Come ormai noto, da diversi mesi la corsa alla Casa Bianca è accompagnata da delle attività cibernetiche “parallele” volte a destabilizzare la realtà politica e sociale degli Stati Uniti. Gli attori coinvolti in questo scenario, oltre agli Stati Uniti, sembrerebbero essere la Russia e la Cina (anche se la partecipazione attiva del Governo cinese non sembrerebbe ancora confermata).
Negli ultimi giorni si è assistito ad un forte inasprimento dei toni e delle accuse reciproche, portando gli Stati Uniti a formulare un atto di accusa ufficiale nei confronti della Russia nella giornata del 7 Ottobre.
Ciò che ha portato i 2 Paesi sull’orlo di una guerra cibernetica è stata la violazione dei server del Partito Democratico americano (tralasciando in questa sede quanto accaduto in relazione alle Olimpiadi di Rio, con la pubblicazione di documenti ufficiali della WADA – World Anti-Doping Agency – riguardanti test eseguiti su vari atleti statunitensi, risultati positivi a diverse sostanze dopanti; la pubblicazione di questi report fù una “risposta” all’esclusione di molti atleti russi, anch’essi positivi all’antidoping), con la conseguente pubblicazione da parte WikiLeaks di migliaia di mail della candidata Hillary Clinton. Ovviamente, tutte le accuse sono state respinte al mittente dalla Russia, che ha mostrato inoltre il suo non gradimento alle affermazioni del Vice Presidente Joe Biden sulla preparazione di un’importante azione cibernetica offensiva nei confronti della Russia, già pianificata, in grado di mettere in ridicolo il Presidente Putin agli occhi dei cittadini russi e del mondo intero. Risulta necessario quindi aprire una piccola parentesi che ricostruisca i fatti, specificando brevemente gli attori coinvolti.
Per ciò che concerne gli attacchi contro i server della WADA, tutte le accuse sono state dirette contro un gruppo di hacker conosciuto con il nome di Fancy Bears (cugini degli Energetic Bears, prevalentemente indirizzati a colpire le infrastrutture critiche sul territorio europeo), ma in realtà collegato direttamente al G.R.U. e al FSB (le due agenzie di intelligence della Russia). Ma come mai questo collegamento automatico con la Russia prima, e con il Governo russo dopo? Analizzando brevemente i gruppi maggiormente operativi, avremo più chiarezza.
Secondo il “NATO Cooperative Cyber Defence” di Tallin, i gruppi di hacker attualmente operanti possono essere ricondotti a 2 unità: “Advanced Persistent Threat” Group 29 e 28.
L’ APT 29 ha avuto come obiettivo quello di ottenere informazioni, ovviamente in modo illecito, strettamente connesse agli interessi geopolitici della Russia (vedasi ultimi accadimenti legati all’Ucraina); altri obiettivi con priorità risultano essere Istituzioni internazionali, think tanks e centri di formazione, con l’elemento comune di trattare tematiche di security.
L’APT 28 (conosciuto anche come Tsar Team/Sofacy/Pawn Storm) risulta essere particolarmente attivo contro Enti pubblici e organizzazioni private operanti nel mondo security, come i gemelli dell’APT 29, concentrando però le loro attività nella ricerca delle cosiddette “zero-day vulnerabilities” e nel loro “exploit”, riuscendo ad aggiornare sistematicamente i loro tool e rendendoli in grado di attaccare anche device mobili.
Il modus operandi dei gruppi risulta essere particolarmente efficace ma, allo steso tempo, richiede importati efforts sia in termini economici che di gestione e implementazione dei vari tools a loro disposizione. Inoltre, l’analisi dei codici effettuata dagli hacker forensi americani, ha rilevato un buon livello di complessità degli attacchi lanciati. Queste considerazioni, unite alle rilevazioni degli orari degli attacchi (che risultano essere sempre in fascia UTC + 4, Russia, dal 2007 al 2014) e alle diverse sospensioni degli attacchi in corrispondenze di festività russe, fanno pensare che dietro a questo gruppo possa esserci un attore dotato di importanti risorse finanziarie che permettano la continua evoluzione delle “armi cibernetiche”, capacità di gestione e coordinamento di una struttura operante 24/7/365, con forti interessi sui contesti geopolitici internazionali.
Ad oggi quindi, l’amministrazione Obama considera come responsabile degli attacchi il Presidente Putin, considerandolo un nemico della democrazia e degli Stati Uniti. Allo stesso tempo però, il candidato alla Presidenza Donald Trump, plaude agli attacchi contro il partito democratico ed a WikiLeaks, invitando più volte gli hacker russi a smascherare la sua diretta rivale Hillary Clinton. Questo atteggiamento incoraggiante da parte di Trump, oltre che renderlo il primo candidato della storia degli Stati Uniti chiaramente schierato a favore della Russia, porta i suoi frutti: agli inizi di Ottobre, nella stessa giornata in cui “The Washington Post” pubblicava la nota in cui Trump esprimeva i suoi particolari istinti sessuali, veniva violato l’account privato del Presidente della campagna elettorale democratica, John Podesta.
In questo scenario, le continue affermazioni del Presidente Obama volte ad accusare la Russia degli attacchi informatici (oltre che del mancato rispetto degli accordi sull’intervento in Siria), sembrano rappresentare più degli spot a favore della candidata dei democratici americani, per diverse ragioni:
- Qualora fosse stato realmente pianificato da tempo un attacco cibernetico clandestino su larga scala contro la Russia, perché rivelarlo? Gli effetti di deterrenza di un tale annuncio sembrano essere quasi inesistenti e volti soltanto ad aumentare i livelli di tensione tra le due potenze nucleari;
- Qualora un attacco del genere fosse già pianificato e pronto ad essere lanciato, ammettendo come logico un annuncio in merito, perché farlo annunciare dalla CIA e non dalla NSA (attore principale su queste tematiche)?
- Dalle informazioni che si hanno al momento, l’attacco non avrebbe come obiettivo la neutralizzazione di un network infrastrutturale critico per la Russia, ma rappresenterebbe comunque un “precedente” pericolo di attacco ufficiale nei confronti di un altro Paese (senza peraltro avere delle basi certe al 100% della provenienza governativa degli attacchi) che potrebbe essere utilizzato da altri Paesi in un futuro non troppo lontano;
- Tutto ciò che avviene all’interno del dominio cibernetico ha delle ripercussioni sul mondo fisico e reale, sia per la ormai assodata convergenze fisico-logica delle infrastrutture critiche, sia perché una parte di codice malevolo diretta contro un determinato target potrebbe diffondersi a macchia d’olio e colpire in modo indiscriminato.
Al netto delle considerazione di cui sopra, è fondamentale ricordare anche le ripercussioni di una risposta all’attacco (certa in termini di probabilità e con tempistiche ovviamente rapide). Per dare una rapida idea, basta fare un piccolo esercizio di pensiero: chi subirebbe più danni (in senso ampio del termine) da un attacco di questo genere? Considerando l’effetto delle dipendenze ed interdipendenze dei sistemi, basta tenere a mente che il centro dell’economia e della finanza mondiale non è in Russia, ma negli Stati Uniti..
Risulta fondamentale quindi stabilire e capire il valore delle minacce legate al dominio cibernetico, ormai sempre più diffuse ma spesso utilizzate come “warning” in risposta ad azioni compiute nell’universo fisico, come dislocamenti di truppe non graditi, creazioni di basi avanzate o il dotarsi del missile nucleare Satan 2.
Mauro Pastorello
Ricercatore ITSTIME
Security Manager Sicuritalia Professional Service