Russia – Ucraina: la cyberguerra tra spionaggio e Anonymous

Anche le recensioni di ristoranti su Google Maps e Tripadvisor si usano per comunicare 

di Silvia Cegalin

L’attuale conflitto Russo-Ucraino è la manifestazione di quella che usualmente viene definita hybrid warfare, guerra ibrida, termine usato per rappresentare una strategia militare che coniuga operazioni belliche convenzionali ad azioni cibernetiche caratterizzate da invasive campagne di manipolazione dell’informazione tramite fake news ed attacchi informatici.

Offensiva Russa

13 e 14 Gennaio le date di inizio di questa cyberguerra

«Ucraino! Tutti i tuoi dati personali sono stati caricati sulla rete pubblica. Tutti i dati sul computer sono stati distrutti, è impossibile recuperarli. Tutte le informazioni su di te sono diventate pubbliche, abbi paura e aspettati il peggio. Questo è per il tuo passato, presente e futuro» questo è parte del messaggio, scritto in ucraino, russo e polacco, comparso nei vari siti governativi ucraini hackerati.

Un messaggio che ha procurato panico tra i cittadini, bloccato una settantina di computer e reso inaccessibili parecchi siti web.

L’hackeraggio è stato identificato da Microsoft il 13 Gennaio individuando WhisperGate, un malware “wiper” altamente distruttivo in quanto riesce a cancellare tutti i dati che incontra sul suo percorso, nonché a spacciarsi per un ransomware.

Il 23 Febbraio la Russia attacca i siti istituzionali dell’Ucraina tramite Hermetic Wiper, un malware simile a WhispeGate, e molto dannoso in quanto oltre distruggere i dati, minaccia anche il sistema operativo e la rete internet.

APT29 e UNC1151 tra i responsabili dell’attacco hacker

Le dichiarazioni più importanti sono giunte da Serhiy Demedyuk, ex capo della polizia informatica e attuale vice segretario del consiglio per la sicurezza e la difesa nazionale dell’Ucraina, che in un’intervista rilasciata a Reuters ha asserito che gli attacchi di Gennaio ha similitudini con un hackeraggio avvenuto poco prima delle elezioni presidenziali americane del 2016, il software usato per danneggiare i server governativi riconduce non a caso al gruppo APT29.

Se la sigla APT indica un advanced persistent threat (minaccia informatica persistente avanzata), con l’aggiunta del numero 29 rappresenta invece un gruppo specializzato in spionaggio informatico, sia associato al servizio segreto SVR sia al servizio federale della Federazione russa FSB; questo gruppo hacker nel corso del tempo ha assunto anche altri nomi tra cui CozyBear, CozyCar, CozyDuk.

Demedyuk, sempre a Reuters, aveva previsto che quanto accaduto il 13 Gennaio era soltanto una delle tante azioni che i russi avevano in programma di fare per indebolire l’Ucraina, e non sarebbero soli, a sostenerli ci sarebbero anche i bielorussi e la loro unità di spionaggio UNC1151.

La comparsa di UNC1151 non è accidentale, questo gruppo è stato infatti protagonista dell’operazione di disinformazione Ghostwriter cui scopo era la diffusione di fake news contro gli alleati della NATO, campagna di manipolazione che è stata condotta anche attraverso una compromissione dei software di alcune testate giornalistiche lituane, lettoni e polacche durata dal 2017 al 2020, e scoperta dal team di FireEye.

La Russia, tuttavia, non ha ancora dichiarato un coinvolgimento esplicito in questi cyberattacchi.

Gli attacchi precedenti: dallo spyware Uroburos al ransomware NotPetya

Le prime azioni russe contro i sistemi informatici dell’Ucraina risalgono al 2014, quando la Russia all’interno dell’operazione Armageddon, iniziata l’anno prima, tramite attacchi DDoS mise fuori uso i siti governativi e informativi dell’Ucraina, mentre con l’invasione di Febbraio della Crimea le truppe russe perquisirono i cavi di fibra ottica, impedendo qualsiasi comunicazione tra la penisola e l’Ucraina.

Ma non finisce qui: nello stesso anno la Russia “lancia” lo spyware Uroburos continuando la guerra informatica che andrà avanti anche gli negli anni successivi con le azioni malevoli di APT28 e APT29.

Il 2017 è invece stato l’anno di NotPetya, un malware distruttivo nota variazione di Petya, che procurò ingenti perdite economiche non solo in Ucraina, ma anche in Europa, Stati Uniti e Asia.

Difesa Ucraina

Anonymous in sostegno dell’Ucraina

«Il collettivo Anonymous è ufficialmente in cyber guerra con il governo russo» il 24 Febbraio tramite questo tweet pubblicato nell’account @YourAnonOne, il collettivo di hacktivisti dichiara guerra a Vladimir Putin e al suo governo.

I siti del Cremlino, della Duma, alcuni siti bancari e il canale televisivo RT sono stati tra i primi target; ma era solo l’inizio. I giorni successivi, infatti, le minacce di Anonymous si sono intensificate fino ad arrivare a colpire il sistema informatico di Gazprom, società responsabile dell’estrazione e dell’esportazione del gas naturale, gli organi di propaganda (TASS, rbc.ru, iz.ru) e l’agenzia spaziale Roscosmos.

Il messaggio è chiaro: chiunque sostenga Putin sarà un bersaglio.

Se si analizza la storia di Anonymous si intuisce che gli hacker che aderiscono alle loro battaglie perseguono un public interest hack. I loro attacchi informatici, perlopiù DDoS, sono sempre sostenuti da una ragione sociale e non certo per creare danni immotivati o guadagnare. Nelle loro ultime dichiarazioni, non a caso, hanno precisato che le loro operazioni non saranno rivolte verso i cittadini russi, ma esclusivamente al governo di Putin.

Ufficialmente, tuttavia, è molto difficile stabilire sotto le maschere di Guy Fawkes chi si nasconda. Da tempo si ipotizza che la “facciata” di Anonymous sia stata usata anche da alcuni governi e Stati per assoldare qualche hacker, prove, però, finora non ve ne sono, ma se così fosse cambierebbe di molto la lettura di ciò che sta succedendo.

Gli attivisti contro la disinformazione agiscono su Google Maps

Sabato sera 26 Febbraio Anonymous fa irruzione nei canali della tv russa: d’un tratto i programmi si interrompono per diffondere inni patriottici ucraini e video raffiguranti l’attuale guerra, l’obiettivo è quello di contrastare la censura e la manipolazione dell’informazione ordinate da Putin.

Ma c’è di più: in questi giorni Anonymous ha cercato di ostacolare le fake news chiedendo ai singoli cittadini di inserire commenti o immagini di ciò che sta avvenendo in Ucraina nelle recensioni dei ristoranti in Russia e Bielorussia presenti su Google Maps e Tripadvisor.

Effettivamente, facendo una ricerca casuale, si nota che in ristoranti come il White Fox Cafè di Mosca o il Ronin e il Друзья di Minsk sono state aggiunte foto della guerra, e non sono gli unici casi.

Gli altri attori di questa cyberguerra: i Belarusian Cyber–Partisans

Anonymous non è l’unico attore in questa guerra cibernetica, ad affiancarli, già da Gennaio, figura anche il gruppo di attivisti bielorussi Cyber Partisans, che via Twitter e Telegram hanno avvisato che i sistemi informatici nazionali delle ferrovie bielorusse sono stati messi fuori uso. In questo caso gli hacker hanno agito tramite malware e crittografato la rete, e dopo aver estrapolato i dati hanno chiesto il rilascio di 50 prigionieri e la garanzia che il territorio bielorusso non fosse usato come transito per le truppe russe.

Per quanto l’Ucraina stia ricevendo un forte sostegno, considerata la cyber-potenza russa, è da mettere in previsione una contro risposta degli hacker affiliati al Cremlino, in primis Conti Group, che presumibilmente attuerà attacchi ben più dannosi di quelli visti fino ad ora, agendo su una platea più ampia e che potrebbe, in qualche modo, anche riguardarci.