Nel corso dello scorso anno si è registrato un incremento significativo del fenomeno dell’hactivismo e della guerra informatica a tutte le latitudini. Non fa eccezione il conflitto russo-ucraino, con Kiev che è stata costretta a colmare rapidamente un notevole gap esperienziale e a raggiungere la necessaria maturità in tema di difesa cybernetica, dato il numero significativo di cyber attacchi che il paese ha subito, mirati a rendere inutilizzabili sistemi dell’amministrazione civile e militare e a compiere operazioni di spionaggio o di guerra psicologica.
Victor Zhora, vicepresidente del Servizio di Stato per le comunicazioni speciali e la protezione delle informazioni dell’Ucraina, è stato in prima linea nel coordinare la difesa cibernetica ucraina e descrive le lezioni apprese nel respingere gli attacchi russi in un’intervista rilasciata a Cyberscoop.
Cosa ricorda di questo periodo dell’anno scorso, il giorno dell’invasione?
Il 23 (febbraio 2022 – NdR), stavo facendo un’intervista in TV nella prima metà della giornata, e la seconda metà è stata caratterizzata da diversi incidenti. È diventato più o meno chiaro che c’era un’alta probabilità di invasione il giorno successivo. Ho lasciato l’ufficio verso le 10 e mezza di sera e il nostro team di incident response è rimasto qui per occuparsi degli incidenti in corso e per monitorare la situazione generale. Ho avuto una telefonata con la persona con cui ho parlato l’ultima volta prima dell’invasione e mi ha detto: «Hai visto il discorso di Putin?». Non l’ho visto, ma sentivo il rumore dei caccia, delle bombe e dei missili.
L’attenzione era concentrata sul trasferimento perché avevamo i nostri piani di emergenza, ma alcuni di essi erano stati modificati a causa dell’inaspettato piano di invasione della Russia. Il nostro obiettivo quel giorno, dopo una giornata e una notte molto impegnative, era mantenere l’operatività continua di tutti i nostri dipartimenti, compreso il Computer Emergency Response Team ucraino nel Centro di Protezione Cibernetica di Stato.
Qual è la sua valutazione complessiva degli aspetti legati alla cyber security di questo conflitto?
Tutti noi, come il resto del mondo, eravamo preparati ad un’attività altamente distruttiva e intensa da parte delle unità offensive russe. Ma la lezione appresa da questo anno di cyber war è stata quella di ricondurre il ruolo delle operazioni cibernetiche ad attività prevalentemente di supporto alle operazioni cinetiche. Le componenti cyber rimangono molto attive, ma il loro impatto è stato lontanamente paragonabile a quello delle armi convenzionali.
Le operazioni cibernetiche segrete degli otto anni precedenti l’invasione – che possiamo col senno di poi considerare parte del conflitto odierno – erano preparatorie alla guerra su larga scala, nell’ottica di saggiare l’efficienza delle tecnologie e con l’obiettivo di capire la possibilità di usare la componente cyber come ulteriore modalità di attacco contro l’Ucraina: non dovremmo sottovalutare l’importanza dei cyberattacchi offensivi russi, ma in generale Mosca ha scelto di utilizzare armi più dirompenti, mantenendo le attività cibernetiche per operazioni psicologiche o di cyber-spionaggio.
Un’altra osservazione è che, specularmente all’atteggiamento mostrato sul campo di battaglia, non avendo la capacità di contrastare efficacemente le nostre forze armate, i russi si sono concentrati sull’attacco alle strutture civili. Lo stesso osserviamo nel cyberspazio: la maggior parte degli obiettivi – per l’appunto – sono civili.
Secondo gli esperti, gli attacchi Viasat e Industroyer2 sono stati i più interessanti e significativi dell’ultimo anno. È d’accordo?
Sì, forse condivido questa opinione. La differenza è che Viasat è stato un attacco riuscito, dal punto di vista dell’impatto e dell’interruzione dei servizi. Industroyer2 poteva essere altrettanto distruttivo, ma siamo stati fortunati a impedirlo.
La difesa di Industroyer2 potrebbe essere vista come rappresentativa del miglioramento delle difese ucraine e del sostegno internazionale senza precedenti prima e durante la guerra da parte di soggetti pubblici e privati.
Sì, ma vorrei sottolineare due fasi. La prima è la fase di preparazione al conflitto e poi la fase della guerra vera e propria. La densità e la gravità degli attacchi sono variate tra queste due fasi.
Tra il 14 gennaio e il 24 febbraio abbiamo registrato una minore densità di attacchi, il che ci ha permesso di preparare le difese, costruire le competenze per formare le task force e migliorare il coordinamento. Abbiamo migliorato la nostra legislazione, abbiamo lanciato centri per la sicurezza informatica, abbiamo costruito centri operativi per la sicurezza e sistemi di scambio di informazioni. Il 24 febbraio ha richiesto una risposta molto rapida e l’impegno congiunto di migliaia di persone. Abbiamo iniziato a trasferire i nostri centri dati da Kiev alle regioni occidentali e al cloud. Dopo l’invasione è stato il caos, perché molti volontari hanno iniziato ad attaccare le infrastrutture russe. Abbiamo avuto a che fare con molti incidenti di scarso impatto – tipicamente attacchi DDoS – e abbiamo usato misure d’emergenza per proteggerci da questi attacchi e dai defacement dei siti web delle autorità locali. Soprattutto i registri nazionali e le infrastrutture informatiche critiche hanno richiesto tempi di reazione rapidi.
Molto di quello che lei descrive, in termini di coordinamento e di rapido aggiornamento delle infrastrutture, è difficile da realizzare in tempo di pace, figuriamoci con le bombe che cadono e una forza d’invasione che si avvicina.
Sì, ma l’aiuto del settore privato e dei nostri partner all’estero è stato molto, molto importante, tempestivo e utile. Perché ci sono state interruzioni delle comunicazioni. Ci sono stati bombardamenti sulle linee di fibra ottica e sui canali di comunicazione. Ma i nostri tecnici sono riusciti a recuperare i server e i i data storage da Kiev e a portarli in altre località. I servizi cloud sono stati molto, molto utili. Ci hanno permesso di avere un maggiore controllo e di fornire informazioni dettagliate e una visione d’insieme degli incidenti cibernetici nell’arco delle prime due o tre settimane.
Come valuterebbe l’impatto della partecipazione alla guerra di hacker non governativi, sia ucraini che esterni? È stato utile o dannoso, o entrambi?
Ad essere sinceri, il modo caotico di trovare l’approccio più efficace per contrastare le aggressioni informatiche è stato dovuto all’inaspettato piano di guerra russo. Nessuno qui a Kiev si aspettava che le truppe russe si avvicinassero alla capitale. La reazione è stata immediata: le persone con competenze nel campo della cybersicurezza e dell’informatica sono state messe nelle condizioni di offrire le loro competenze per svolgere compiti appropriati, invece di prendere le armi e andare a est o a nord di Kiev a difendere i nostri sobborghi. Questo era l’obiettivo.
E non potete immaginare quante chiamate ho ricevuto. Centinaia di chiamate, centinaia di messaggi, centinaia di persone che chiamano, mandano messaggi, chiedono ordini. Cosa dobbiamo fare? Come possiamo applicare le nostre competenze nel cyberspazio? Come possiamo difendere o addirittura attaccare il nemico? Così abbiamo detto: «Per favore, se siete in grado di svolgere questo o quest’altro compito di difesa informatica, venite da noi». Chi è rimasto fuori ha invece deciso di riunirsi in gruppi di volontari.
Come vede gli sviluppi della componente cibernetica di questo conflitto nelle prossime settimane e mesi?
Ci aspettiamo o presumiamo che la guerra continuerà, speriamo non oltre la fine di quest’anno. Ma comunque ci aspetta un lungo periodo. Secondo quanto osserviamo ogni giorno, ci saranno continui tentativi di attaccare le istituzioni ucraine, ma forse con una transizione dalle operazioni mirate all’impatto di breve periodo verso il cyber-spionaggio, la persistenza in rete e l’acquisizione di capacità di supporto alla guerra psicologica (utilizzando il cyberspazio come mezzo di diffusione di disinformazione e propaganda). Questo potrebbe spiegare l’attenzione dei russi verso i media ucraini, per esempio.
Sicuramente si concentreranno sulla ricerca di opportunità di attacco delle infrastrutture critiche. Il settore energetico è stato sondato più volte. Questi tentativi sono diventati più frequenti all’inizio dell’autunno, con il lancio di una campagna di bombardamenti contro le infrastrutture energetiche ucraine. Con l’avvicinarsi dell’estate, forse passeranno agli impianti di trattamento delle acque o ad altre infrastrutture critiche, forse ai trasporti. Penso che gli strumenti e le tecnologie finora impiegati saranno ulteriormente raffinati e in qualche modo utilizzati anche in nuovi conflitti futuri.
Questa è un’ottima osservazione: gli strumenti e le tecniche sviluppati e impiegati nell’ambito dell’offensiva in Ucraina è probabile vengano riutilizzati anche in altri conflitti.
Il cyberspazio non ha confini. È ovvio. E ci sono sempre più notizie di attacchi russi alle infrastrutture dei nostri alleati. È una sorta di vendetta per il sostegno dei nostri partner all’Ucraina. Penso che questi tentativi siano insignificanti in termini di influenza sulla postura globale, ma internamente alla Russia capisco perché continuino a portarli avanti: sono ufficiali militari, sono hacker che indossano uniformi. Hanno bisogno di mettere in mostra le attività condotte e di riferire ai loro generali che stanno facendo qualcosa che in qualche modo ha avuto successo.
E diranno: «Sentite, l’Ucraina era il nostro obiettivo, ma ora stiamo combattendo con tutto il mondo». E questo è perfettamente in linea con la dottrina espressa da Putin, secondo cui la Russia è contro l’Occidente, contro la NATO e contro tutto il mondo civilizzato.
Ciò implica che dobbiamo essere pronti, condividere le lezioni apprese, condividere le informazioni raccolte. Dobbiamo essere uniti. Dobbiamo creare una coalizione di cyber defense per contrastare le minacce che incombono, in primo luogo quelle provenienti direttamente dalla Russia, e poi anche quelle da altri Stati noti che sostengono la politica russa di attacco nel cyberspazio.
