Guerre di Rete - Come Kiev ha respinto i cyberattacchi
Moldavia e Paesi Baltici next? Web3, criptofonini e altro
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.132 - 8 maggio 2022
Ricordo che questa newsletter (che oggi conta più di 10mila iscritti - ma molti più lettori, essendo pubblicata anche online - e oltre 500 sostenitori) è gratuita e del tutto indipendente, non ha mai accettato sponsor o pubblicità, e viene fatta nel mio tempo libero. Se vi piace potete contribuire inoltrandola a possibili interessati, o promuovendola sui social. Molti lettori sono diventati sostenitori facendo una donazione. La prima campagna per raccogliere fondi è andata molto bene, e qua ci sono i dettagli (qua la lista degli oltre 500 donatori)
In più, a marzo il progetto si è ingrandito con un sito di informazione cyber, GuerrediRete.it. Qui spieghiamo il progetto. Qui l’editoriale di lancio del sito.
In questo numero:
Guerra in Ucraina: come Kiev ha respinto i cyberattacchi
Guerra in Ucraina: Moldavia e Paesi Baltici nel mirino
Perché il Web3 ci fa litigare
Le indagini sul narcotraffico via criptofonini (Di Rosita Rijtano)
Altro
GUERRA IN UCRAINA
Come Kiev ha respinto i cyberattacchi
La scorsa settimana avevo raccontato la quantità di attacchi cyber subiti dall’Ucraina da poco prima dell’inizio della guerra a oggi, e di come secondo un rapporto di Microsoft ci fossero correlazioni fra alcuni di questi attacchi e le azioni sul campo da parte dei russi.
Anche secondo l’amministrazione americana, la Russia sta combinando le sue capacità cyber con le operazioni militari sul territorio in Ucraina. Attività di hacking “distruttivo” legate a Mosca sono state un aspetto significativo della guerra, ha commentato nei giorni scorsi Anne Neuberger, deputy national security adviser per la cybersicurezza al Consiglio per la sicurezza nazionale (NSC) americano, in pratica colei che coordina le operazioni dell’amministrazione Biden sulla cyber. “Abbiamo visto i russi avere un approccio integrato nell’utilizzo di attacchi fisici e cyber, per raggiungere i loro brutali obiettivi in Ucraina”, ha commentato. E tuttavia, riferisce il WSJ, malgrado queste operazioni su larga scala, non ci sono stati (o non si sono visti) incidenti con impatto devastante da parte degli attaccanti. Oppure questi sono stati bloccati dagli ucraini.
Quanto le capacità di difesa ucraine (coadiuvate da uno sforzo internazionale) abbiano davvero giocato un ruolo nello smorzare i cyberattacchi russi resta una domanda aperta. Di sicuro il ruolo degli americani è stato importante anche sul fronte cyber. Perfino la guardia nazionale americana (forza militare di riservisti di ogni Stato federato) ha inviato personale. E quella della California ha anche mandato delle unità per aiutare gli ucraini a difendersi da cyberattacchi e per lanciare operazioni cyber, scriveva giorni fa lo stesso sito della Guardia nazionale.
L’aiuto statunitense sul campo informatico è iniziato in modo robusto dopo il 2015 (ad esempio nel 2017 l’esercito Usa assegnava un contratto da 22,7 milioni di dollari alla società Black Box per assistere il ministero della Difesa ucraino a sviluppare le sue capacità cyber; dal 2020 arrivavano altri soldi Usa in varie tranche). Ma si è intensificato dallo scorso ottobre e novembre, quando è aumentato il personale specializzato inviato in Ucraina.
Moldavia e Paesi Baltici nel mirino
La cyberwarfare è sicuramente stata meno visibile del previsto (o di quanto alcuni si aspettavano, cosa di cui ho scritto e detto ampiamente). Ma forse sarebbe il caso di prestare più attenzione, e prima, ai segnali su questo fronte, perché possono essere degli indicatori importanti su come si indirizzano le tensioni internazionali.
“Aiuteremo la Moldavia a rafforzare la sua resilienza e ad affrontare le conseguenze dello spill-over dell’aggressione della Russia in Ucraina fornendo ulteriori aiuti militari alla Moldavia, e aiutandola a contrastare la disinformazione e a resistere ai cyberattacchi”, ha dichiarato (e twittato) qualche giorno fa il presidente del Consiglio europeo Charles Michel. Il riferimento alla parte cyber non è di prammatica. I servizi di intelligence della Moldavia sostengono che il gruppo di hacking filorusso di nome Killnet abbia lanciato una serie di cyberattacchi contro i siti governativi del Paese. “La Russia fa un passo in avanti nella sua aggressione contro la Moldavia, mentre le tensioni divampano in Transnistria”, ha commentato il ricercatore Samuel Ramani.
Nei giorni scorsi nei messaggi sul proprio canale Telegram, come verificato da Guerre di Rete, il gruppo Killnet minacciava attacchi contro la Moldavia, la Lituania e la Lettonia. Anche per l’esperta di cyberwarfare e consulente Nato Chris Kubecka, intervistata dal WSJ, gli Stati Baltici sono al momento uno dei possibili target dell’estensione del conflitto cyber, insieme alle infrastrutture critiche di aziende che si sono espresse in favore delle sanzioni alla Russia.
Tornando a Killnet, il gruppo raccoglie decine di migliaia di utenti nei suoi canali Telegram ed ha delle modalità “hacktiviste” di azione non molto lontane da quelle dell’IT Army ucraino (di cui avevo scritto qua). Nei giorni scorsi Killnet ha preso di mira anche siti governativi rumeni, e per il presunto contributo a questa azione è stato identificato e indagato in Gran Bretagna un cittadino rumeno di 23 anni. Per altro le azioni di Killnet avevano suscitato anche una controreazione immediata da parte di Anonymous Romania, che aveva preso di mira dei siti governativi russi, a dimostrazione che lo scenario internazionale dei conflitti cyber appare sempre di più come una polveriera attorno a cui si agitano una quantità di soggetti dotati di cerini (con la tentazione per i governi di sfruttare la plausible deniability, la copertura diciamo così, offerta dalla quantità di sigle presenti, per forzare la mano).
Le conseguenze (impreviste?) di questo fronte
Tra l’altro nei giorni scorsi un report della società di cybersicurezza Crowdstrike ha segnalato l’abuso di infrastrutture cloud e container di aziende da parte dell’IT Army ucraino per lanciare attacchi DoS (che puntano a rendere irraggiungibile un sito o servizio) contro la Russia. E avvisava: “L’uso di infrastrutture compromesse ha conseguenze di vasta portata per organizzazioni che possono trovarsi senza volerlo a partecipare ad attività ostili contro il governo russo e obiettivi militari e civili”.
E comunque gli attacchi DDoS da parte dell’IT Army ucraino stanno producendo alcuni effetti. Ad esempio hanno colpito EGAIS, il sistema governativo che regola e gestisce la produzione di alcol in Russia, causando ritardi nella produzione e nel rifornimento nel Paese. Tanto che alcuni birrifici hanno dovuto bloccare la produzione, riferiscono vari media russi. Gli attacchi sono stati confermati dagli stessi canali Telegram dell’IT Army ucraino.
Questa settimana è anche uscito un report di Google che si concentra sulle attività cyber in corso nell’Europa orientale in riferimento alla guerra in Ucraina. E segnala un numero crescente di attori malevoli che usano la guerra come un’esca per campagne di malware e phishing. Attori sostenuti dal governo in Cina, Iran, Corea del Nord e Russia, così come altri gruppi senza attribuzione, hanno usato vari temi legati alla guerra per arrivare ai target con email malevole. Attori criminali e motivati dai soldi stanno usando gli eventi correnti per fare attacchi (vi ricordate del liberi tutti di cui avevo parlato tempo fa? Pare si stia concretizzando).
Il rischio per le infrastrutture critiche
Ma, come avvenuto col report di Microsoft o con quelli di altre società di sicurezza specializzate in sistemi industriali, Google rileva anche che vari attori malevoli stanno prendendo di mira le infrastrutture critiche, nel settore dell'energia, delle telco e della manifattura.
Di attacchi di questo genere abbiamo già parlato qua in newsletter. Vale la pena segnalare che sono ormai tre le aziende europee dell’eolico colpite da cyberattacchi dall’inizio della guerra. Sebbene le aziende in questione non abbiano fatto una attribuzione, la preoccupazione che in alcuni casi possano essere state prese di mira (e non siano solo un casuale danno collaterale) è alta, almeno secondo alcuni rappresentanti dell’industria, come il portavoce di Wind Europe, Christoph Zipf, intervistato dal WSJ. Le tre aziende colpite sono Enercon (di cui avevo scritto nell’ambito del cyberattacco a Viasat a febbraio); Deutsche Windtechnik AG, colpita ad aprile, con il down dei suoi sistemi di controllo remoto per duemila turbine in Germania. E Nordex SE, colpita a fine marzo dal gruppo criminale russo Conti, sospettato di legami con l'intelligence di Mosca.
Su Conti il governo americano ha appena messo una taglia da 15 milioni di dollari (data a chi possa fornire informazioni).
Nel mentre sembra essere ricomparso il gruppo cybercriminale REvil, che a ottobre aveva fermato le attività dopo un’operazione di polizia in cui erano stati sequestrati dei server e arrestati alcuni membri da parte delle autorità russe (che dicevano di aver agito su informazioni fornite dagli americani). Ma dopo l’invasione dell’Ucraina la Russia ha dichiarato che gli Stati Uniti avevano interrotto la cooperazione sulle attività cyber (incluse quelle criminali).
CYBERCRIME IN ITALIA
Attacchi in crescita
“Abbiamo visto un netto aumento del rumore di fondo, di attività propedeutiche ad attacchi informatici dall’inizio della guerra in poi. Aumento di attacchi che per ora hanno matrice criminale, benché strutturati e aggressivi”, dice Ivano Gabrielli, Direttore del Servizio Polizia Postale e delle Comunicazioni, in una intervista a CybersecItalia.
SANITA’
Altri ospedali italiani in difficoltà dopo attacchi informatici
Attacco informatico agli ospedali Fatebenefratelli-Sacco: cartelle cliniche criptate e visite a rilento, scrive Repubblica. "Limitati" gli accessi al pronto soccorso e ai punti prelievi di Sacco, Fatebene, Buzzi e Macedonio Melloni. Medici e infermieri costretti a registrare a mano i dati dei pazienti
Attacco informatico anche all’Ats Insubria, l’agenzia di tutela della salute delle province di Como e Varese, scrive Corriere.
Proprio di quello che succede in corsia dopo un attacco di questo tipo avevamo scritto sul sito di Guerre di Rete qualche settimana fa. Leggi l’articolo, Reparto Ransowmare, di Raffaele Angius.
WEB3
Perché il Web3 ci fa litigare
Questa settimana sul sito Guerre di Rete Andrea Signorelli ci spiega: cosa è il Web3; cosa è per ora e cosa promette di diventare; chi sono i suoi sostenitori; chi sono i suoi detrattori e su cosa si appuntano alcune delle critiche. Perché litigano fra loro. Un articolo fondamentale se non sapete molto dell’argomento ma volete capirne di più. Leggi l’articolo su Guerre di Rete.
PEGASUS
Chi di spyware ferisce…
La vicenda dello spyware Pegasus si allarga sempre di più in Europa, mettendo in imbarazzo i governi che lo usano per “indagini” interne e che ora si trovano però anche a loro volta vittime dell’abuso di questi strumenti. È il caso della Spagna, dove prima è emerso l’uso dello spyware contro una serie di politici e attivisti catalani, e poi contro il primo ministro Sanchez e la ministra della Difesa. Ma, mentre nel caso di Sanchez e della ministra, a spiare sembra essere stato probabilmente uno Stato o una entità straniera, nel caso dei politici catalani sarebbe stata l’intelligence spagnola. Ora il governo catalano vuole spiegazioni dall’intelligence nazionale dopo che questa ha confermato che 18 membri del movimento indipendentista sarebbero stati effettivamente spiati con lo spyware israeliano, previo mandato di un giudice, scrive il Guardian.
Quali sono gli Stati europei dove Pegasus è stato ritrovato sui dispositivi di politici, giornalisti e funzionari? Finora Belgio, Finlandia, Francia, Grecia, Ungheria, Polonia e Spagna, ricorda in un tweet Claudio Guarnieri (uno dei primi e più importanti ricercatori che hanno individuato malware governativi usati contro la società civile).
CRIPTOFONINI
Narcotraffico, nuovi arresti nati dalle indagini via telefoni cifrati
Di Rosita Rijtano
Continuano ad avere ripercussioni i colpi messi a segno dalle forze dell’ordine a partire dalle indagini sui criptofonini, smartphone modificati in modo da risultare inviolabili, almeno in teoria. In pratica, le comunicazioni che i criminali si scambiavano tramite i servizi messi a disposizione da tre aziende leader nel settore (Sky ECC, EncroChat, e Anom) sono finite nelle mani delle polizie di molti Paesi del mondo portando a centinaia di arresti. I più recenti risalgono a qualche settimana fa, quando gli agenti di Europol ed Eurojust hanno bussato alla porta di una villa di Belgrado per portar via una loro vecchia conoscenza: Darko Saric. Saric è considerato il narcotrafficante più potente dei Balcani, il re della cocaina: arrestato nel 2014 e ai domiciliari dallo scorso anno, è ora accusato di non aver mai smesso di portare avanti il suo impero, anche attraverso comunicazioni che passavano per gli smartphone cifrati. Ma, stando a quanto riporta Balkan Insight, sito di notizie e inchieste sul sud-est Europa, non è stato il solo che nella zona è finito in manette attraverso le indagini partite dalle comunicazioni via Sky ECC. Almeno altre cento persone sarebbero state incastrate dalle prove ottenute tramite le chat, tra cui l’ex presidente della Corte suprema del Montenegro, accusata di abuso di ufficio. Sempre attraverso Sky ECC, dice a Guerre di Rete una fonte della Direzione nazionale antimafia e antiterrorismo, si è arrivati alla cattura nel maggio del 2021 di Rocco Morabito, boss della ‘ndrangheta e il secondo latitante più ricercato d’Italia dopo Matteo Messina Denaro. Insieme a lui, Vincenzo Pasquino, per i magistrati un narcotrafficante di spicco. Entrambi si trovavano nel nord-est del Brasile.
Lo smantellamento di EncroChat, invece, ha portato a operazioni tanto in Gran Bretagna, quanto nei Paesi Bassi e in Germania. In Italia, sarebbe stato decisivo per la condanna per traffico di droga di Luca Lucci, capo ultrà del Milan, fermato a dicembre scorso. Le fonti investigative europee mantengono il massimo riserbo sul lavoro svolto sui criptofonini, e ancor meno notizie si hanno su Anom, il servizio di comunicazioni cifrate messo in piedi dall’Fbi che nell’estate del 2021 ha determinato l’arresto di 800 persone. Ma possiamo aspettarci ancora molte novità man mano che prosegue la condivisione delle informazioni da parte delle forze dell’ordine.
APPROFONDIMENTI
La Rete è di tutti / Come pensare una infosfera a misura di democrazia > podcast con Luciano Floridi e Fabio Chiusi - Valigia Blu
Trattori ucraini contro carri armati russi - all’origine storica dietro al meme - Grid (in inglese)
Overnight → Gli occhi di internet sull’Ucraina - podcast di Philip Di Salvo su Radio Raheem
Stop alla sorveglianza biometrica
Un evento imperdibile di #Reclaimyourface in varie città italiane il 10 maggio. Con un dibattito pubblico a Milano. Qui per iscriversi. Altre info qua.
PARLANO DI NOI
Cybersecurity360 mi ha intervistato sul progetto editoriale Guerre di Rete
Su Rainews ho parlato del fronte cyber in Ucraina e delle ultime novità. Qua i miei interventi. Anche qui ampia citazione di Guerre di Rete <3.
→ DIFFONDI LA NEWSLETTER
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! Promuovila sui social. O diventa un suo sostenitore facendo una donazione. La newsletter (che è fatta nel mio tempo libero) resta gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
—> SOCIAL E PODCAST DI GUERRE DI RETE
Guerre di Rete ora ha anche un sito di notizie, una pagina Facebook, un profilo Twitter, Linkedin e Instagram. Seguiteli! I podcast della newsletter (che escono il lunedì in genere) li trovate sulle principali piattaforme (Apple Podcasts; Spotify; Google Podcast; Anchor.fm).