Quando le forze russe hanno iniziato a invadere l’Ucraina il 24 febbraio 2022, molti si aspettavano che gli attacchi informatici svolgessero un ruolo significativo nella guerra. Ma mentre la Russia ha una lunga storia di attacchi informatici contro l’Ucraina, deve ancora lanciare un attacco informatico su larga scala di successo contro le infrastrutture critiche dell’Ucraina dall’inizio della guerra. Invece, sembra che gli attacchi informatici della Russia siano utilizzati principalmente per diffondere disinformazione.
Alcuni esperti ritengono che, proprio come la potenza militare della Russia, le capacità informatiche del paese siano state sopravvalutate, il che potrebbe spiegare perché la Russia non è riuscita a effettuare attacchi informatici di successo contro l’Ucraina dall’inizio dell’invasione su vasta scala. Tuttavia, gli attacchi e le azioni passate della Russia hanno dimostrato che la minaccia non dovrebbe essere presa alla leggera. Inoltre, alcune delle più famigerate bande di criminali informatici sono note per operare dalla Russia, e da allora alcune hanno dichiarato fedeltà alla Russia. Ciò non è inaspettato considerando che molte di queste bande sono sponsorizzate dallo stato.
Tuttavia, un gran numero di gruppi di hacker si sono anche schierati con l’Ucraina. In particolare, il collettivo di hacker Anonymous ha dichiarato guerra al presidente russo Putin e da allora ha effettuato molteplici attacchi informatici di successo. L’Ucraina ha anche creato il proprio esercito IT composto da professionisti provenienti da tutto il mondo.
I passati attacchi informatici della Russia all’Ucraina
Durante i primi giorni della guerra Russia-Ucraina, la Russia ha effettuato molteplici attacchi informatici contro le infrastrutture critiche dell’Ucraina, in particolare le reti elettriche del paese. Nel dicembre 2015, il gruppo di hacker Sandworm ha effettuato il primo attacco alla rete elettrica di successo quando ha utilizzato il trojan BlackEnergy per attaccare le società energetiche ucraine che forniscono energia alle regioni di Kiev, Ivano-Frankivsk e Chernivtsi. Circa 230.000 consumatori sono rimasti senza energia per 1-6 ore. L’attacco è stato attribuito a Sandworm (Unità 74455), una presunta unità militare informatica russa. Si ritiene che la rete aziendale sia stata inizialmente compromessa utilizzando e-mail di spear-phishing con malware BlackEnergy.
L’attacco alla rete elettrica ucraina del 2015 è il primo attacco riuscito di questo tipo, ma si ritiene che l’Ucraina sia stata un caso speciale e che alcune circostanze abbiano permesso che l’attacco avvenisse. Si è sostenuto che la rete elettrica attaccata è stata costruita mentre l’Ucraina faceva parte dell’Unione Sovietica ed è stata aggiornata con parti russe, il che significa che gli aggressori russi avevano molta familiarità con la rete elettrica e il software. Inoltre, l’attacco è stato effettuato durante le festività natalizie e non erano presenti molti lavoratori.
Un anno dopo, il 17 dicembre 2016, la rete elettrica ucraina è stata attaccata ancora una volta. Industroyer è il malware che si ritiene sia stato utilizzato durante l’attacco. È considerato il primo malware noto specificamente realizzato per attaccare le reti elettriche. La capitale ucraina Kiev è stata tagliata fuori dal potere per un’ora. Si ritiene che l’attacco sia stato un test su larga scala.
Nel 2017, varie organizzazioni ucraine (banche, ministeri, giornali, aziende elettriche e molte altre) sono state prese di mira in una serie di attacchi informatici utilizzando il malware Petya. Petya è un malware che crittografa i file e si ritiene che sia gestito dal gruppo di hacker Sandworm. Il malware ha danneggiato in modo permanente i file essenziali sui computer infetti, indicando che gli attacchi avevano lo scopo di paralizzare lo stato ucraino piuttosto che fare soldi. L’attacco è stato effettuato durante un giorno festivo, il che significa che molti uffici sono stati chiusi, consentendo al malware di diffondersi più ampiamente. Tra i sistemi interessati c’era il sistema di monitoraggio delle radiazioni presso la centrale nucleare ucraina di Chernobyl.
Il 14 gennaio 2022, circa 70 siti web del governo ucraino sono stati colpiti da un massiccio attacco informatico. Tra le persone colpite c’erano siti web ufficiali del Ministero degli Affari Esteri, del Gabinetto dei Ministri e del Consiglio di Sicurezza e Difesa. I siti compromessi hanno mostrato un testo in ucraino, polacco e russo che diceva che i dati personali dei cittadini sono stati caricati sulla rete pubblica. Sono state visualizzate anche le immagini della bandiera ucraina barrata, della mappa dell’Ucraina e del simbolo dell’esercito insurrezionale ucraino. I siti che mostravano le immagini sono stati rimossi e riportati online in poche ore. Si ritiene che UNC11151, un gruppo di hacker associato all’intelligence bielorussa, sia dietro l’attacco. L’attacco informatico è arrivato in un momento in cui le tensioni tra Russia e Ucraina erano alte, con oltre 100.000 soldati russi di stanza vicino al confine. Poco più di un mese dopo, le forze russe hanno iniziato un’invasione su larga scala dell’Ucraina.
Il 12 aprile 2022, i funzionari ucraini hanno confermato di aver impedito un attacco informatico russo a Ukraine’s power grid . Se avesse avuto successo, oltre due milioni di persone avrebbero perso potere. Ma mentre l’Ucraina è stata in grado di contrastare questo attacco, si ritiene che sia stata altamente sofisticata, sollevando timori che la Russia possa iniziare ad aumentare il suo uso di armi informatiche. Kiev ha dato la colpa dell’attacco a Sandworm.
Anonymous annuncia la guerra a Putin
Il gruppo di hacker Anonymous ha eseguito attivamente attacchi informatici in Russia. Il collettivo di hacktivisti ha dichiarato una “guerra cibernetica” contro il presidente russo Putin e finora ha effettuato numerosi attacchi informatici. Due giorni dopo che le forze militari russe hanno iniziato a invadere l’Ucraina, Anonymous ha effettuato un attacco informatico alle reti televisive russe. Il gruppo è stato in grado di interrompere la normale programmazione e mostrare immagini della guerra causata dalla Russia ai suoi cittadini. Secondo Anonymous, le immagini sono state mostrate per 12 minuti.
Poi, all’inizio di marzo, il gruppo ha annunciato di aver rilevato più di 400 telecamere russe e condiviso il feed sul loro sito web. Il feed della telecamera aveva anche sovrapposto messaggi con messaggi sulle atrocità che la Russia cerca di nascondere ai suoi cittadini. Il 23 marzo, il gruppo hacktivist ha annunciato un hack sulla Banca Centrale russa da parte del suo gruppo affiliato, facendo trapelare 28GB di informazioni. Secondo those chi ha esaminato l’enorme quantità di informazioni trapelate, il dump dei dati contiene fatture, comunicazioni interne, documenti, memo, estratti conto bancari, nomi e indirizzi di clienti di alto profilo, ecc.
Il 3 aprile, Anonymous ha annunciato che il gruppo ha acquisito le informazioni personali di 120.000 soldati russi. L’annuncio su Twitter contiene anche un link alle informazioni. Le informazioni trapelate contengono date di nascita, indirizzi, numeri di passaporto e affiliazione all’unità.
“Tutti i soldati che partecipano all’invasione dell’Ucraina dovrebbero essere sottoposti a un tribunale per i crimini di guerra”, si legge nel Twitter announcement gruppo hacktivista.
Il gruppo associato di Anonymous Network Battalion 65 group ha anche annunciato una fuga di 900.000 e-mail da All-Russia State Television and Radio Broadcasting Company (VGTRK), la più grande società di media statali della Russia. Operativo dal 1990, il VGTRK (o RTR) controlla cinque canali televisivi nazionali, cinque stazioni radio, due reti internazionali e oltre 80 reti televisive e radiofoniche regionali. Secondo il Daily Dot , le e-mail coprono più di 20 anni di comunicazioni e includono e-mail da circa 250 caselle di posta, oltre a discutere questioni relative alle operazioni quotidiane e persino alle sanzioni internazionali contro la Russia.
Esercito IT dell’Ucraina
Il 26 febbraio 2022, il vice primo ministro dell’Ucraina Mykhailo Fedorov ha annunciato la creazione dell’esercito informatico ucraino composto da volontari che avrebbero combattuto sul fronte cibernetico. Questo è probabilmente il più grande sforzo da parte del governo ucraino per coordinare gli hacker di tutto il mondo. Gli obiettivi sono spesso pubblicati su speciali canali Telegram con centinaia di migliaia di hacker che poi procedono a lanciare attacchi informatici sugli obiettivi specificati. Finora, l’esercito informatico ucraino è responsabile degli attacchi contro le banche russe, la rete elettrica / sistemi ferroviari russi, nonché numerosi attacchi DDoS.
Le bande di malware si schierano con la Russia
Una delle prime bande di criminali informatici a schierarsi con la Russia è stata la banda ransomware Conti. I membri della banda sono arrivati persino a minacciare ritorsioni contro eventuali attacchi informatici contro la Russia. La banda ransomware Conti è una delle bande di maggior successo in funzione oggi e funziona in modo simile alle società legittime (buste paga regolari, settimana lavorativa di cinque giorni, uffici, ecc.). Si ritiene che la banda abbia estorto almeno $180 million alle vittime nel 2021. La banda di ransomware Conti è nota per colpire il settore sanitario. Mentre la banda di ransomware ha mostrato supporto per la Russia, non si ritiene che ci siano legami formali tra essa e il governo russo.
I criminali informatici dietro Conti hanno inizialmente annunciato il pieno sostegno al governo russo, ma non molto tempo dopo hanno rilasciato una dichiarazione modificata in cui affermano di condannare la guerra ma minacciano ritorsioni se vengono effettuati attacchi alle infrastrutture critiche russe. Poco dopo, un presunto ricercatore di sicurezza ucraino ha fatto trapelare Conti chat logs . I registri delle chat mostrano che le opinioni sulla guerra differiscono tra i membri di Conti. Mostra anche come il gruppo ransomware opera come organizzazione e come vengono scelte le vittime.
Anche molti altri gruppi di criminalità informatica hanno scelto sides . Ma mentre gruppi come Sandworm sono noti per essere affiliati e gestiti in una certa misura dal governo russo, molti altri gruppi che si schierano con la Russia sono indipendenti. Non è impossibile che questi gruppi possano lanciare attacchi contro l’Ucraina o le infrastrutture critiche dei suoi alleati con poca comprensione di ciò che le loro azioni potrebbero significare.
Gli attacchi di disinformazione della Russia
Mentre la Russia non è estranea agli attacchi di disinformazione, la portata dell’attuale flusso di informazioni false provenienti dalla Russia è sbalorditiva. La disinformazione della Russia si sta diffondendo a pieno ritmo, con piattaforme di social media, forum e persino agenzie di stampa che lottano per tenere il passo. Dalle affermazioni secondo cui gli Stati Uniti avevano un laboratorio di armi biologiche in Ucraina alle dichiarazioni che le vittime del massacro di Bucha erano attori, gli attori malintenzionati dietro tali campagne stanno facendo del loro meglio per far sembrare la Russia vittima di una guerra che ha iniziato.
La disinformazione proviene da tutte le parti, dal governo russo, dai troll russi e dagli utenti regolari in Russia. E non colpisce solo le persone che vivono in Russia, le false narrazioni spinte da questa pericolosa macchina propagandistica stanno raggiungendo persone in tutto il mondo. La portata di questi attacchi si è dimostrata difficile da gestire per le piattaforme di social media che non riescono a rimuovere la disinformazione prima che si diffonda troppo ampiamente. Piattaforme come YouTube e Facebook hanno ricevuto critiche su come stanno gestendo gli attacchi di disinformazione, con gran parte delle critiche incentrate sulla loro incapacità di rimuovere completamente le informazioni false. Ma mentre le false informazioni spinte dalla Russia sono spesso troppo ridicole per essere prese sul serio, fa il suo lavoro per convincere ulteriormente le persone che già si schierano con la Russia.
La disinformazione in Russia è un problema particolarmente grande. Con piattaforme come TikTok che limitano la loro presenza in Russia, il governo russo che blocca piattaforme come Instagram e piattaforme di notizie russe indipendenti che chiudono, i cittadini russi sono particolarmente suscettibili alla disinformazione sul ruolo della Russia e sui suoi crimini nell’attuale guerra Russia-Ucraina. Lo stato russo ha il monopolio sull’informazione nel paese, permettendogli di diffondere false narrazioni, puntando la colpa della guerra sull’Ucraina e sulle nazioni occidentali.
I truffatori mirano a trarre vantaggio dalle persone che donano all’Ucraina
Con sorpresa di nessuno, i truffatori hanno iniziato ad approfittare delle persone che desiderano donare denaro per sostenere l’Ucraina. Attori malintenzionati di vari paesi hanno lanciato campagne di spam che prendono di mira le persone che desiderano donare all’Ucraina. Gli utenti possono incontrare queste truffe nelle e-mail e sui social media. Le campagne di spam spesso utilizzano nomi di organizzazioni / istituzioni legittime come la Banca Nazionale dell’Ucraina per ingannare gli utenti. Alcune campagne hanno anche collegamenti che portano a campagne legittime ma danno conti bancari errati o chiedono di fare donazioni in criptovalute. Queste campagne di truffa erano particolarmente comuni nella prima settimana dell’invasione russa dell’Ucraina perché molte persone si affrettavano a donare denaro. Il successo di queste campagne di truffa è discutibile, ma gli utenti non dovrebbero abbassare la guardia.
Le persone dovrebbero stare molto attente quando donano denaro a enti di beneficenza e organizzazioni, specialmente ora. A meno che le persone non siano iscritte a qualche organizzazione e abbiano accettato di ricevere e-mail, non riceveranno e-mail che chiedono donazioni. Prima di fare qualsiasi tipo di donazione, è essenziale che le persone ricerchino l’organizzazione / ente di beneficenza e si assicurino che il denaro raggiunga effettivamente chi ne ha bisogno.