Cyber war: i nuovi scenari di guerra raccontati da un esperto

Il conflitto che sta oramai imperversando in Europa e vede coinvolte la Russia di Putin e l’Ucraina di Zelinsky è la dimostrazione concreta di quella che era stata definita la dottrina Gerasimov, o guerra ibrida: seminare il caos per realizzare gli obiettivi militari oltre confine, adottando una serie di strumenti propriamente bellici e non. Una commistione di attacchi cyber, disinformazione, spionaggio, utilizzo di milizie paramilitari atti a minare la fiducia del nemico e seminare il caos per creare un fronte avversario disunito e che si poggia su basi meno solide. Come la dottrina poi si adatta alla realtà, lo stiamo scoprendo in questi giorni, ovviamente è tutto un altro discorso.

Ciò non toglie che, nonostante in questi giorni, sul terreno, l’armata del Cremlino stia ora facendo i conti con l’accanita difesa da parte delle forze di Kiev, nelle settimane e mesi precedenti all’invasione la Russia ha dato sfoggio di una capacità di Cyber warfare impressionante.

Un risvolto che ha fatto luce su quelli che potrebbero concretamente essere i nuovi campi di battaglia del futuro prossimo, anche al di fuori delle zone in cui si combatte al momento…

Dalla tensione allo scontro

Sono passati un po’ in sordina, in particolare di fronte alla tragedia di bombe e colpi di artiglieria, ma per lungo tempo prima dell’invasione, l’Ucraina era stata soggetta a numerosi cyber attacchi, le infrastrutture critiche erano state sondate e colpite, le centraline del telefono abbattute, i movimenti delle truppe nascosti da notizie contrastanti e volutamente vaghe.

Quando poi, tristemente, l’escalation è giunta al vero e proprio scontro, il conflitto digitale non si è arrestato, è solo stato sepolto dal rumore delle armi, ma continua anche in queste ore.

Nel caos dei primi giorni di guerra, l’Ucraina stessa è riuscita in qualche modo a rispondere, mandando offline il sito del Cremlino e della Duma. In campo è entrato anche Anonymous – il noto gruppo di Hacktivisti – che ha dirottato le reti televisive russe, trasmettendo a reti unificate l’inno nazionale ucraino.

«In rete e su Telegram in particolare sono circolati terabyte di dati sensibili: da manuali di attrezzature militari fino alle liste complete di tutto il personale del controverso battaglione Azov» spiega Pierguido Iezzi, Ceo di Swascan (Tinexta Cyber). «La cyber war non è neppure rimasta chiusa nei confini dei due Paesi protagonisti dello scontro. Dalla Polonia, nelle ore successive all’invasione, sono giunte notizie di ripetuti tentativi di hacking contro le infrastrutture critiche (forse ritorsioni contro l’appoggio Varsavia alla causa di Kiev, n.d.r)».

È una Cyber war a tutto campo che è arrivata a toccare anche i confini NATO, riaprendo il dibattito su cosa possa essere considerato un aperto atto di ostilità. Questo fa riemergere gli storici dubbi che da sempre aleggiano attorno alla cyber war, in particolare sul grande vantaggio competitivo di chi ha da tempo investito in questi mezzi di guerra digitale, come la Russia.

Il rumore

«Il nodo rimane sempre lo stesso: la difficoltà di attribuire con certezza la paternità di un attacco. È una spada a doppio taglio, salvo casi eccezionalmente rari, sono necessarie settimane se non mesi per stabilire con chiarezza chi si cela dietro un’offensiva digitale, tempo prezioso, specialmente quando in gioco ci sono importanti equilibri», spiega Iezzi. Questo genera incertezza e l’incertezza è un carico importante in un contesto bellico. Lo stesso caso polacco citato è ombreggiato dal concetto di negazione plausibile, non ci sono certezze che dietro ci sia Mosca, ma potrebbe essere stato anche un caso di false flag disperato da parte dell’Ucraina in cerca di un casus belli in grado di ristabilire la parità sul campo.

C’è anche chi, in questo contesto di scontro aperto tra due Paesi, ha deciso di approfittarne, proprio utilizzando l’incertezza.

«Nel caos del conflitto Russia/Ucraina, per esempio, come segnalato dalla stessa Cybersecurity and Infrastructure Security Agency americana, sembrerebbe che un gruppo hacker sponsorizzato dall’Iran sia all’opera con azioni di incursioni cyber e in attività di cyber espionage, appunto approfittando dell’incertezza creata dallo scontro in Europa. Ma potrebbe non essere l’unico Paese che al momento ne sta approfittando».

Il vantaggio di chi è “indietro”

Un altro scenario “sorprendente” aperto dalla guerra ibrida è di come questa sia in grado di rimettere in gioco e ripareggiare – in un contesto di scontro a bassa intensità – le disuguaglianze dal punto di vista prettamente militare.

Prendiamo come esempio una nazione come la Corea del Nord. Questa non può sperare di competere, per esempio, con i cugini del Sud sul campo militare. Anni di isolamento utopico, l’assenza di infrastrutture basilari e di tecnologia hanno lasciato Pyongyang decisamente svantaggiata rispetto a Seoul.

«Questa arretratezza, l’assenza totale di digitalizzazione, in uno scenario di weaponisation dell’hacking e di guerra asimmetrica giocano paradossalmente a favore del regime comunista in uno scenario di guerra asimmetrica», continua il CEO di Swascan.

Rispetto agli avversari, infatti, la Corea del Nord ha il vantaggio di non presentare un perimetro attaccabile sul piano digitale; di contro la Corea del Sud è uno dei Paesi più sviluppati del globo.

«Pyongyang potrebbe decidere di attaccare l’avversario di sempre con un malware della stessa genia del wiper – un malware, apparentemente progettato da un gruppo di Criminal Hacker al servizio di Mosca in grado di cancellare tutta la memoria delle macchine bersaglio - che è stato osservato in Ucraina potrebbe causare danni incalcolabili all’intero sistema Paese» spiega Iezzi.

«Stiamo ora acquisendo consapevolezza di questa realtà e lo stiamo facendo a caro prezzo. Ma è qualcosa che già da anni serpeggiava».

La possibilità di annientare e mettere in ginocchio l’infrastruttura digitale di un Paese tramite un cyber attacco ben congeniato, causando ingenti danni senza colpo ferire, era già stata sperimentata nel lontano 2007 – un’epoca che anche se ci appare vicina era caratterizzata da una digitalizzazione decisamente meno diffusa. Al tempo, Israele e gli Stati Uniti, avevano creato appositamente un malware per smantellare il programma nucleare iraniano. Stuxnet, così era noto, cercava in ogni PC infetto segni del software Siemens Step 7, che i computer industriali che servono come PLC - computer per l'industria specializzato in origine nella gestione o controllo dei processi industriali - usano per automatizzare e monitorare le apparecchiature elettromeccaniche. Dopo aver trovato un computer PLC, il malware inviava istruzioni dannose all'attrezzatura elettromeccanica che il PC controllava. Chiunque monitorasse l'attrezzatura non avrebbe avuto alcuna indicazione di un problema fino a quando l'attrezzatura avesse iniziato ad autodistruggersi.

Stuxnet aveva dato i risultati sperati, ma già allora, c’era stata una “fuoriuscita”. Si era perso il controllo e/o era stato poi ripreso e riutilizzato per portare a termine altri attacchi.

«Fortunatamente nel periodo preso in considerazione il mondo era nella sua fase 0.0 della Digital Trasformation e l’IoT e l’interconnessione erano nella fase di gestazione, Stuxnet non si era propagato in maniera pervasiva», continua l’esperto di Cyber Security.

Il rischio oggi, però, è duplice quindi: queste armi di distruzione digitale, soprattutto in un contesto completamente diverso dal 2007, caratterizzato da una digitalizzazione molto più pervasiva, potrebbero veramente essere incontenibili e mettere in ginocchi intere nazioni.

«Stuxnet operava in un mondo diverso, un’infezione simile oggi, se non circoscritta, potrebbe essere catastrofica. E paradossalmente, a essere più al sicuro sarebbero due tipologie di nazioni: quelle più arretrate dove non esiste una rete sviluppata come nei paesi del G8 (come Korea del Nord e Iran..) e i Paesi che da tempo hanno riconosciuto l’importanza della sovranità digitale e hanno costruito un enorme firewall attorno all’interno sistema paese (come Cina e Russia..)».