellato. Il nuovo malware sfrutturebbe delle vulnerabilità, ad esempio sui firewall di Watchguard (che ha già rilasciato le opportune patch) e fungerebbe da entry point nei dispositivi colpiti per scaricare codici malevoli con diverse funzionalità per sfruttarle per inviare comandi di attacco per le reti infettate, e per poterle controllare.

WatchGuard ha rilasciato degli strumenti per poter verificare se sui propri sistemi è installato questo malware e per poterlo eliminare. Si veda per questi strumenti https://detection.watchguard.com/

Le risposte in atto a questi attacchi cibernetici

L’Ucraina, a quanto risulta, ha solo una specifica organizzazione statale per la cybersecurity, denominata “State Service of Special Communications and Information Protection of Ukraine”.

Fig. 4

Analizzando i contenuti di questo sito, aggiornato al 22/2/2022, due giorni prima dell’invasione russa, e considerando anche specifiche indagini internazionali e statunitensi, lo spazio cyber ucraino non risulta avere gli idonei livelli di sicurezza digitale di un moderno stato, soprattutto per i siti ed i servizi governativi e delle pubbliche amministrazioni: manca di specifiche leggi in materia, e di qui il facile proliferare di cyber criminali, oltre che di partnership tra pubblico e privato; sono insufficienti i sistemi di gestione e di governo della cybersecurity, le misure tecniche ed organizzative, bassa qualità della “threat intelligence” e dell’audit cyber. Finora gli enti ucraini predisposti hanno risposto agli attacchi digitali russi denunciandoli e controbattendo alle informazioni scorrette fatte circolare, grazie anche all’immagine e alle capacità di comunicatore del presidente ucraino, che è rimasto sul campo con la famiglia e che interagisce, pur con molte difficoltà, con i governati europei e degli altri stati occidentali, oltre che la popolazione ucraina, motivandola e alzandone il morale con il suo esempio. Il Ministro per la trasformazione digitale dell’Ucraina, Mykhailo Albertovych Fedorov, che è anche Vice Premier, ha lanciato una richiesta d’aiuto all’occidente per farsi aiutare in questa guerra cibernetica con un tweet in data 26/2/2022, riportato nella fig.5. Ha anche chiesto, ed ottenuto, aiuto alle grandi big dell’ICT, da Apple a Google, da Meta a YouTube, perché blocchino l’accesso agli utenti russi ed eliminino le informazioni false e di parte sull’Ucraina. Ha ottenuto da Elon Musk la messa a disposizione dell’Ucraina in poche ore del sistema satellitare Starlink, così da poter garantire a tutta la nazione l’accesso ad Internet anche se le connessioni via cavo fossero distrutte dagli invasori.

Gruppi di hacker, in particolare Anonymous (si veda fig. 6), si sono schierati con l’Ucraina ed hanno contro attaccato bloccando vari siti web governativi, quali ad esempio duma.ru, vari gov.ru, kremlin.ru, e di alcune televisioni russe, quali 1tv.ru e 5.tv, che risultano ancora inattive, come mostrato con una mia prova riportata in fig. 7 .

Fig. 5

Fig. 6

Fig. 7

Altri gruppi che hanno dichiarato guerra cibernetica al governo russo includono Cyber Partisans e Ghostsecurity. Cyber Partisans è gruppo di hacker – hactivist bielorussi anti Lukashenko, l’attuale presidente in carica e uomo di Putin, e pro-democrazia. Questo gruppo è noto per aver colpito a più riprese il governo di Minsk, e afferma di aver criptato alcuni server, database e posti di lavoro delle ferrovie ucraine per contribuire a rallentare l’avanzata delle truppe russe. Ghostsecurity è un’organizzazione di hacker antiterrorismo soprattutto islamico, e che combatte l’estremismo sul fronte cyber utilizzando Internet come arma. È stata attiva contro l’Isis e non si sa di preciso cosa stia facendo nell’attuale guerra cibernetica contro la Russia.

Tutte le strutture cyber statali dei paesi occidentali (alcune delle quali elencate alla fine di questo articolo) sono in forte allarme, hanno segnalato i nuovi malware e raccomandato alle aziende e alle pubbliche amministrazioni di rafforzare i loro livelli di sicurezza digitale. Non possono, per ora, contribuire ufficialmente e direttamente alla guerra informatica in corso, ma come indicato in precedenza, forse alcune di loro sono già attive in maniera nascosta e/o sotto il nome di qualche gruppo hacker.

I contrattacchi fin qui visibili sono prevalentemente sui siti web e sui servizi da questi erogati: importanti, di immagine ma che ben poco possono influire sulla guerra sul campo. Attacchi digitali ai sistemi militari dei russi, alla loro logistica e alle loro comunicazioni interne sarebbero ben più efficaci e deterrenti, impedendo loro di funzionare come dovrebbero, ma sono estremamente difficili da attuare e richiedono ben specifiche competenze e risorse ICT, che solo i più potenti paesi occidentali dispongono, in primis gli USA. Ma intendono usarli e quando? Ben poco tempo rimane per incidere, con l’arma cyber, sulla guerra e le sue distruzioni fisiche!

Le principali organizzazioni statali NATO, Ue, Usa e Italia per la cybersecurity

I paesi europei e la stessa NATO hanno strutture di esperti e di risorse ICT, ma orientate prevalentemente alla difesa più che all’attacco. Nel seguito sono elencate le principali e più attive organizzazioni statali NATO, Unione Europea, Stati Uniti e Italia per la cybersecurity. Gli altri paesi europei hanno strutture analoghe. Si deve notare, in particolare negli USA, l’elevato numero di strutture con funzioni simili e che potrebbero essere in concorrenza tra loro, con grave impatto sulla loro efficacia ed efficienza quando occorre intervenire in tempi brevissimi. Importante quindi, la costituzione di un’unica struttura centrale di indirizzo e coordinamento quale la recente l’ACN italiana, purché sia realmente in grado di espletare questo complesso compito.

  • NATO, North Atlantic Treaty Organization
      • CCDCOE, Cooperative Cyber Defence Centre Of Excellence: svolge il ruolo di “hub” di esperti per fornire ai paesi membri competenze ed esperienze interdisciplinari nella difesa della cybersecurity, coprendo le principali aree della tecnologia, delle strategie, dell’operatività, della legislazione. Sede a Tallinn in Estonia.
      • NATO NCI, Communications and Information Agency – NATO’s Cyber Security Centre: struttura operativa per la protezione della cyber sicurezza delle strutture e dei paesi componenti della NATO.
    • USA
      • DHS, Department of Homeland Security: creato dopo l’attacco terroristico dell’11 settembre, è focalizzato sull’antiterrorismo e sulla sicurezza del territorio statunitense. Di conseguenza particolare uso ed interesse sul riconoscimento biometrico.
      • DoD, Department of Defense: storico punto di riferimento sull’innovazione ICT, si pensi alle reti DARPA pre Internet, attualmente impegnato sulla cybersecurity di base ed al contrasto agi attacchi e ai crimini informatici.
      • CISA, Cybersecurity & Infrastructure Security Agency: si occupa in particolare della cybersecurity delle infrastrutture critiche statunitensi.
        • CERT US, Computer Emergency Response Team: gestito da CISA, ha funzionalità analoghe ai CSIRT europei
      • NSA, National Security Agency: agenzia per la sicurezza nazionale, si occupa anche di cybersecurity.
      • FBI, Federal Bureau of Investigation: la ben nota polizia federale, è incarcata di investigare e di contrastare attacchi e crimini informatici.
    • Comunità Europea
      • CRRT, Cyber Rapid Response Teams and mutual assistance in cyber security, nell’ambito di Pesco, Permanent Structured Cooperation, per migliorare la difesa anche cybernetica dei vari paesi membri dell’UE
      • ENISA, European Union Agency for Cybersecurity: ha l’incarico di di creare le condizioni per un elevato livello comune di cibersicurezza in tutta l’Unione Europea. Si focalizza in particolare su: sensibilizzazione e responsabilizzazione delle comunità europee, politiche di cybersecurity, cooperazione operativa, rafforzamento delle capacità, soluzioni affidabili, previsioni.
    • ITALIA
      • ACN, Agenzia Cybersicurezza Nazionale: ha compiti di resilienza e sicurezza in ambito informatico, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico, e assicura il coordinamento tra i soggetti pubblici coinvolti nella materia. Ad ACN rispondono ora i seguenti enti:
          • NCS, Nucleo per la cybersicurezza: ha funzioni di prevenzione e preparazione ad eventuali situazioni di crisi e per l’attivazione delle procedure di allertamento.
          • CSIRT, Computer Security Incident Response Team Italia (https://csirt.gov.it/)
          • CVCN, Centro di Valutazione e Certificazione Nazionale
      • COR, Comando Operazioni in Rete: sotto la supervisione del Capo di Stato Maggiore della Difesa (Casmd), coordina le attività di sicurezza e difesa cibernetica delle Forze Armate e del Ministero della Difesa.
      • Polizia Postale e delle Comunicazioni: preposta al contrasto delle frodi postali e del crimine informatico.
        • CNAIPIC, Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche.
      • NSTPFT, Nucleo Speciale Tutela Privacy e Frodi Tecnologiche: Reparto Speciale della Guardia di Finanza che si occupa di contrastare le frodi telematiche ed informatiche, nonché tutelare la privacy.

Note

  1. Il Partenariato per la pace (PfP, Partnership for Peace), è un programma il cui fine è creare fiducia tra la NATO, gli stati europei che non hanno aderito all’Alleanza Atlantica e la ex Unione Sovietica.
  2. Divenuto miliardario insieme alla sua oligarchia, dopo la rivolta del 2014 scappa in Russia e viene condannato (il 24 gennaio 2019) dal Tribunale di Kiev a 13 anni di carcere per alto tradimento e per la sua “complicità nello scatenare una guerra di aggressione contro l’Ucraina” da parte della Russia.
  3. I programmi di offuscamento servono a rendere praticamente incomprensibili e illeggibili, per un essere umano, i codici sorgente.
  4. AdvancedRun è un programma non malevolo che serve per far eseguire programmi in diversi settaggi e configurazioni.
  5. Il termine “portable” si riferisce alla versatilità del formato per numerose differenti architetture e sistemi.
WHITEPAPER
Processi più snelli, più fluidi, più efficienti: i vantaggi dell’Industria 4.0
CIO
Cloud
@RIPRODUZIONE RISERVATA

Articolo 1 di 4