La crescente centralità dell'hacktivismo nei conflitti internazionali

Quanto registrato nel corso dell’anno appena conclusosi conferma che le attuali capacità distruttive dei gruppi hacktivisti siano ad oggi limitate (la grande maggioranza degli attacchi si basano su forme di DDOS – Distributed Denial of Service – che, per quanto sceniche e di impatto mediatico, quasi mai hanno un impatto severo sull’operatività degli obiettivi colpiti).

L’hacktivismo e la guerra in Ucraina

I target presi di mira dal fenomeno hacktivista sono di natura certamente eterogenea e comprendono tanto governi quanto società private, per motivi politici, etici o legati al tema del climate change. E’ innegabile però che il principale driver e innesco dei fenomeni registrati nel corso del 2022 sia l’invasione dell’Ucraina da parte della Federazione Russa, che ha polarizzato e politicizzato l’azione di gruppi hacker preesistenti ma anche contribuito a promuovere nuove forme di militanza, con l’obiettivo di interferire o minare le attività della parte avversa.

L’Ukrainian IT Army

A pochi giorni dall’invasione russa del febbraio 2022, l’Ucraina ha avviato una campagna di reclutamento di esperti di hacking per costituire una formazione di volontari denominata Ukrainian IT Army (si stima un volume di adesioni compreso tra i 200.000 e i 400.000 volontari, non solo di nazionalità ucraina) il cui scopo era l’utilizzo del mezzo informatico per rallentare ed ostacolare l’offensiva russa.

L’organizzazione ha rapidamente iniziato a colpire una vasta gamma di siti web russi attraverso attacchi DDoS, mettendo offline per ore – in alcuni casi giorni – banche, servizi governativi e istituzioni finanziarie. L’esercito informatico ucraino è stato impiegato anche in campagne di sensibilizzazione e di controinformazione sul tema dell’invasione, cercando di aggirare i controlli della censura del Cremlino per raggiungere i cittadini russi ed garantire aggiornamenti costanti sui reali accadimenti e sulle motivazioni del conflitto^[1]dato il controllo pervasivo che il governo russo opera sulla comunicazione via internet, l’unico mezzo percorribile a tal fine è stato quello di piattaforme di messaggistica criptate come ad esempio Telegram, anch’essa di origine russa.

La risposta russa

Sovranità digitale e sicurezza nazionale: la sfida del comprendere come pensa una IA

La fine della sicurezza delegata e il destino dell’Europa nello scacchiere internazionale

L’OSINT nell’intelligence moderna: strategie e investimenti dei governi occidentali

La disinformazione online e i circuiti d’influenza

Passando in rassegna lo schieramento nemico, si è registrato un aumento considerevole del numero di gruppi di hacker russi reclutati (più o meno direttamente) da Mosca, comprendenti organizzazioni autoreferenziali di “cyber soldati” ma anche associazioni criminali specializzate nel settore informatico, tutte dichiaranti il loro sostegno incondizionato allo sforzo bellico del Cremlino. Il più prolifico – e noto ai media – tra questi gruppi è Killnet, un presunto gruppo di hacktivisti che ha colpito governi, aziende e infrastrutture critiche occidentali.

Tra gli eventi più rilevanti del periodo:

il 28 febbraio 2022, la Ukrainian IT Army ha lanciato un attacco DDoS contro la Moscow Exchange, la più grande borsa valori della Russia, e contro la banca statale russa Sberbank;
il 1° settembre 2022, la Ukrainian IT Army, in collaborazione con il gruppo di hacktivisti Anonymous, ha violato la più grande società russa di ride-sharing, Yandex Taxi, e ha ordinato a tutti i veicoli disponibili di recarsi nello stesso luogo di Mosca. L’indirizzo era un edificio di epoca staliniana chiamato “Hotel Ukraina” e l’afflusso di veicoli diretti verso l’hotel ha provocato un ingorgo di tre ore nell’area circostante;
tra giugno e novembre del 2022, Killnet ha preso di mira vari siti web governativi in Lituania, Estonia, Norvegia, Polonia, Giappone e Stati Uniti con attacchi DDoS. Sebbene la maggior parte di questi attacchi abbia avuto un impatto limitato, la Lituania è stata quella che ne ha risentito più a lungo, poiché gli attacchi DDoS di Killnet hanno colpito un gran numero di servizi, tra cui importanti istituzioni finanziarie, fornitori di servizi Internet, siti web di aeroporti e società di logistica, rallentati per per diverse settimane.

La partecipazione della comunità internazionale alla cyber war

Non sono, tuttavia, solo gruppi “autoctoni” a polarizzare l’attenzione nella cyber war: formazioni di hacktivisti al di fuori dei territori coinvolti nel conflitto hanno infatti dato un contributo significativo alla causa della resistenza ucraina, soprattutto attraverso attività di sabotaggio di entità e infrastrutture statali russe e bielorusse.

Anonymous – probabilmente il gruppo di hacktivisti più noto al mondo, visto il ricco curriculum di cyberattacchi e esfiltrazione di informazioni di alta rilevanza – ha subito garantito il suo sostegno all’Ucraina e ha annunciato “#OperationRussia”, una campagna strategica volta a sabotare l’invasione della Russia. Da allora, il gruppo ha condotto una serie di campagne DDoS, operazioni di hacking e leaking e altre attività informatiche di disturbo contro le entità statali russe.

Anche altri gruppi, tra cui Belarusian Cyber Partisans, GhostSec, AgainstTheWest e ContiLeaks, si sono schierati pubblicamente a favore dell’Ucraina e si sono impegnati in una serie di cyberattacchi contro obiettivi e infrastrutture russi o bielorussi:

il 24 gennaio 2022, prima dell’invasione dell’Ucraina da parte della Russia, un gruppo di hacktivisti bielorussi, i Belarusian Cyber Partisans, ha effettuato un attacco ransomware contro la Belarusian Railway, l’azienda ferroviaria statale bielorussa, per protestare contro lo spostamento di truppe russe e materiale militare in Bielorussia. I Cyber Partisans avrebbero criptato alcuni dei server, dei database e delle postazioni di lavoro delle ferrovie bielorusse; l’attacco ha inoltre messo fuori uso il sistema di biglietteria elettronica delle ferrovie;
il 24 febbraio 2022, lo stesso giorno dell’invasione russa, Anonymous ha annunciato su Twitter che “il collettivo Anonymous è ufficialmente in guerra informatica contro il governo russo”. Nei giorni successivi, il gruppo ha condotto una serie di attacchi DDoS contro il sito web ufficiale del Cremlino, il Ministero della Difesa e Russia Today, l’agenzia di stampa statale russa;
il 17 marzo 2022 Anonymous ha dichiarato con un tweet di aver violato oltre 2.500 siti web di agenzie governative russe e bielorusse, media statali, banche, ospedali, aeroporti e aziende;
il 23 settembre 2022, Anonymous ha violato il Ministero della Difesa russo e ha pubblicato i dati di oltre 300.000 persone che si prevedeva sarebbero state mobilitate dal governo russo per combattere in Ucraina.

Ulteriori teatri di scontro: oltre l’Ucraina

Al di là del contesto della guerra russo-ucraina, vi sono ulteriori teatri di scontro che hanno visto nell’arco del 2022 una partecipazione significativa della galassia hacktivista, specialmente dopo lo scoppio delle proteste in Iran conseguenti alla morte di Mahsa Amin, uccisa mentre sotto custodia della polizia morale nel settembre dello stesso anno.

Dopo l’inizio dell’ondata di proteste nel paese, gruppi di hacktivisti di tutto il mondo hanno cominciato ad interessarsi alla causa dei manifestanti iraniani, impegnandosi in una serie di azioni dimostrative volte a minare i tentativi del governo di reprimere il crescente movimento di opposizione.

L'hacktivismo a sostegno delle manifestazioni di protesta dopo la morte della giovane Mahsa Amini — Manifestazioni di protesta dopo la morte della giovane Mahsa Amini

Tra questi gruppi, Anonymous è stato ancora una volta attore protagonista, portando una serie di attacchi DDoS contro il sito web presidenziale iraniano, l’agenzia di stampa statale Fars News Agency e la Bank Melli, la banca ufficiale dell’Iran.

Anche altri gruppi di hacktivisti, come Black Reward (che sostiene di essere iraniano), hanno partecipato ad attacchi contro il governo iraniano.

il 21 ottobre 2022, Black Reward ha affermato di aver esfiltrato 50 gigabyte di dati di posta elettronica da una società controllata appartenente all’Atomic Energy Organization of Iran (AEOI). Gli hacker avrebbero violato il server di posta elettronica della Nuclear Power Production and Development Company iraniana e conseguentemente esfiltrato 324 caselle di posta elettronica contenenti più di 100.000 messaggi con dati sensibili, tra cui informazioni sui piani di costruzione della centrale nucleare iraniana di Bushehr, informazioni personali di cittadini iraniani che lavorano per l’AEOI e dettagli sui passaporti di ingegneri russi che collaborano allo sviluppo del programma nucleare iraniano;
il 25 novembre 2022, Black Reward ha preso di mira l’agenzia di stampa statale iraniana Fars News Agency cancellando circa 250 terabyte di dati dai server dell’azienda, tra cui chiamate registrate, archivi di immagini, documenti finanziari e informazioni relative a conversazioni amministrative. Il gruppo ha anche affermato di aver ottenuto bollettini e direttive riservate inviate dall’agenzia di stampa all’ufficio della Guida Suprema, l’Ayatollah Ali Khamenei.

Le azioni degli hacktivisti non sono state rivolte solo contro enti governativi ma hanno interessato anche il settore privato, soprattutto in relazione a tematiche affini all’attivismo politico e sul climate change.

Il rapporto controverso con il capitalismo occidentale

La cyber war delineatasi con la guerra in Ucraina ha evidenziato come il conflitto si combatta su più terreni di scontro. Se da una parte, come detto, gruppi di attivisti di entrambe le parti hanno svolto una costante attività di sabotaggio cibernetico finalizzata a rallentare l’apparato amministrativo e logistico del nemico, nonché in determinate occasioni a minarne l’immagine internazionale e massimizzare il danno reputazionale, vi è però un’altra strategia offensiva, più indiretta ma mediaticamente d’impatto: colpire, nella continuità operativa come nell’immagine pubblica, i soggetti privati che hanno continuato ad intessere rapporti commerciali con la parte avversa.

Gruppi di hacktivisti filo-ucraini quali la stessa Anonymous hanno, infatti, in più occasioni minacciato di ritorsioni le aziende occidentali che mancavano di prendere posizione o continuavano a produrre e commerciare nei territori della Federazione Russa.

Nell’altra trincea, gruppi di hacker (o spesso criminali informatici, dato che – soprattutto nel campo russo – i due termini sono sovente sovrapponibili) che sostengono le rivendicazioni di Mosca, come ad esempio Killnet, hanno preso di mira aziende occidentali tacciate di collaborazione e sostegno più o meno indiretto allo sforzo difensivo di Kiev:

il 20 marzo 2022, Anonymous ha pubblicato su Twitter un avvertimento di 48 ore alle aziende occidentali affinché abbandonassero le loro attività in Russia, indicando più di tre dozzine di aziende. Le aziende che non hanno rispettato la scadenza, tra cui l’azienda francese di articoli sportivi Decathlon e l’azienda francese di vendita al dettaglio Leroy Merlin, hanno subito attacchi DDoS che hanno colpito i loro siti web di lingua russa; Leroy Merlin sostiene inoltre di aver subito una violazione di uno dei suoi database. Anche la multinazionale svizzera di alimenti e bevande Nestle è stata presa di mira per la mancata ottemperanza, subendo una violazione di dati che ha comportato la fuga di 10 gigabyte di e-mail, password e informazioni sui clienti aziendali di Nestle, benché l’azienda sostenga che i dati erano già stati resi pubblici a causa di un precedente data leak;
il 1° agosto 2022, l’appaltatore della difesa statunitense Lockheed Martin ha subito un attacco DDoS al suo sito web da parte di Killnet, che ha affermato che l’attacco era una rappresaglia contro la fornitura di mezzi militari alle forze armate ucraine.

Press Release: We call on all companies that continue to operate in Russia by paying taxes to the budget of the Kremlin's criminal regime: Pull out of Russia! We give you 48 hours to reflect and withdraw from Russia or else you will be under our target! #Anonymous #OpRussia pic.twitter.com/7HO9UzeBoc
— Anonymous TV 🇺🇦 (@YourAnonTV) March 20, 2022

Il tweet di avvertimento di Anonymous alle aziende occidentali operanti in Russia

Fuori dall’Europa: hacktivismo locale

La guerra in Ucraina, come sottolineato, non è stato nel corso dell’anno passato l’unico driver dell’azione degli hacktivisti.

Se ci sono temi (come quello della repressione delle proteste in Iran) che hanno coinvolto l’opinione pubblica mondiale, alcune campagne hanno invece riguardato questioni più specificamente locali.

Ad esempio, il gruppo Guacamaya, operante in America Latina, si è battuto per la difesa degli interessi delle popolazioni indigene contro le compagnie petrolifere e minerarie.

Analogamente, gli attivisti di DragonForce Malaysia hanno lanciato a giugno una campagna informatica DDoS contro circa 70 siti web del settore pubblico e privato indiano, presumibilmente a causa di dichiarazioni considerate controverse fatte da alcuni politici indiani sul profeta Maometto:

il 3 agosto 2022, Guacamaya ha fatto trapelare più di due terabyte di dati rubati da diverse società minerarie dell’America centrale e meridionale, tra cui New Granada Energy Corp. (società mineraria colombiana), Quiborax (società mineraria cilena) e Tejucana Mineracao (società mineraria brasiliana).

Riferimenti[+]

Riferimenti
↑1	dato il controllo pervasivo che il governo russo opera sulla comunicazione via internet, l’unico mezzo percorribile a tal fine è stato quello di piattaforme di messaggistica criptate come ad esempio Telegram, anch’essa di origine russa