Condividi questo Post
Guerre di Rete - Un anno di guerra cyber
Quanto e chi ha aiutato Kiev sul fronte digitale. Poi gli hacktivisti e la fog war. I social media e la sicurezza.
(Immagine dal report Google citato sotto)
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.152- 25 febbraio 2023
Specie per i nuovi, ricordo che questa newsletter (che oggi conta più di 11mila iscritti - ma molti più lettori, essendo pubblicata anche online - e oltre 500 sostenitori) è gratuita e del tutto indipendente, non ha mai accettato sponsor o pubblicità, e viene fatta nel mio tempo libero. Se vi piace potete contribuire inoltrandola a possibili interessati, o promuovendola sui social. Molti lettori sono diventati sostenitori facendo una donazione. La prima campagna per raccogliere fondi è andata molto bene, e qua ci sono i dettagli (qua la lista degli oltre 500 donatori).
In più, a marzo il progetto si è ingrandito con un sito indipendente e noprofit di informazione cyber, GuerrediRete.it. Qui spieghiamo il progetto. Qui l’editoriale di lancio del sito.
In questo numero:
- Gli aiuti sono stati fondamentali per Kiev anche sul fronte cyber
-“La nebbia della cyber guerra”
- Gli attacchi all’Italia dei gruppi russi
- Cosa resta di Bitcoin dopo l’annus horribilis
- Che succede all’exchange italiano
- Il Myanmar è una dittatura digitale
- Twitter e Facebook: sicurezza e assistenza ora sono un premio per chi paga
- E altro
UCRAINA
Gli aiuti sono stati fondamentali per Kiev anche sul fronte cyber
A un anno dall’inizio della guerra in Ucraina e della cyberwarfare collegata, la maggior parte degli osservatori ritengono ancora (come già ritenevano mesi fa) che la risposta di Kiev sul fronte cyber sia stata al di sopra di molte aspettative. Se seguite questa newsletter da tempo sapete che ho dedicato molte edizioni a questo tema (ad esempio: qua, qua e qua) e che le ragioni sono complesse e hanno anche a che fare con la diversa rilevanza dei cyberattacchi in un contesto di pace formale (sia pure percorsa da forti tensioni sotterranee), situazione in cui le aggressioni e incursioni informatiche raggiungono forse il massimo delle loro potenzialità, rispetto invece a uno scenario di guerra aperta in un territorio specifico.
Ciò detto, è tempo di bilanci. Cosa abbiamo imparato finora, sul fronte cyber, dalla guerra in Ucraina? Ad esempio che l’assistenza da parte di altri è stata fondamentale. A scriverlo è un report dell’Aspen Institute. “Una difesa cyber efficace e adattabile sarà essenziale nei conflitti futuri e quindi la capacità di fornire assistenza in materia di difesa informatica deve essere un aspetto centrale per la sicurezza nazionale. Esaminare come i partner dell’Ucraina le abbiano fornito assistenza per la difesa informatica può insegnarci a condurre con successo operazioni simili in futuro”, scrivono gli autori.
Gran parte di questa assistenza è arrivata attraverso iniziative come la Cyber Defense Assistance Collaborative (CDAC), un gruppo volontario di aziende e organizzazioni occidentali di cybersicurezza che ha fornito intelligence, tecnologia, formazione, consulenza e altri servizi alle istituzioni ucraine. “L'assistenza alla difesa informatica in Ucraina sta funzionando - scrive ancora il report - Il governo e le organizzazioni ucraine che si occupano di infrastrutture critiche si sono difese meglio e hanno raggiunto livelli più elevati di resilienza grazie agli sforzi del CDAC e di molti altri”.
In realtà, sono sforzi che nascono da lontano. La CDAC - che oggi include aziende e alleanze come Avast, Cyber Threat Alliance, LookingGlass Cyber Solutions, Palo Alto Networks, Recorded Future, Symantec - è una sorta di spin-off della Civilian Research and Development Foundation (CRDF), un’organizzazione nata nel 1995 da una precedente legge del Congresso Usa, la Freedom Support Act, “che autorizzava gli Stati Uniti a fornire assistenza ai 12 Stati dell'ex Unione Sovietica, divenuti indipendenti, per costruire mercati liberi e sistemi democratici nella regione”. In Ucraina, dal 2019, si è focalizzata sulla resilienza cyber (con un contributo del Dipartimento di Stato). Già nel 2021 la CRDF organizzava workshop e hackathon in Ucraina per proteggere le infrastrutture critiche da cyberattacchi. Due esperti americani di cybersicurezza, che hanno ricoperto anche ruoli governativi, Greg Rattray e Matthew Murray, hanno lavorato da prima della guerra con la CRDF per aiutare Kiev a creare la sua strategia di cybersicurezza nazionale. E poi, con l'inizio del conflitto, hanno mobilitato una rete di organizzazioni.
Oltre a ciò, ad assistere l’Ucraina sul fronte cyber è stata la NATO, tanto che a gennaio è stata infine approvata la richiesta di adesione del Paese al Centro di eccellenza per la difesa cibernetica dell’alleanza militare (CCDCOE), domanda che era in attesa dal 2021 e ha chiaramente avuto un'accelerazione con la guerra. Ora Kiev fa parte dei membri non appartenenti alla NATO che partecipano al suo centro cyber, benché la collaborazione con lo stesso andasse avanti da tempo.
L’Unione europea a dicembre ha fornito invece un cyber lab, un ambiente di training in tempo reale per simulare attacchi in modo da testare e rafforzare le difese cyber militari di Kiev. Il laboratorio rientra nel programma di assistenza inquadrato nell’European Peace Facility, uno strumento dell’Ue per “costruire la pace e rafforzare la sicurezza internazionale” attraverso il quale nel 2021 sono stati stanziati 31 milioni di euro a sostegno delle forze armate ucraine, inclusa la parte cyber.
Infine va ricordato che il Cyber Command americano aveva inviato unità in Ucraina a fine 2021. E che due mesi fa per la prima volta ha reso pubblico di aver condotto operazioni di “hunt forward” insieme al personale del Cyber Command ucraino dal dicembre 2021 al marzo 2022 (ma la presenza americana risale fino al 2018). “Nel periodo che ha preceduto l'invasione, avevamo anche team cyber sul posto. Abbiamo aiutato gli ucraini a fare una valutazione della loro infrastrutture, a rimuovere il malware, a eliminare le vulnerabilità e a prepararsi a quella che credevamo sarebbe stata una vera e propria invasione", ha commentato ancora pochi giorni fa il generale Charles "Tuna" Moore.
Le operazioni di hunt forward (condotte dagli americani anche in Croazia, Montenegro, Lituania, Macedonia del Nord) sono presentate dal Cyber Command come attività puramente difensive: di fatto il loro obiettivo è eliminare le attività cyber malevole avversarie individuate nelle reti di un Paese attraverso una ricerca (una “caccia”) attiva. Operazioni in realtà delicate, che infatti hanno prodotto alcune ripercussioni diplomatiche tra Francia e Stati Uniti, come evidenziato da un articolo di Le Monde di qualche tempo fa.
“La nebbia della cyber guerra”: dove si fondono cyberattacchi, disinfo, cybercrimine, hacktivisti, militari
A questi bilanci si aggiunge questa settimana anche un report di Google, che più che alle difesa ucraine guarda agli attaccanti. La conclusione ve la anticipo subito, dato che è anche un po’ scontata: che gli aggressori sostenuti dal governo russo continueranno a condurre attacchi informatici contro l'Ucraina e i partner della NATO per favorire gli obiettivi strategici russi.
Ma sono alcuni dettagli del report che ho trovato più interessanti. Il primo è un tuffo nell’analisi di alcuni di questi gruppi russi o filorussi, a partire da quello che Google chiama Frozenbarents (sulla caterva di nomi dati a questi gruppi, noti anche come APT, dai ricercatori e dalle aziende di sicurezza potremmo tranquillamente farci un calendario ormai, da quanti ce ne sono. Se lo fate, non voglio royalties ma almeno un giorno a me dedicato). Ad ogni modo Frozenbarents sarebbe quello che altri chiamano Sandworm (o Voodoo Bear, o Iridium), ovvero una unità del GRU (l’intelligence militare russa) che in passato è stata protagonista di colpi clamorosi, sia nel campo del cyberspionaggio che degli attacchi più “distruttivi”, come NotPetya nel 2017 partito proprio dall’Ucraina, o gli attacchi al settore energetico del Paese, senza dimenticare le incursioni per destabilizzare le elezioni francesi del 2017.
Perché è interessante, oltre ovviamente al suo pedigree? Perché, scrive Google, Frozenbarents sintetizza la sovrapposizione tra le diverse sfere dell'attività cyber, conducendo in concomitanza campagne di spionaggio, attacchi distruttivi alla rete, operazioni (dis)informative e “persino utilizzando servizi di "hack-for-hire" (comprando cioè il risultato di attacchi fatti da altri, ndr) per assicurarsi l'accesso iniziale ad alcuni obiettivi”.
Il gruppo ha preso di mira un produttore di droni turco, i cui sistemi erano utilizzati dall'Ucraina fin dalle prime settimane di guerra. Si tratta dei droni TB2, prodotti dall’azienda privata turca del settore della difesa Baykar, venduti a Kiev prima della guerra e celebrati sui media per il ruolo svolto a vantaggio delle forze armate ucraine (non senza imbarazzo per Ankara e le sue relazioni con Mosca). Anche se nel corso dell’anno sono poi scomparsi di scena e su questa scomparsa ci sono diverse teorie. Una è che dietro ci sia una leva diplomatica (della Russia sulla Turchia). L’altra è che i russi siano migliorati nella guerriglia elettronica (electronic warfare) e siano riusciti a neutralizare i droni, attraverso varie tecniche (jamming e interferenza nella trasmissione, secondo questo resoconto). Il report di Google sembra dare credito a questa seconda teoria (corroborata anche da alcuni esperti occidentali) ovvero che la Russia sia riuscita a “mettere fuori uso” (disabled) i droni turchi.
Altre campagne hanno preso di mira informazioni sensibili come le comunicazioni militari ucraine e i movimenti delle truppe. I ricercatori di Google hanno poi rilevato diverse campagne di furto di credenziali che avevano come obiettivo le infrastrutture critiche. Nel mirino del gruppo fornitori di energia ucraini, ma anche organizzazioni della logistica, inclusi i settori dello shipping e dei treni, in Ucraina e in altri Paesi europei. Insomma, Frozenbarents interessa perché è in grado di colpire là dove fa più male.
Invece a un altro gruppo, denominato Frozenlake, sempre riconducibile al GRU (e una vecchia conoscenza di questa newsletter e del mio libro #Cybercrime, visto che è noto come APT28 o Fancy Bear, ed è stato protagonista degli attacchi ai Democratici americani nel 2016) è affidato il compito di coordinarsi con i gruppi di hacktivisti filorussi, cui passare anche dei leak. Sull’autonomia di questi gruppi avevo scritto qua in newsletter, ma diciamo che secondo società come Mandiant (parte di Google) molti di questi hacktivisti sarebbero collegati ai militari russi attraverso il già citato APT28, ovvero Frozenlake.
Gli attacchi all’Italia dei gruppi russi
E così veniamo anche ai recenti attacchi da parte del gruppo russo NoName057 contro alcune istituzioni e aziende italiane che hanno conquistato TG e prime pagine. Si tratta di attacchi DDoS, che puntano a sovraccaricare le risorse di un sito e a mandarlo offline (o renderlo inagibile) per un certo periodo di tempo, quindi essenzialmente “dimostrativi”. Esattamente come era già avvenuto mesi fa con gli attacchi di un altro gruppo russo di presunti “hacktivisti”, Killnet, che avevano preso di mira alcuni siti italiani (ne avevo scritto qua).
La società di cybersicurezza Avast, che monitora il gruppo da mesi (gruppo che ha fatto attacchi simili in Ucraina, Polonia, Estonia, Lituania e Norvegia), a settembre scriveva che NoName057 “effettua esclusivamente attacchi DDoS”. Che “il gruppo ha una percentuale di successo del 40 per cento, e le aziende con infrastrutture ben protette possono resistere ai suoi tentativi di attacco”. Ad esempio, banche come la danese Danske Bank e la lituana SEB non avrebbero subito ripercussioni dagli attacchi. E infine che il 20 per cento dei successi rivendicati dal gruppo potrebbe non essere opera loro.
Dall’inizio della guerra in Russia sono nati diversi gruppi di questo genere: secondo alcuni ricercatori in alcuni casi ci sarebbe un evidente legame con l’intelligence, in altri non è chiaro. Come avevo scritto in precedenza, la modalità scelta da tali gruppi, quella hacktivista, che si articola in vari canali, anche aperti a chiunque, “ricalca da vicino non solo i vari collettivi di Anonymous ma anche l’IT Army ucraino. È la risposta russa, “non governativa" o presunta tale, a questi gruppi e alla loro capacità di attrazione, anche simbolica”.
Infatti, proprio in questi giorni, la società americana di cyber intelligence Recorded Future scrive: “Questi cosiddetti gruppi di hacktivisti sono assurti nella percezione pubblica a simbolo della "cyberguerra" in corso, parallela al conflitto (perché più visibili e mediatici, ndr), sebbene il loro impatto sia stato limitato”.
Dunque - aggiungo io - se il piano è quello simbolico e della (dis)informazione e pressione psicologica, la reazione di chi si difende non dovrebbe fare il gioco degli attaccanti.
Cybercriminalità in movimento
Infine, tornando al report di Google, si nota come l'invasione abbia innescato un notevole cambiamento nell'ecosistema criminale informatico dell'Europa orientale, che probabilmente avrà implicazioni a lungo termine sia per il coordinamento tra i gruppi criminali sia per la portata della criminalità informatica a livello mondiale. “Alcuni gruppi si sono divisi per motivi politici e geopolitici, mentre altri hanno perso operatori di spicco (...) Abbiamo anche assistito a una tendenza alla specializzazione nell'ecosistema del ransomware che mescola le tattiche dei vari attori, rendendo più difficile una attribuzione definitiva”.
Google ritiene anche che alcuni ex membri della gang cybercriminale russa Conti si siano messi a colpire l'Ucraina, con particolare attenzione al suo governo e alle organizzazioni umanitarie e no-profit europee (e al settore alberghiero).
Il report: Fog of War: How the Ukraine Conflict Transformed the Cyber Threat Landscape
Sul gruppo Conti il nostro articolo su Guerre di Rete: Startup malware: come lavorano le gang cybercriminali
CRIPTOVALUTE
Cosa resta di Bitcoin dopo l’annus horribilis
“Secondo uno studio PWC, il 38 per cento degli hedge fund oggi investe anche in criptovalute (rispetto al 21 per cento del 2021) ed esistono ormai oltre 300 “crypto hedge fund” specializzati in criptovalute. In entrambi i casi, è il Bitcoin a fare la parte del leone e a essere di gran lunga la principale criptovaluta su cui si riversano gli investimenti dei più importanti player globali”.
Dunque cosa significa per Bitcoin l’inverno cripto? Di fronte all’ennesima bolla scoppiata c’è chi pensa che i bitcoin possano ancora consolidarsi come l’oro digitale delle criptovalute. Andrea Daniele Signorelli fa il punto sul loro stato di salute sul nostro sito Guerre di Rete.
L’exchange italiano blocca l’operatività in attesa di chiarire
Intanto arrivano brutte notizie dal più noto e antico exchange italiano, The Rock Trading. Il 17 febbraio la piattaforma di cambiavalute ha fatto sapere di aver sospeso i prelievi per problemi di liquidità. «The Rock Trading comunica che si è reso necessario interrompere l’operatività della propria piattaforma (...) in ragione di difficoltà riscontrate nella gestione della liquidità. La società sta conducendo verifiche interne per individuare le cause del problema e valutando l’adozione di tutte le iniziative opportune o necessarie per tutelare la clientela e gli altri stakeholder”. Scrive Corriere: “Ma non tutto sembra perduto. Intanto, di buono c’è che il Cfo e co-fondatore, Andrea Medri, non è scomparso. Raggiunto telefonicamente, ha confermato le verifiche «approfondite» in corso d’opera e ha fatto sapere che «appena possibile arriveranno comunicazioni ufficiali». E la prima comunicazione è arrivata proprio oggi, con la società che ha comunicato di aver riaperto la piattaforma in modalità solo lettura. Gli utenti, quindi, potranno consultare il proprio saldo, la lista delle movimentazioni e scaricare i relativi report. E questo è un altro segnale di speranza”
La storia è in sviluppo.
INTERNET E LIBERTA’
Il Myanmar è una dittatura digitale
La repressione da parte della giunta militare passa anche attraverso il controllo delle comunicazioni e la sorveglianza. Partono le cause per accertare responsabilità di aziende occidentali e funzionari governativi che hanno concesso le licenze per l’export. La battaglia sulle tecnologie di sorveglianza si sposta anche in tribunale.
Ne scrive Eleonora Zocca su Guerre di Rete.
AI E LAVORO
Ora i doppiatori temono le voci sintetiche
Ai doppiatori viene chiesto sempre più spesso di cedere i diritti sulle loro voci in modo che i clienti possano utilizzare l'intelligenza artificiale per generare versioni sintetiche che possano eventualmente sostituirli, e spesso senza un compenso aggiuntivo. Questi obblighi contrattuali sono solo una delle tante preoccupazioni che gli attori nutrono nei confronti dell'ascesa dell'intelligenza artificiale che genera voci e che, a loro dire, rischia di lasciare senza lavoro interi segmenti dell'industria, scrive Motherboad.
Ne parlano più in dettaglio anche in una puntata del podcast CYBER (ing).
AI E CYBERCRIMINE
Tanto rumore per nulla?
L’esperto di cybersicurezza Marcus Hutchins (ricordate, quello che bloccò Wannacry) ridimensiona i timori sul rischio che ChatGPT possa mettere le ali al cybercrimine.
Tanto per cominciare, scrive, “quando si tratta di creare qualsiasi tipo di codice complesso, [ChatGPT] fa schifo. Più parametri si aggiungono, più diventa confuso”. E in generale, “sebbene a volte sia possibile far generare a ChatGPT un esempio molto rudimentale di un singolo componente malware, è ben lontana dall'essere in grado di creare un malware completamente funzionale”. Sulla creazione di mail di phishing, argomenta, non è necessario scomodare l’AI dato che è già molto semplice crearne in quantità. Restano le fabbriche di troll e gli scammer che devono conversare con le vittime, che potrebbero ottimizzare alcuni processi.
Ma è possibile che su questo tema si trovino anche autorevoli pareri discordanti (se li trovate in giro, segnalatemeli)
Malwaretech
SOCIAL MEDIA E SICUREZZA DEGLI UTENTI
Sicurezza e assistenza ora sono un premio per chi paga
Twitter Blue, il prodotto in abbonamento da circa 8 euro al mese del social nell’era Musk, dovrebbe racimolare circa 28 milioni di dollari all'anno, in base ai numeri attuali, ha stimato Mashable. In precedenza Twitter guadagnava oltre 5 miliardi di dollari all'anno, la maggior parte dei quali (oltre il 90%) veniva dalla pubblicità. Ma la metà dei principali inserzionisti di Twitter hanno ora smesso di fare pubblicità sulla piattaforma.
Sarà forse per questo che Musk ha deciso di mettere nel pacchetto a pagamento anche la possibilità di usare l’autenticazione a due fattori via SMS, togliendola a chi non paga (potete comunque passare gratuitamente all’autenticazione via app, che è pure più sicura; ma evidentemente con questa mossa si conta su un effetto traino verso gli abbonamenti, oltre che sul taglio dei costi).
Qualcosa di simile ha deciso di fare Meta nel momento in cui ha annunciato di voler mettere una serie di funzioni a pagamento, tra cui una maggior tutela contro il rischio di impersonificazione degli utenti e l’accesso diretto all’assistenza clienti.
Scrive a questo proposito Ed Zitron: “Chiudere dietro i paywall elementi come l'autenticazione a due fattori (Twitter) e l'"accesso al servizio clienti" (Facebook) è un tentativo di monetizzare la disperazione e la paura. È una tacita ammissione che queste aziende non credono di essere responsabili della sicurezza o dell'esperienza dell'utente, e che solo coloro che sono "monetizzabili" meritano di essere trattati con il rispetto che qualsiasi azienda normale riserverebbe a un cliente”. Che dire, sintesi perfetta. Cui aggiungerei solo, come hanno fatto altri, l’osservazione che tali scelte creeranno un sistema gerarchico in cui categorie e voci già svantaggiate o marginali rischiano di essere ulteriormente marginalizzate.
Scrive poi Martina Pennisi su Corriere: “Musk, lamentando il (suo) esborso per l’invio degli Sms, ha inserito nel pacchetto Twitter Blue (7,99 euro al mese) l’autenticazione a due fattori, che nel momento dell’accesso al profilo prevede l’inserimento da parte dell’utente di un codice ricevuto sullo smartphone, oltre alla password. Dal 20 marzo chi non è disposto a pagare potrà ancora affidarsi ad app che svolgono gratis la stessa funzione ma, come spiega il docente del Politecnico di Milano Stefano Zanero, «sono già in pochi a usare l’autenticazione a due fattori (il 2,6% dell’utenza, ndr), se gli togli quella via Sms (il 75% del 2,6%) sarà una percentuale piccolissima ad adottare un’altra soluzione meno immediata».
APPROFONDIMENTI
CRIMINALITA’ E CYBERCRIMINALITA’
Il procuratore antimafia Giovanni Melillo: "Tra mafie e mondo cyber, relazioni profonde” - Rosita Rijtano su La Via Libera
DISINFO
#Storykillers: la serie di inchieste del consorzio Forbidden Stories sull’industria della disinformazione.
Per l’Italia segue Irpimedia.
IL LIBRO
Fabio Chiusi, L’uomo che vuole risolvere il futuro. Critica ideologica di Elon Musk, Bollati Boringhieri
Caveat: Fabio è un amico. Abbiamo anche firmato articoli (e una copertina) assieme in passato. E quindi non mi stupisce che il suo libro sia esattamente su uno dei temi che avete trovato anche in newsletter: Musk e le ideologie di cui è portatore. In un tempo di tecnocratico “tradimento dei chierici”, Fabio è l’intellettuale che non abdica al suo ruolo e affronta la radice ideologica che alimenta un certo scintillante hype tech, cui a volte è difficile resistere. Leggetelo, anche se amate Musk alla follia. Soprattutto se amate Musk e quello che fa. Magari non vi convincerà, ma almeno vi resterà il piacere di poter argomentare in modo onesto, profondo e serio con uno come Fabio, che incarna queste qualità.
→ DIFFONDI LA NEWSLETTER
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! Promuovila sui social. O diventa un suo sostenitore facendo una donazione. La newsletter (che è fatta nel mio tempo libero) resta gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
Non sei ancora iscritto? Iscriviti qua, è gratuita.
—> SOCIAL E PODCAST DI GUERRE DI RETE
Guerre di Rete ora ha anche un sito di notizie, una pagina Facebook, un profilo Twitter, Linkedin e Instagram. Seguiteli! I podcast della newsletter li trovate sulle principali piattaforme ma attualmente sono in pausa (Apple Podcasts; Spotify; Google Podcast; Anchor.fm)