11/3/2022
Cybersicurezza

Report: la guerra in Ucraina da una prospettiva infoSec

In questi giorni stiamo tutti assistendo con trepidazione al conflitto in corso in Ucraina (per certi aspetti inaspettato, per altri ampiamento prevedibili).

Si tratta di una guerra che ci riguarda da vicino per motivi geografici e culturali e che ci ha colti tutto impreparati. Ci siamo trovati fare i conti con notizie, scenari, immagini e paure che pensavamo di aver definitivamente allontanato dalla nostra realtà quotidiana.

L’Europa, per almeno 1000 anni è stata teatro di un pressoché ininterrotto susseguirsi di conflitti più o meno estesi e più o meno sanguinosi, ma la relativa pace degli ultimi 80 anni ci aveva convinti che mai più ci saremmo trovati in situazioni di questo genere.

Ma purtroppo non è andata così e ancora una volta la storia si ripete.

La crisi russo-ucraina ha dei tratti piuttosto tradizionali. Si combatte sul terreno, con fanteria, carri armati, bombe, missili e proiettili. E si combatte – e anche questa non è una novità – sul piano politico ed economico, con alleanze, prese di posizione, dichiarazioni e soprattutto sanzioni.

Ma questa guerra è forse la prima di questa portata ad essere combattuta in gran parte anche sul fronte digitale.

La copertura social è enorme. Milioni di contenuti vengono postati ogni giorno su network principali (facebook, youtube, twitter, reddit, TikTok) e secondari (Imageboard come 4chan, social a matrice politica come Parler e forum di ogni genere). La copertura mediatica è tale da rendere incredibilmente difficile discernere le notizie reali dai contenuti fake propagandistici, scenario complicato dalla forte azione delle troll farm che in questi giorni sono più attive che mai.

Ma la guerra imperversa anche su un altro fronte digitale, quello che comunemente chiamiamo cybersicurezza. Questo aspetto è stato prontamente colto dai media e dalla popolazione mondiale, soprattutto grazie alla immediata discesa in azione del gruppo di attivisti hacker Anonymus che, forte della sua popolarità, ha per primo acceso i riflettori su questa moderna cyber warfare

Quali sono le forze attualmente coinvolte

Come abbiamo detto, i primi a manifestarsi pubblicamente sono stati gli hacker del gruppo Anonymus. Si tratta di un collettivo di hacker attivisti (hacktivists) che conduce degli attacchi organizzati su obiettivi specifici. Chiunque abbia le capacità tecniche può unirsi e, data la natura decentralizzata, gli attacchi preferiti di Anonymus sono di tipo Defeacement e DDoS. La coordinazione degli attacchi viene organizzata sulle imageboard (4CHAN, 711CHAN) ma anche su wiki come Encyclopedia Dramatica, su canali chat (IRC) e social (Youtube, Twiutter e Facebook).

Il collettivo ha dichiarato il suo coinvolgimento nel conflitto tramite il video “Anonymous Message To Vladimir Putin” pubblicato il giorno stesso dell’ingresso delle forze russe nel territorio ucraino.

Un secondo gruppo attivo nel conflitto è il Belarusian Cyber-Partisans.
Il gruppo è nato a settembre 2020 successivamente alla aspramente contestata elezione di Alexander Lukashenko a primo ministro bielorusso. All’inizio, il gruppo si è focalizzato su azioni simboliche, come l’hacking dei siti web delle principali tv di stato (vennero inviati in streaming dei filmati di atti di violenza della polizia ed esplicite accuse a Lukashenko). Tuttavia, nel giugno 2021 il Belarusian Cyber-Partisan mette a segno un rilevante furto di dati dal database del Ministero bielorusso degli Affari Interni. I dati trafugati contengono circa due milioni di minuti di intercettazioni telefoniche, dati personali di alti ufficiali e personalità politiche del governo, immagini riprese da droni di polizia e centri di detenzione, oltre a dati del passaporto di Lukashenko e dei suoi figli (allo scopo di dimostrare la genuinità dei dati trafugati).

Il governo reagisce e la corte suprema bielorussa dichiara che il gruppo Cyber-Partisans e l’affiliato Cyber-leakes devono essere considerati terroristi e rende illegale anche la partecipazione al loro gruppo telegram (t.me/cpartisans).

I Cyber-Partisan contano (alla nascita) circa 15 persone, tutti professionisti provenienti dagli ambienti cybersicurezza e IT bielorussi, e lavorano in stretta collaborazione con BYPOL, un gruppo formato da ex ufficiali della polizia bielorussa contrari al governo Lukashenko. Anche il gruppo BYPOL è operativo nella cyberguerra Russia-Ucraina.

Uno degli attacchi principali durante il conflitto in corso è stato indirizzato alle Ferrovie Bielorusse, con lo scopo di ostacolare le movimentazioni militari e che avuto come risultato uno stop temporaneo alla circolazione dei treni nelle stazioni di Minsk, Orsha e Osipovichi.

Oltre ad Anonymus e Cyber-Partisans, altri gruppi hanno dichiarato (direttamente o indirettamente tramite azioni concrete) la loro partecipazione alla cyberwarfare in corso.

Il Gruppo Ghost Security (GhostSec), che si definisce un “vigilante” digitale ed è famoso per aver attaccato in passato diversi siti web e community legate al mondo ISIS, sembra essersi schierato dal lato ucraino.

AgainstTheWest è un gruppo di nuova formazione di cui si sa ancora poco. Sembra essere supportato da Taiwan e conduce attacchi diretti a tv ed istituzioni cinesi. Nel loro account Twitter hanno dichiarato: “Siamo di nuovo in azione. Siamo contro la Russia. Saremo attivo fino a quando la Russia non si ritirerà” e si stanno concentrando su attacchi mirati ad infrastrutture russe (tra cui il sistema ferroviario) ed i sistemi del contractor strategico russo Promen48 (promen48.ru).

Sempre sul fronte antirusso ed operativi in quella che ormai viene chiamata la #OpRussian è il gruppo KelvinSecurity, che in un tweet del 27 febbraio ha rivendicato l’attacco a uno dei siti web dell’ecosistema news russo RT (ricordiamo che RT è attualmente inaccessibile a seguito delle sanzioni europee). L’attacco è stato compiuto sfruttato una vulnerabilità IDOR e ha consentito il furto dei dati di 1800 utenti.

L’amministratore di Raidforum, una community hacker e infosec, ha dichiarato che gli utenti del forum si sono schierati dal lato ucraino e sono attualmente impegnati in attacchi DDoS contro siti web e infrastrutture russe. Nel suo messaggio ha inoltre accennato a presunti attacchi da parte di gruppi hacker cinesi ad infrastrutture ucraine, ma si tratta di una informazione attualmente non verificata.

Un altro importante attore in questa grande cyberwarfare, stavolta a supporto del lato russo, è la Conti Gang, famosi per essere i produttori e “distributori” del Conti Ransomware. Il gruppo è altamente sofisticato ed è stato il primo a sfruttare la vulnerabilità Log4Shell per realizzare malware specifici. Inoltre, il gruppo gestisce una catena di attacco completa (sviluppo, distribuzione, gestione economica e amministrativa dei proventi). Il loro comunicato di adesione al lato russo recita: “Se qualcuno deciderà di organizzare un attacco informatico o qualsiasi attività bellica contro la Russia, useremo tutte le nostre risorse possibili per contrattaccare le infrastrutture critiche del nemico”.

Tuttavia, pochi giorni dopo questo comunicato, il gruppo ha esso stesso subito un leak di dati ad opera di alcuni membri che non condividevano la direzione filorussa intrapresa dall’organizzazione e che temevano che la guerra potesse intaccare il loro giro di affari ed i loro patrimoni.

Il leak, senza precedenti nel mondo hacker, si compone di oltre 400 messaggi tra membri interni all’organizzazione che i dissidenti hanno consegnato a Vx-underground (una organizzazione che raccoglie e monitora i ransomware diffusi nel mondo). Le informazioni che si possono ricavare da questo leak sono di enorme importanza e contengono indirizzi di wallet bitcoin usati dall’organizzazione, messaggi chat, indirizzi IP, pannelli di controllo, messaggi di negoziazione tra il gruppo e le vittime del ransomware e altri dati dell'infrastruttura Conti. Dati, questi, che saranno immensamente utili per rintracciare la banda e gli affiliati. Conti infatti è un ransomware-as-a-service: gli affiliati si iscrivono per distribuire il ransomware e i profitti degli attacchi vengono poi condivisi. Alex Holden, CTO of Hold Security, ha definito questo leak (ormai ovunque chiamato #ContiLeak) “una lettura obbligata per qualsiasi professionista della sicurezza perché offre un'idea di come funziona davvero il mondo ransomware”. In effetti per la prima volta abbiamo avuto una idea chiara del giro di affari di una organizzazione di questo genere (sul wallet principale, da aprile 2017, sono transitati circa 64.000 bitcoin, che al valore attuale equivarrebbero a quasi 3 miliardi di dollari). Ma ciò che stupisce è che, contrariamente a quanto si creda, una organizzazione così grande ha dimostrato di non possedere una vera e propria politica OpSec (Operations Security).

Altri gruppi hanno dichiarato il loro sostegno al lato Russo. Tra questi Stormous Ransoware Gang il quale ha affermato: “Se una qualsiasi parte in diverse parti del mondo decide di organizzare attacchi informatici contro la Russia, saremo nella giusta direzione e faremo tutti i nostri sforzi per abbandonare la supplica dell'Occidente, in particolare le infrastrutture. Forse l'operazione di hacking che la nostra squadra ha effettuato contro il governo ucraino e una compagnia aerea ucraina è stata solo un'operazione semplice, ma quello che verrà sarà più grande!!”.

Anche il Digital Cobra Gang (DGC) si è schierato: “DCG ha ufficialmente dichiarato guerra informatica agli hacker che attaccano la Russia e per proteggere la giustizia” ed ha affermato di essere in possesso di una “arma segreta” che starebe già utilizzando (sulla quale però non si hanno ulteriori informazioni).

Il gruppo bielorusso UNC1151 (secondo molti sponsorizzato dal governo stesso) ha rivendicato un furto di dati appartenenti ad alti ufficiali dell’esercito ucraino, stessi dati trafugati anche dal collettivo Freecivilian che, sebbene i suoi membri si definiscano cybercriminali indipendenti, sembra essere anch’esso supportato dal governo (in questo caso quello Russo).

Di origine russa (ed attualmente impegnato sul fronte russo) anche il gruppo SandWorm, autore del malware Cyclops creato per colpire i firewall Firebox di WatchGuard.

Infine, va citato il Red Bandits che il 22 febbraio ha comunicato tramite Twitter: “Abbiamo hackerato le dashcam della polizia ucraina e le abbiamo osservate. Se l'Ucraina non fa ciò che vuole la Russia, aumenteremo i nostri attacchi per scatenare il panico. Prenderemo in considerazione anche la distribuzione di ransomware”. Il gruppo si definisce anch’esso indipendente ma molti lo porrebbero all’interno dei servizi segreti russi.

Tuttavia, nei giorni successivi alla prima dichiarazione, il gruppo sembra aver riveduto almeno in parte la sua posizione iniziale: “Non rispettiamo Putin come leader della Russia, ma lo rispettiamo come cittadino della Russia poiché sosteniamo ogni cittadino. Non siamo d'accordo con le sue azioni non pacifiche contro l'Ucraina". Ed ancora: "Per favore, capiteci, non smetteremo di difendere il nostro paese. Non ci arrenderemo per questioni di ragionevolezza, ma non attaccheremo per primi. Ci difenderemo dagli attacchi, il che significa che se voi hackerate la Russia, noi agiamo. Semplice. Per favore, rendetevi conto che noi vediamo i cittadini dell'Ucraina come una famiglia".

Come conseguenza di questa escalation di minacce e prese di posizioni di gruppi Hacker, il Ministro della Trasformazione Digitale ucraino Mykhailo Fedorov ha lanciato un messaggio alle comunità clandestine di hacker ucraini, chiedendo loro di mettere le loro abilità tecniche al servizio della difesa della nazione. Il messaggio è stato pubblicato da Yegor Aushev, il fondatore di Cyber Unit Technologies. La richiesta è stata sottoscritta da oltre 170.000 volontari che stanno conducendo attacchi coordinati di tipo DDoS a siti web di banche, organizzazioni e compagnie energetiche russe. Il gruppo di volontari ha preso il nome di IT Army of Ukraine e già dal secondo giorno di conflitto è stata rilasciata la lista dei target.

Cosa aspettarci

Come appare evidente, la crisi russo-ucraina rappresenta un punto di volta anche sul piano tecnologico. Si tratta di un conflitto nel quale, per la prima volta in modo così manifesto, la chiama alle armi sta avvenendo su terreni completamente diversi da quelli tradizionali. Ciò a cui stiamo assistendo in questi giorni probabilmente cambierà per sempre il modo con cui concepiremo i conflitti (fino forse ad avere una situazione di guerra permanente che avviene però solamente sul piano digitale) ma non solo. Governi, aziende e anche comuni cittadini stanno iniziando ad avere la sempre maggiore consapevolezza dei rischi (oltre che alle sole opportunità) insiti di un mondo iperconnesso.

Naturalmente le agenzie di sicurezza di tutto il mondo stanno assistendo con attenzione allo sviluppo degli eventi.

Trend Micro, multinazionale nel campo della cybersicurezza (che ha avviato un osservatorio specifico sulla crisi in corso) scrive nel suo comunicato relativo all’attuale situazione geopolitca: “Ciò rende sempre più necessario seguire le migliori pratiche in aree critiche come la gestione delle patch, il monitoraggio della rete, l'accesso e il controllo delle identità, la formazione degli utenti e la sicurezza della catena di approvvigionamento. E significa collaborare con partner affidabili che offrono sicurezza basata su piattaforma, fornendo protezione di endpoint, rete, cloud e server, combinata con rilevamento e risposta estesa (XDR). Ecco come rafforzare i sistemi contro possibili attacchi e rispondere rapidamente ad attività sospette prima che gli aggressori possano causare danni permanenti”.

Per seguire in tempo reale gli sviluppi di queste tematiche, vi consigliamo di seguire questa lista Twitter.