La cyber warfare che verrà

Le operazioni cibernetiche sono diventate parte integrante non solo delle campagne militari convenzionali, ma dell’intero spettro di attività competitivo-conflittuali lungo l’intero continuum-of-competition, e la loro integrazione nei teatri contemporanei di ostilità attive ha acquisito un ruolo sempre più rilevante. L’aggressione della Federazione Russa all’Ucraina ne costituisce un esempio paradigmatico, in cui il dominio cibernetico ha amplificato gli effetti delle offensive tradizionali a più livelli. Con l’evoluzione continua delle capacità informatiche, diventa dunque necessario sviluppare nuove strategie e tecnologie per contrastare tali minacce. In particolare, le tecnologie emergenti, come l’Intelligenza Artificiale (IA), assumeranno infatti un ruolo fondamentale nel plasmare il panorama della guerra digitale (digital warfare), offrendo nuove capacità e generando vulnerabilità che potrebbero essere sfruttate da attori statali e non statali. Per questo motivo, evidenziare e analizzare le tendenze evolutive delle minacce cibernetiche risulta essenziale per preparare ed ottimizzare le risposte difensive ed offensive, garantendo una maggiore resilienza ed un vantaggio strategico nel contesto della cyber warfare che verrà.

Le minacce avanzate persistenti (APT – Advanced Persistent Threats) rappresentano una tipologia di attacchi informatici mirati ed a lungo termine, tipicamente condotti da attori statali (o sponsorizzati dagli Stati), potenzialmente spinti da pretesti finanziari. La peculiarità trasversale di queste minacce è l’abilità di infiltrarsi in una rete od in un sistema specifico e di mantenere un accesso non autorizzato per periodi prolungati, al fine di raccogliere informazioni sensibili e/o causare l’arresto di un sistema. Gli APT sono occulti, accurati e mirati ad essere persistenti ed a sfuggire al rilevamento. La minaccia APT è in costante crescita, nel 2024 è stato rilevato un aumento degli attacchi del 58% rispetto al 2023. Nell’ultimo anno diversi gruppi sponsorizzati da Stati hanno inoltre intensificato le offensive in Europa (+18,24%) e nelle regioni del Medio Oriente e dell’Africa (+4,27%). Incremento contestualizzato in uno scenario geostrategico in costante tensione, vedasi i conflitti in corso tra Russia ed Ucraina e tra Israele ed il cosiddetto Asse della Resistenza. Le minacce informatiche hanno preso di mira settori specifici, incluso quello governativo-militare, che risulta essere il più colpito con il 15,5% degli attacchi. Questa attenzione deriva dalle informazioni sensibili detenute nelle reti informatiche dei comparti militari-industriali, in grado di offrire vantaggi strategici in situazioni di ostilità. Un esempio di APT degno di menzione è Volt Typhoon, un gruppo di attività cibernetiche attribuite alla Repubblica Popolare Cinese, insinuatosi nelle infrastrutture critiche statunitensi, potenzialmente per preparare le risorse informatiche da attivarsi malevolmente in caso di crisi o conflitto con gli Stati Uniti. Volt Typhoon è dunque un caso di preparazione cibernetica dell’ambiente operativo, il cui obiettivo immediato è quello di ottenere l’accesso e di preposizionare capacità pronte per essere utilizzate in futuro. Si tratta di un APT riconoscibile per le capacità di spionaggio, furto di dati ed accesso a credenziali confidenziali, operando quasi esclusivamente tramite tecniche del tipo living off the land. Queste, sfruttando strumenti e comandi nativi del sistema operativo al posto di un malware esterno, consentono a Volt Typhoon di mimetizzarsi tra le ordinarie attività di rete, complicando il rilevamento e la mitigazione delle sue operazioni. Analizzare questo caso risulta rilevante nel contesto contemporaneo poiché l’attività di Volt Typhoon evidenzia l’attitudine degli attori statali di infiltrarsi in infrastrutture critiche, preparando il terreno per possibili azioni di sabotaggio o interruzioni dei servizi in situazioni di crisi. La Cina, tramite Volt Typhoon avrebbe generato un’importante capacità di riserva, ed il valore dell’accesso ottenuto risiede principalmente nel fatto che questa avrebbe potuto essere impiegata in futuro. Casi come Volt Typhoon non sono solo mere minacce cibernetiche, bensì un asso nell’arsenale di un Paese in preparazione ad un potenziale conflitto.

Le applicazioni dell’IA, attraverso le sue capacità di automazione ed analisi avanzata in tempo reale, hanno anch’esse il potenziale per diventare uno strumento chiave nelle strategie di cyber warfare dell’avvenire, sia in ambito offensivo che difensivo. Le offensive automatizzate, in particolare, sono in grado di sfruttare eventuali vulnerabilità con velocità, ritmo e precisione senza precedenti e di apprendere rapidamente dai propri errori (attraverso il machine learning). In questo scenario, la militarizzazione dell’IA aggrava ulteriormente un panorama di minacce già fortemente compromesso, consentendo agli attori malevoli di potenziare ogni fase di un attacco, eseguendolo in maniera più efficace, rapida e su scala più ampia rispetto al precedente. Oltre alle evidenti capacità offensive, un altro vantaggio notevole è la capacità di eludere gli algoritmi di rilevamento delle tecniche di ingegneria sociale, permettendo agli aggressori di infiltrarsi nei sistemi informatici e restare indisturbati per lunghi periodi, simulare comportamenti umani realistici, come nel caso dello spoofing e dei deepfake, e generare messaggi di phishing sempre più credibili. In prospettiva, dunque, l’impiego dell’IA può rappresentare un vantaggio strategico grazie alla capacità di generare realtà ibride sempre più pervasive e credibili. Analogamente, i malware potenziati dagli algoritmi dell’IA sono in grado di apprendere e adattarsi alle contromisure, rendendo meno efficaci i meccanismi di difesa tradizionali. Tra le applicazioni più sofisticate vi sono gli attacchi a sciame, operazioni coordinate su più piattaforme e reti che, sfruttando l’IA, riescono a colpire con un volume, una sincronizzazione ed una velocità irraggiungibili per qualsiasi attore umano. Di fronte a minacce sempre più customizzate e complesse, rese possibili grazie all’implementazione dell’IA, è indispensabile dotarsi di sistemi di difesa altrettanto dinamici ed intelligenti, in grado di prevedere, evolvere, contrastare ed intervenire ancor prima che l’attacco si manifesti. Un esempio efficace di integrazione tra IA e cyber warfare è il fenomeno dell’information warfare. La guerra nello spazio cibernetico, basata sulle informazioni, è un’attività in costante e rapida evoluzione, volta a rubare, disturbare, manipolare, distorcere e distruggere le informazioni. L’information warfare è parte integrante della guerra ibrida, in cui il ruolo dei mass media e delle reti informatiche globali è fondamentale. Gli algoritmi di IA possono essere addestrati per diffondere fake news, propaganda e messaggi di odio, influenzando e distorcendo l’opinione pubblica, fino ad arrivare a modellare la percezione delle relazioni internazionali. Le campagne di disinformazione, sempre più frequenti e guidate da algoritmi sofisticati, compromettono il confine tra realtà e manipolazione nella dimensione virtuale e cognitiva. Attualmente, possedere il controllo delle informazioni (e dunque veicolare la narrativa) consente un vantaggio sul campo di battaglia, permettendo l’identificazione dei punti deboli nelle difese del nemico ed occultando strategicamente le proprie vulnerabilità. I social media oggi rappresentano un terreno di scontro determinante per condurre tali pratiche offensive, sfruttando strumenti come bot e deepfake. Le tecniche di deepfake, create utilizzando l’apprendimento automatico avanzato dell’IA, consentono infatti di creare immagini e video falsi, difficili da riconoscere come non autentici. Queste rappresentano una sfida contemporanea ed incontrastata, preoccupante per il mondo della disinformazione, in quanto ha il potere di manovrare facilmente la (percezione della) realtà. Se informazioni fallaci costruite ad arte e sistematicamente disseminate verso audience bersaglio, ampie o ristrette, possono condurre ad errori tattici, operativi o addirittura strategici, la stessa insicurezza sulla validità delle informazioni (zero trust) e della consapevolezza situazionale può causare ritardi o inazioni potenzialmente letali.

Appare infine evidente come nel panorama geostrategico contemporaneo le offensive tradizionali e cibernetiche non siano più entità separate, ma complementari ed integrate. In questo nuovo paradigma, la deterrenza cibernetica si impone come un concetto fondamentale per le potenze globali, impegnate nel cercare di prevenire e/o mitigare attacchi attraverso capacità offensive sofisticate, accrescendo in parallelo le strategie di resilienza. Considerando che il futuro prossimo dei conflitti passerà anche attraverso il ricorso estensivo all’IA, i sistemi di contrasto dovranno essere orientati meno sulle competenze operative umane e più sull’integrazione tecnologica e sull’adattamento reattivo e dinamico delle difese. Esempi concreti di offensive sofisticate sono gli attacchi NotPetya (2017) e SolarWinds (2020). Inizialmente considerato un ransomware, NotPetya si è rivelato essere un attacco distruttivo mirato, concepito principalmente per colpire l’Ucraina, ma che, per via dell’impatto generato e del modus operandi adottato, ha avuto ripercussioni su scala globale. Sfruttando una singola vulnerabilità (dei sistemi Windows), il malware si è diffuso rapidamente, compromettendo intere infrastrutture critiche e causando danni stimati in circa 10 miliardi di dollari a livello mondiale. L’attacco SolarWinds, invece, rappresenta uno dei casi più sofisticati degli ultimi anni. Inserendo un codice maligno in aggiornamenti legittimi, un gruppo di hacker è riuscito ad accedere a dati sensibili e reti interne di oltre 18.000 organizzazioni collegate al software di gestione Orion di SolarWinds, utilizzato da numerose agenzie governative ed aziende private. Questo attacco ha fatto emergere la necessità di adottare meccanismi di controllo costante e approfondito, sia sull’infrastruttura di rete sia sulle componenti software utilizzate, specialmente in ambienti ad alta criticità, come quelli militari.

Dall’analisi delle tendenze emergenti nel dominio cibernetico emergono due elementi chiave della moderna cyber warfare: da un lato, la crescente importanza della deterrenza, intesa come la capacità di penetrare preventivamente per poter colpire praticamente senza preavviso al fine di scoraggiare e dissuadere l’avversario mediante la minaccia persistente di attacchi mirati, nonché strumenti come i Distributed Denial of Service (DDoS). Il secondo elemento è costituito dalla centralità della resilienza sistemica, possibile anche grazie ad una stretta cooperazione pubblico-privata. Il conflitto russo-ucraino rappresenta un caso emblematico della convergenza tra operazioni militari convenzionali ed offensive cibernetiche, mettendo in luce l’urgenza di strategie integrate per mitigare l’impatto degli attacchi e garantire una risposta tempestiva, coordinata ed efficace. In prospettiva futura, il successo nella cyber warfare dipenderà dalla capacità di coniugare proiezione offensiva e difesa strutturata in un ecosistema digitale resiliente e dinamico.