L’integrazione delle operazioni cibernetiche nel conflitto russo-ucraino

Il conflitto russo-ucraino non rappresenta né l’unico né il primo contesto nel quale l’Ucraina è stata bersaglio di attacchi cibernetici da parte di soggetti riconducibili alla Federazione Russia. Sin dall’annessione della Crimea nel 2014, si sono infatti susseguiti rilevanti azioni malevole nel dominio cyber, come il lancio del malware NotPetya nel 2017. Riconducibili allo spettro della guerra ibrida anziché ad operazioni abilitanti od a supporto di manovre militari cinetiche, queste azioni sottolineano comunque il grado di pregressa penetrazione delle infrastrutture informatiche ucraine e le capacità russa di condurre attacchi cibernetici su vasta scala già prima dell’invasione del 24 Febbraio 2022. A partire da questa, gli attacchi cibernetici sono stati tuttavia attivamente integrati con le operazioni militari tradizionali condotte dalle forze di Mosca, delineando una serie di lessons identified tanto sulla dottrina russa in materia, quanto sull’efficacia di queste azioni e delle relative procedure di contenimento e contrasto.

I primi attacchi cyber distruttivi di rilievo, registrati nel primo trimestre del 2022, si sono distinti per l’utilizzo di malware wiper, progettati per rendere i dati infettati inaccessibili ed inutilizzabili, distruggendoli definitivamente. Le strutture maggiormente colpite sono state organizzazioni governative, entità no-profit, aziende tecnologiche e società finanziarie. Tra i wiper più rilevanti figurano WhisperGate, HermeticWiper, CaddyWiper e DoubleZero. In particolare, HermeticWiper è stato uno dei principali attacchi cibernetici sferrati dalla Federazione Russia ai danni dell’Ucraina alla vigilia dell’invasione, causando la distruzione di circa trecento sistemi informatici nel Paese e colpendo oltre cento organizzazioni governative. Parallelamente, sono stati sferrati attacchi del tipo Distributed Denial of Service (DDoS), come quelli registrati tra il 15 ed il 16 Febbraio, ed il 23 Febbraio 2022, che hanno impattato il funzionamento di diversi siti web ucraini, legati a banche e dipartimenti governativi, tra cui i Ministeri degli Affari Esteri, della Difesa e dell’Interno, nonché il Servizio di Sicurezza (SBU – Služba bezpeky Ukraïny). Nonostante la portata dei DDoS sia stata relativamente moderata, permettendo di ripristinare i siti entro poche ore dall’attacco, le interruzioni ai servizi si sono protratte, in alcuni casi, anche nei giorni successivi. Il ricorso a DDoS è risultato plausibilmente funzionale ad amplificare gli effetti disarticolanti generati mediante i wiper, colpendo quegli obiettivi che non erano stati penetrati e confondendo le difese cibernetiche ucraine sovraccaricandole mediante attacchi plurimodali. La Russia ha inoltre diffusamente impiegato il dominio cyber per implementare campagne di disinformazione e misinformazione, incluso attraverso operazioni di defacing su siti governativi, agenzie mediatiche e social media, nonché tramite campagne di spam via SMS, per minare la fiducia della popolazione nelle istituzioni ucraine.

Un’operazione cibernetica particolarmente significativa in termini di coordinamento con le attività cinetiche è stata Acid Rain. Lanciato per sostenere l’avvio delle manovre militari sul campo il giorno dell’invasione, questo malware distruttivo è stato in grado di disabilitare da remoto modem e router vulnerabili. Attraverso un attacco mirato alla società satellitare Viasat, ha infatti disattivato decine di migliaia di modem collegati al satellite KA-SAT, causando una significativa interruzione delle comunicazioni su larga scala nel territorio ucraino. Il suo impatto sulle comunicazioni militari del Paese è risultato dunque rilevante proprio nelle primissime fasi del conflitto. Con il prosieguo delle ostilità, l’integrazione ed il conseguente coordinamento tra gli attacchi cibernetici e le operazioni militari tradizionali si è intensificato, portando ad azioni sempre più complesse. Nell’Aprile 2022, subito dopo il fallimento dell’offensiva su Kiev, le forze russe hanno riorientato il loro sforzo principale nel Donbass e nelle regioni meridionali, con l’obiettivo di prendere il controllo delle aree strategiche lungo la costa del Mar d’Azov. In questo contesto, mentre le formazioni del Cremlino stavano completando l’assedio di Mariupol, è stato tentato un attacco cibernetico con l’obiettivo di causare un blackout elettrico. L’operazione informatica, che non ha prodotto gli effetti distruttivi pianificati, mirava, mediante il malware Industroyer 2, a distruggere l’hardware delle centrali energetiche al fine di privare milioni di ucraini dell’elettricità. Questo effetto avrebbe potuto essere ragionevolmente ottenuto con mezzi convenzionali, come un attacco missilistico simile a quelli già condotti dalla Federazione Russa in precedenza. Piuttosto che ottenere il risultato distruttivo attraverso un’azione cinetica, l’operazione Industroyer2 ha cercato invece di ottenerlo attraverso un malware, suggerendo una forma di coordinamento e deconfliction tra le capacità cyber e quelle tradizionali nella fase di pianificazione, anche in termini di obiettivi e priorità degli stessi.

A partire dalla cosiddetta terza fase del conflitto, con l’evolversi delle operazioni e con l’avvio delle controffensive ucraine nelle regioni di Kharkiv e Kherson, dalla fine di Agosto 2022, si è assistito ad un’escalation esponenziale delle operazioni cibernetiche, con picchi che hanno superato i venti incidenti giornalieri. Tale tendenza indica una correlazione tra l’intensificarsi del conflitto e l’incremento delle operazioni cibernetiche, suggerendo che il dominio cyber è gradualmente diventato sempre più importante nelle operazioni belliche degli opposti schieramenti. Il mese di Ottobre 2022 è stato un periodo denso di offensive ed operazioni ibride per i due Paesi. IRIDIUM, un gruppo criminale, noto anche come Sandworm, ed associato al servizio di intelligence militare russo (GRU – Glavnoe razvedyvatel’noe upravlenie) ha condotto attacchi con malware wiper contro le infrastrutture civili per l’energia elettrica e per l’acqua in Ucraina, mentre il dispositivo militare di Mosca dispiegava contro le stesse una massiccia e protratta campagna di bombardamenti missilistici. Esemplificativo del grado di coordinamento tra la generazione di effetti incrociati perseguita dalle forze russe, è l’attacco missilistico del 12 Ottobre contro Mykolaiv e Kiev, preceduto dalla iniezione negli apparati informatici delle reti informatiche delle infrastrutture critiche bersaglio nelle due città del malware Caddywiper. Tali correlazioni temporali e geografiche tra gli attacchi cibernetici e quelli cinetici militari tradizionali, suggeriscono una prova circostanziale di un significativo coordinamento tra le due forme di attacco soprattutto nel primo anno del conflitto. Dall’Ottobre 2022, poi, gli attacchi cibernetici russi si sono estesi anche al di fuori dell’Ucraina, quando IRIDIUM ha dispiegato il ransomware Prestige contro diverse reti del settore logistico e dei trasporti in Polonia. Nonostante il successo dell’attacco sia stato limitato, grazie all’intervento tempestivo da parte del Detection and Response Team (DART) di Microsoft e del Microsoft Threat Intelligence Center (MSTIC), è probabile che IRIDIUM sia riuscito a raccogliere informazioni sulle rotte di approvvigionamento e sulle operazioni logistiche a supporto dell’Ucraina.

Questo episodio evidenzia tuttavia il rilevante ruolo ricoperto dal partenariato pubblico-privato nella prevenzione, individuazione, circoscrizione e contrasto alle minacce cibernetiche, anche quando condotte nel contesto o a supporto di operazioni militari da parte di attori statuali o para-statuali. Durante il conflitto russo-ucraino, infatti, numerose aziende private hanno prestato assistenza a Kiev per rafforzare le difese cyber e contrastare gli attacchi russi. Tra le diverse attività di notevole rilevanza è il sostegno che società come Microsoft, Google e Amazon, hanno fornito all’Ucraina per migrare i dati governativi sui server Cloud prima dell’invasione, in modo tale da proteggere le informazioni critiche al funzionamento dell’apparato statale da eventuali attacchi cinetici o cibernetici avversari. Non meno significativo è stato il contributo fornito dalle aziende nel campo della cyber threat intelligence. Il MSTIC, ad esempio, ha condiviso informazioni sul malware distruttivo WhisperGate, mentre la società di cybersecurity ESET ha ricoperto un ruolo determinante, identificando il malware Industroyer 2, in collaborazione con il Computer Emergency Response Team-Ukraine (CERT-UA). Si è inoltre rivelato cruciale il ruolo di Space X, con la fornitura di satelliti Starlink, grazie ai quali l’Ucraina ha potuto compensare attraverso un’architettura di comunicazione satellitare (SATCOM – Satellite Communications) la profonda disarticolazione delle proprie reti di comando, controllo e comunicazione (C3 – Command, Control and Communications).

L’impatto delle operazioni russe nel dominio cibernetico a supporto della manovra militare, proseguito diffusamente nei tre anni di conflitto è stato significativo, ma non determinante. La riduzione della superficie d’attacco, a causa del degradamento delle infrastrutture ucraine, e soprattutto la transizione a nuove architetture cibernetiche grazie all’assistenza di società private e dei Paesi del Gruppo di Contatto per l’Ucraina, ha poi ulteriormente ridotto le reti plausibilmente penetrate a premessa dell’invasione dalle forze russe, comportando crescenti difficoltà nell’impiego di malware ed una contemporanea transizione verso un maggiore impiego di attacchi DDoS. Il grado di integrazione con le operazioni militari tradizionali delle azioni nel dominio cibernetico ha poi riguardato in prevalenza il livello strategico-operativo, concentrandosi sul generare effetti attraverso le dimensioni fisica, virtuale e cognitiva tendenzialmente lontano dal fronte, bersagliando infrastrutture critiche ed apparati governativi, con impatti limitati sui combattimenti in prima linea. I tempi necessari a mappare, infiltrare e poi infettare reti informatiche parcellizzate come quelle sviluppate in Ucraina dopo il primo anno di ostilità sono infatti risultati inidonei a sostenere continuativamente le manovre cinetiche. La divergenza progressiva nei ritmi operativi tra queste e le operazioni cibernetiche sottolinea proprio questo aspetto, evidenziando come le forze russe abbaino saputo realmente coordinare gli attacchi solamente nelle prime fasi del conflitto. Complessivamente le operazioni nel dominio cibernetico sono state più coordinate, tra l’altro in modo decrescente, che integrate con le azioni negli altri domini, ed hanno svolto una funzione più di sostegno che di abilitanti alle azioni cinetiche. La resilienza dell’infrastruttura informatica ucraina, garantita dal cruciale supporto di un bilanciato partenariato pubblico-privato è infine risultata comunque decisiva per contenere e contrastare l’impatto di una guerriglia cibernetica protratta, soprattutto mediante attacchi DDoS, ed occasionali attacchi malware, rendendola impattante, ma non determinante sull’andamento del conflitto.