Guerre di Rete - Ucraina, mappa dei cyberattacchi
E poi le novità sugli attacchi alla Russia. E come Mosca censura internet (e chi resiste)
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.131 - 1 maggio 2022
Buona Festa dei lavoratori!
Ricordo che questa newsletter (che oggi conta più di 10mila iscritti - ma molti più lettori, essendo pubblicata anche online - e oltre 500 sostenitori) è gratuita e del tutto indipendente, non ha mai accettato sponsor o pubblicità, e viene fatta nel mio tempo libero. Se vi piace potete contribuire inoltrandola a possibili interessati, o promuovendola sui social. Molti lettori sono diventati sostenitori facendo una donazione. La prima campagna per raccogliere fondi è andata molto bene, e qua ci sono i dettagli (qua la lista degli oltre 500 donatori)
In più, a marzo il progetto si è ingrandito con un sito di informazione cyber, GuerrediRete.it. Qui spieghiamo il progetto. Qui l’editoriale di lancio del sito.
In questo numero:
Guerra in Ucraina: cyberattacchi senza sosta, una fotografia dettagliata
La controffensiva cyber contro la Russia
Come la Russia censura internet, e come si sta reagendo (e la censura nel mondo)
Più facile rimuovere risultati di ricerca con informazioni personali
GUERRA IN UCRAINA
Senza sosta, distruttivi e correlati all’invasione: gli attacchi informatici contro l’Ucraina
In questa newsletter ho raccontato in dettaglio il fronte cyber della guerra in Ucraina, con analisi di specifici attacchi diretti contro Kiev (così come abbiamo visto il variegato fronte pro-Ucraina che ha sommerso di attacchi la Russia).
Ora Microsoft ha pubblicato un rapporto che conferma il quadro emerso già in modo episodico, ma che ha il merito di essere basato su dei dati (cui ha accesso l’azienda) e sull’analisi dei suoi ricercatori. Il risultato è una mappatura in cui gli attacchi informatici contro l’Ucraina appaiono molto più fitti, determinati e integrati nelle strategie di guerra. Il report Microsoft cerca infatti anche di individuare correlazioni fra il fronte della guerra sul campo e quello ibrido online, fatto di una miscela di intrusioni, attacchi distruttivi e propaganda. Il risultato è una delle fotografie più dettagliate oggi a disposizione, che mostra quanto la cyber sia una componente centrale dei conflitti, anche quando, nel mezzo di una guerra e un’invasione, resta meno visibile e sotterranea.
In particolare, per Microsoft questo report illustra quanto i cyberattacchi russi siano stati “continui e distruttivi”. A partire da poco prima dell’invasione, scrivono i ricercatori, “abbiamo visto almeno sei diversi attori nazionali allineati alla Russia lanciare più di 237 operazioni contro l’Ucraina, inclusi attacchi distruttivi che sono in corso e minacciano servizi essenziali per i civili. Gli attacchi distruttivi sono stati accompagnati da spionaggio e attività di intelligence”.
Due o tre incidenti a settimana con wiper
Ma vediamo cosa dice il report proprio sugli attacchi “distruttivi” (in cui il termine allude alla distruzione di dati chiave e al blocco di sistemi). Gruppi malevoli con noti o sospetti legami con il GRU (l'intelligence militare russa) hanno continuamente sviluppato e usato malware distruttivi (wiper) o strumenti simili contro reti ucraine a un ritmo di due/tre incidenti a settimana dall’inizio dell’invasione. Dal 23 febbraio all’8 aprile Microsoft ha visto quasi 40 diversi attacchi distruttivi che hanno cancellato file in modo permanente in centinaia di sistemi di decine di organizzazioni in Ucraina. Più del 40 per cento di tali attacchi puntavano a infrastrutture critiche che avrebbero avuto un impatto su strutture governative, militari, economiche e civili. Il 32 per cento degli incidenti distruttivi ha colpito organizzazioni governative ucraine.
8 famiglie di malware distruttivo
Secondo il report, dato per scontato che ci sia una attività che i ricercatori Microsoft non sono riusciti a vedere, finora ci sarebbero state almeno 8 famiglie di malware distruttivo utilizzate su reti ucraine, incluso una tipologia dedicata a sistemi di controllo industriale. “Se gli attori malevoli possono mantenere l’attuale ritmo di sviluppo e distribuzione, prevediamo che saranno scoperti ulteriori malware distruttivi mentre il conflitto continua", rileva il report.
Ma non ci sono solo i malware ad hoc. Gli stessi attori malevoli hanno abusato di strumenti legittimi almeno 37 volte per distruggere dati sui sistemi attaccati; ad esempio, SecureDelete è una utility Windows che gli attaccanti hanno sfruttato per cancellare dati.
Le correlazioni fra la guerra e le attività cyber
Ma l’analisi Microsoft sottolinea anche delle correlazioni fra gli sviluppi della guerra (incluse le fasi preparatorie) e attività cyber. Un po’ di esempi:
- un giorno prima dell’invasione un gruppo di hacker russi distribuiva wiper a centinaia di sistemi ucraini fra governo, IT, energia, istituzioni finanziarie
- tra il 14 e il 17 febbraio si assisteva alla compromissione di infrastrutture critiche nelle città di Odessa e Sumy, azioni che sembrerebbero correlate all’avanzata russa avvenuta di lì a poco a Sumy.
- l’11 marzo una agenzia governativa a Dnipro era attaccata con un malware distruttivo e nel mentre le forze russe sul campo lanciavano attacchi contro gli edifici governativi
- tra il 17 e il 23 marzo attori malevoli attaccavano servizi di logistica e entità regionali poco prima dell’annuncio dei militari russi di volersi focalizzare sulla parte orientale. E il gruppo di hacking chiamato IRIDIUM (una unità del GRU che altri ricercatori identificano col nome di Sandworm) conduceva attacchi distruttivi contro le reti di fornitori di trasporti e logistica
- Tra il 31 marzo e l’8 aprile si assisteva a una escalation di attacchi contro infrastrutture dell’energia e IRIDIUM lanciava attacchi wiper contro un fornitore di energia regionale.
Le previsioni del report
In conclusione, scrive Microsoft, “dato che gli attori malevoli russi hanno rispecchiato e aumentato le azioni militari, riteniamo che i cyberattacchi continueranno a crescere mentre il conflitto infuria. Attori malevoli nazionali russi possono avere il compito di espandere le loro azioni distruttive fuori dal’Ucraina per rivalersi contro quei Paesi che decidono di fornire più assistenza militare all’Ucraina e di prendere misure punitive contro il governo russo”.
Gli attacchi contro la Russia
Ma anche la Russia è sempre più oggetto di ondate di attacchi di ogni tipo. Le ultime novità arrivano dall’IT Army ucraino, lo sforzo di Kiev di raccogliere online un esercito internazionale di hacker o semplicemente di partecipanti ad attacchi già configurati, come avevo descritto in newsletter qua. Da alcuni giorni l’IT Army ucraino ha infatti anche un sito dove da un lato si dà conto del successo degli attacchi in corso, dall’altro si forniscono link, indicazioni e strumenti per partecipare ad attacchi, con diversi livelli a seconda delle capacità dei volontari. Per cui il livello minimo è aprire alcune pagine con il proprio browser e partecipare a un DDoS, un attacco di negazione distribuita del servizio in cui si sommerge il target di richieste. Tutto questo dentro la sezione: “Istruzioni per configurare attacchi DDoS a Paese nemico”. Esiste anche una sezione che si intitola: “Attacchi ai siti di propaganda russa”. Come già scritto qua in precedenza, la cornice legale di questo tipo di partecipazione è a dir poco ambigua.
Tutte queste attività hanno visto anche il coinvolgimento diretto di aziende di cybersicurezza ucraine, come Hacken, che hanno modificato uno dei loro strumenti anti-DDoS per lanciare attacchi di questo tipo. O contribuito a realizzare un programma di bug bounty, di ricompensa per la segnalazione di vulnerabilità, ma nello specifico di quelle presenti su sistemi russi. Sarebbero oltre tremila le segnalazioni ricevute, sostengono quelli di Hacken a Wired US, spiegando che la società verifica le segnalazioni e poi le passa alle autorità ucraine.
Il wiper anti-russo
Altro elemento emerso in questi giorni è un ransomware (un software malevolo che cifra tutto e chiede un riscatto) creato appositamente per colpire sistemi russi. In realtà, come spiega l’analisi di TrendMicro, si tratta più di un wiper, un software malevolo che “distrugge in modo irreversibile i file cifrati”. Si chiama RURansom e presenta una nota di riscatto (dove in realtà non c’è alcun riscatto, solo un avviso ai target) che si rivolge direttamente a Putin e spiega come non ci sia modo di decifrare i file. “Nessun pagamento, solo danni. E sì, si tratta di peacekeeping”, prosegue sarcastico l’autore. TrendMicro dice di non aver osservato vittime per questo malware, forse perché finora avrebbe colpito solo alcuni target in Russia.
RUSSIA BIG TECH
Il boomerang sull’industria tech russa
Da Yandex, portale di notizie e motore di ricerca russo, al social VKontakte fino a società di cybersicurezza come Kasperksy, la guerra di Putin si sta rivelando un boomerang per alcune delle realtà tech russe più internazionali, che ambivano a essere attori globali e che ora sono coinvolte dalla guerra o dalle sue conseguenze, racconta un reportage del Washington Post.
ITALIA
Prodotti di cybersicurezza russi, arriva la circolare dell’Agenzia
A proposito di Kasperky. In una circolare pubblicata in Gazzetta Ufficiale il 26 aprile l’ACN, l’Agenzia per la Cybersicurezza Nazionale, ha ordinato alle amministrazioni pubbliche di “ diversificare” (di fatto iniziare un processo di migrazione ad altro) i prodotti di 3 aziende russe: Kaspersky, Group-IB e Positive Technologies.
“Come ha ricostruito Wired nei giorni scorsi, alcuni enti pubblici italiani stanno già disinstallando Kaspersky. Tra questi, il ministero dell'Interno, l'Istituto superiore di sanità (Iss), il Consiglio nazionale delle ricerche (Cnr), l'Autorità garante per le comunicazioni (Agcom), l'università di Verona, l'Istituto nazionale di fisica nucleare (Infn) e l'Istituto per la protezione ambientale (Ispra)”, scrive Wired Italia, che prosegue: “Nel complesso, stando ai dati di Contrattipubblici.org, dal 2013 2.462 enti tra ministeri, ospedali, scuole, università e società partecipate hanno acquistato licenze Kaspersky, per una spesa totale di 18 milioni di euro (con un media di 3mila euro a contratto). A marzo, invece, Adnkronos riferiva che Group-Ib ha vinto la gara per offrire servizi di intelligence contro le minacce informatiche al Computer emergency response team (Cert) finanziario italiano, guidato da Banca d'Italia e Associazione bancaria italiana (Abi) per alzare le difese informatiche del settore”.
LA RUSSIA E LA RETE
Come Mosca controlla internet e come si resiste
La Russia sta aumentando la censura internet, ma non tutto è perduto. Cresce infatti l’uso di strumenti come Tor e le VPN, mentre alcuni ricercatori indagano il modo in cui i siti vengono censurati. Ne emerge un quadro complesso, composito, e in divenire. Ne parliamo nel nostro ultimo articolo sul sito Guerre di Rete, a firma di Fabio DeSicot.
Scrive Fabio: “Il governo russo ha provveduto prontamente a bloccare l’accesso verso il sito Torproject.org ma i risultati, evidentemente, non sono stati quelli sperati. Facendo una ricerca sulle metriche, si può notare come gli utilizzatori di questo sistema siano aumentati repentinamente nel corso degli ultimi anni preferendo l’utilizzo dei nodi chiamati Tor-bridges ai nodi chiamati Tor-relays, quelli usati normalmente dagli utenti Tor. In particolare i nodi bridges, a differenza dei relays, sono più difficili da rintracciare e da filtrare da parte di attori malevoli per via di una tecnologia capace di “nascondere” molti dei loro parametri a occhi indiscreti, e pertanto rappresentano la scelta da preferire in uno scenario di censura. Il trend ha avuto due picchi in salita nell’ultimo periodo: il primo a ridosso della fine del 2021 e il secondo a cavallo dell’inizio della guerra”
Leggi: Russia, così viene aggirata la censura internet - Guerre di Rete
CENSURA
Crescono i blocchi della Rete
Mentre in Russia accelera il giro di vite sulla Rete, un bel reportage di Rest of the World ci ricorda che la censura (e la sorveglianza) internet siano in crescita in tutto il mondo. L’ong Access Now ha registrato almeno 935 blocchi parziali o totali di internet in più di 60 Paesi dal 2016. E il trend è in crescita: la maggior parte di questi è avvenuto negli ultimi 5 anni. Quando si parla di blocco si intende varie strategie, dal blackout totale della rete a quello mirato a un singolo servizio al rallentamento volontario di un servizio o di un tipo di traffico internet.
GOOGLE
Più facile rimuovere risultati di ricerca con informazioni personali
Google ha aumentato il tipo di informazioni personali che è possibile rimuovere dai risultati di ricerca. Oltre a cose come i dati delle carte di credito, informazioni sanitarie o la propria firma, ora è anche possibile rimuovere immagini dei propri documenti di identità; o info personali come indirizzo fisico, indirizzo email e numero di telefono; e credenziali confidenziali di login.
Si accede qua. Dopo aver compilato il modulo (dove vanno inseriti i link che portano ai risultati) si riceve una mail di conferma della pratica e successivamente si verrà avvisati se è stata portata a termine o se non rientrava nei parametri. Qui il post di spiegazione di Google. Si può chiedere rimozione anche di immagini intime o fake pornography, come spiegato qua.
APPROFONDIMENTI
Guida galattica per Twitter-stoppisti finiti su Mastodon
Le ultime notizie su Twitter ed Elon Musk vi hanno fatto considerare Mastodon? Ecco tutto quello che dovete sapere
Informapirata
l copyright, il filtraggio dei contenuti, il ricorso della Polonia respinto e il futuro della Rete - Valigia Blu
La Rete è di tutti / Dignità per il lavoro con gli algoritmi - Valigia Blu
→ DIFFONDI LA NEWSLETTER
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! Promuovila sui social. O diventa un suo sostenitore facendo una donazione. La newsletter (che è fatta nel mio tempo libero) resta gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
—> SOCIAL E PODCAST DI GUERRE DI RETE
Guerre di Rete ora ha anche un sito di notizie, una pagina Facebook, un profilo Twitter, Linkedin e Instagram. Seguiteli! I podcast della newsletter (che escono il lunedì in genere) li trovate sulle principali piattaforme (Apple Podcasts; Spotify; Google Podcast; Anchor.fm).