Arsenali di codiciLe gang del Cremlino e la guerra fredda digitale che è già in mezzo a noi

Più che la potenza nucleare, in questo nuovo confronto conta l’infrastruttura digitale e la capacità di penetrazione nei software del nemico. Tra azioni dimostrative, provocazioni e danni reciproci, Russia e America hanno cominciato a preparare le armi. Il rischio di una escalation è reale. L’Europa, intanto, paga i suoi ritardi

di Philipp Katzenberger, da Unsplash

Un potenziale cambio di paradigma: le retate del FSB

Quattro giorni fa, in una fredda alba moscovita, l’agenzia di intelligence russa FSB ha compiuto una retata su vasta scala in numerosi appartamenti della capitale, arrestando i vertici di una delle gang più insidiose nel mondo dei cyber criminali: la REvil, gang famosa per aver ideato l’omonimo sistema di ransomware che negli ultimi anni aveva fatto numerose vittime illustri. Oltre ad agenzie, enti e aziende erano caduti nella loro rete Acer, JBS, Quanta Technologies, ma anche Lady Gaga e Donald Trump. Le operazioni sono state filmate dagli stessi agenti FSB, e vistose erano le loro bluse. Curiosamente, una giornalista del Washington Post si è ritrovata in possesso del video. Nel filmato si può riscontrare il sequestro di una notevole quantità di denaro, sia rubli sia dollari, nonché hardware, ovvero i “ferri del mestiere” dei cyber criminali.

Non sfugge agli analisti il perfetto tempismo delle autorità russe, che fa seguito ad almeno due proteste che il Presidente americano Joe Biden aveva avanzato nei recenti colloqui di Capodanno con il presidente russo Vladimir Putin. I concomitanti episodi di attacchi cibernetici ai danni di autorità kazake e ucraine hanno in più alzato il livello di guardia e la preoccupazione nei confronti delle gang russe. Sembra allora che l’inquilino del Cremlino e il sistema di sicurezza russo abbiano quindi voluto compiacere i vertici statunitensi ed europei, dimostrando che in caso di appeasement le gang non sarebbero un problema e che potrebbero essere spazzate via nello spazio di un mattino.

Sempre nella stessa settimana in cui sono avvenuti gli arresti a Mosca ed è stato sferrato l’attacco ai siti governativi ucraini, l’Unione Europea conduceva simulazioni di attacchi cyber in più Stati. «L’UE – sostiene Marianna Vintiadis, CEO di 36Brains, startup tecnologica di corporate intelligence – è riuscita a dividersi con messaggi contrastanti da più parti su eventuali ritorsioni contro il gasdotto russo-tedesco Nord Stream 2. Dimostra un’altra volta debolezza e incertezza. Del resto, se in trent’anni ne è riuscita ancora a produrre un motore di ricerca che tuteli i dati dei suoi cittadini, forse potremmo aspettarci di meglio».

Lo spartiacque del Colonial Pipeline

Ma quando è ricominciata la nuova guerra fredda? Di sicuro l’attacco del maggio 2021 alla Colonial Pipeline, il più grande oleodotto statunitense, da parte della cyber gang russa DarkSide è lo spartiacque della nuova Guerra Fredda. Ha mandato nel caos gli Stati Uniti e messo in difficoltà persino l’inquilino della Casa Bianca: la sua dichiarazione dello stato d’emergenza è stata senza precedenti.

Quell’attacco ha reso evidenti al mondo intero gli effetti dirompenti che un’arma cyber può produrre su un’infrastruttura critica. Se in precedenza gli attacchi delle gang erano prevalentemente rivolti al mondo corporate con intenti meramente economici, il caso Colonial ha permesso di intravedere anche un altro gioco, ovvero l’avvio di una vera e propria guerra fredda cibernetica. Non meno dannoso era stato a luglio 2021 proprio uno degli ultimi attacchi di REvil: approfittando di una vulnerabilità zero-day di Kaseya VSA, piattaforma cloud per la gestione di servizi IT, aveva installato un ransomware tramite un aggiornamento software e colpito 1.500 aziende della supply chain. I team di sicurezza della anglo americana Darktrace, leader mondiale di AI nella cyber security, erano poi riusciti ad arginare l’attacco.

Due i nuovi blocchi “invisibili”

Dietro le cosiddette “gang” di hacker criminali, per lo più con base in Est Europa, spesso e volentieri iniziano a profilarsi le ombre di attori statali, che erano contrapposti già qualche decennio fa. Non sono normali criminali informatici in cerca del “colpo” da migliaia di dollari, ma vere e proprie milizie paramilitari digitali, in grado di causare danni diretti e indiretti alle infrastrutture per milioni di dollari. Nonostante le smentite, ci sono gruppi con legami molti stretti con il Cremlino dietro molti degli attacchi più eclatanti degli ultimi anni (ed in particolare nel 2021). E se non è proprio Mosca il mandante, è comunque confermato il suo benestare, soprattutto da parte della principale agenzia di intelligence russa, l’FSB, che nei confronti di alcune di queste gang di hacker criminali ha fornito quello che in gergo è un sanctuary, cioè un porto sicuro, e la relativa immunità.

Naturalmente di fronte a quella che possiamo definire una escalation e la trasformazione della rete in strumento “bellico”, i grandi avversari di un tempo – gli Stati Uniti – non si sono fatti da parte. Hanno anzi istituito veri e propri reparti militari (a partire dalla famosa 780th Military Intelligence Brigade) proprio per compiere operazioni difensive e offensive nel cyber spazio, volte a difendere gli interessi delle aziende e dei cittadini statunitensi. Con gli arresti della settimana scorsa sarà quindi terminata la “protezione” di alcuni enti russi nei confronti delle gang?

Armi non più a base di uranio…

Dai tempi della guerra fredda gli arsenali strategici non sono mutati sostanzialmente. Recente è quindi l’introduzione di nuove armi che vanno a cambiare completamente le regole del gioco: la guerra informatica è ora caratterizzata da una costante innovazione, con nuovi ceppi di malware e nuove tattiche rinnovate su base giornaliera. Non appena gli strumenti di sicurezza vengono aggiornati, gli aggressori scoprono immediatamente nuove vulnerabilità da sfruttare, rendendo i sistemi digitali in costante vulnerabilità.

C’è un altro parallelismo tra la situazione che stiamo osservando oggi e quella che il mondo ha vissuto per circa metà del XX secolo. Mentre le testate nucleari erano i simboli ben visibili e armi concrete della Guerra Fredda, questa veniva però condotta nella pratica con strumenti meno appariscenti: in particolare con lo spionaggio e vari strumenti di intelligence. L’obiettivo di questo gioco era semplice: ferire il nemico senza farsi scoprire. Le tattiche, le tecniche e le procedure impiegate, d’altro canto, erano tutt’altro che convenzionali.

…ma fatte di codici

«Oggi – ci spiega Pierguido Iezzi, CEO di Swascan (Tinexta Cyber) e uno dei più abili cacciatori italiani di vulnerabilità e conoscitore di cyber gang – anche lo spionaggio è diventato digitale: dagli spyware dormienti per mesi e in grado di sottrarre dati molto lentamente e persistere inosservati all’interno dei sistemi bersaglio, agli attacchi di un anno fa alle supply chain, come nel caso di SolarWinds, ancora una volta di matrice russa. La nuova guerra fredda è caratterizzata da missioni digitali segrete, in grado di far crollare una rete elettrica o un sistema di trattamento dell’acqua, oppure di minare la fiducia pubblica influenzando opinioni e ideologie».

Non è una novità, ma la classica Humint (intelligence a componente umana) trent’anni fa non era in grado di far collassare in pochi minuti intere infrastrutture avversarie, come avvenuto questo autunno in Iran alla rete di distribuzione di carburante, a ragione di un attacco con ogni probabilità di origine israeliana. Inoltre, prima del 1991, il confronto militare diretto era impedito grazie alla deterrenza nucleare.

Oggi ci troviamo in un campo nuovo: la Cyber War, da strumento di ransomware e spyware, può divenire esso stesso agente di conquista, contro la quale non c’è deterrenza che tenga. Non si va verso la minaccia del reciproco annientamento, che aveva garantito il lungo equilibrio della guerra fredda nel secondo Novecento. Chi riesce a sferrare la prima mossa, grazie a un vantaggio tecnologico, a una migliore organizzazione delle risorse digitali o, semplicemente, a una distrazione dell’avversario, può assestare il colpo definitivo.

I nuovi arsenali strategici

Si sta entrando progressivamente in giochi di potere in cui protagoniste sono le superpotenze, e dove gli obiettivi economici possono diventare secondari. La presenza di vulnerabilità, soprattutto gli zero-day, rappresenta a tutti gli effetti un’arma di distruzione digitale che è entrata a far parte degli arsenali strategici, accanto alle tradizionali NBC (nucleari, biologiche, chimiche) o ai più asimmetrici strumenti terroristici. Ottenere uno zero-day potrebbe dare luogo ad un vantaggio politico e strategico impagabile sullo scenario globale; la possibilità cioè di avere un “orecchio” all’interno della “macchina” dell’avversario e di poterne anticipare ogni mossa.

Per rimanere sempre nello spazio post sovietico, è di pochi giorni fa la notizia delle rivolte in Kazakistan e la decisione del governo di bloccare l’accesso a internet con conseguenze significative sulla rete bitcoin. Non solo un maggior numero di dispositivi vulnerabili per gli hacker criminali, ma anche notevoli speculazioni finanziarie collaterali, capaci di far collassare mercati. Grazie alla acquisizione di tutte queste nuove tecnologie la Russia e gli Stati Uniti – e in parte minore la Cina, comunque molto attiva – sono ancora una volta pronti a fronteggiarsi nel digitale senza colpo ferire, ma non è chiaro questa volta quale ruolo vuole ritagliarsi l’Europa. Essa è disposta ad essere un semplice comprimario?

Il ruolo dell’Europa e dell’Italia

Già nel 2019, al tempo della propria elezione, il Presidente della Commissione Europea Ursula von der Leyen aveva fissato come uno dei suoi principali obiettivi quello di migliorare le capacità digitali in tutta l’UE, definendola una priorità assoluta. In una dichiarazione appena prima della sua nomina a presidente, aveva annunciato che l’Europa avrebbe dovuto raggiungere «la sovranità tecnologica in alcune aree critiche», citando tra queste la Cyber Security.

La necessità è quindi adesso più che mai di realizzare questa promessa nel concreto e di realizzare un polo e un sistema unico di difesa cyber per l’Europa. Non solo per essere utilizzato come eventuale “contrasto” a possibili attività disruptive sul territorio dei 27 Stati, ma soprattutto per dimostrare sul campo geopolitico che l’Europa ha un suo peso specifico e non sarà più solo un gregario. In un’epoca dove sempre più spesso chi si siederà ai tavoli che contano non sarà solamente chi detiene arsenali nucleari, ma anche le competenze cyber, ecco la necessità di investire al più presto in questo campo.

E questo riguarda anche l’Italia, che proprio in queste settimane varerà l’Agenzia per la cyber sicurezza nazionale. «Questo dell’ACN è un passo avanti necessario e positivo – conclude Iezzi – ma non possiamo aspettarci che una singola agenzia sia in grado di affrontare da sola quelle che sono le sfide che presenta il moderno panorama della cyber security. Il nostro Paese ha delle eccellenze mondiali in questo campo sia nel pubblico sia nel privato. La stessa Swascan in questi anni si è distinta per le attività di ricerca degli Zero Day grazie al suo Offensive Team e l’analisi dei Cyber Risk di settore grazie al proprio Security Operation Center. La chiave per rendere il perimetro nazionale resiliente – data la complessità e la vastità della sfida – è quello di stabilire nuovi paradigmi di collaborazione tra la neonata agenzia e il mondo del privato. La collaborazione tra i vari attori della cyber è quindi l’unica strada percorribile per raggiungere questo obiettivo».