Secondo Mandiant è reale la possibilità che se la situazione della crisi Ucraina dovesse peggiorare assisteremo ad un aumento delle attività informatiche più aggressive. Infatti la crisi in Ucraina ha già dimostrato di essere un catalizzatore per ulteriori attività informatiche aggressive che aumenteranno nei numeri con il peggiorare della situazione. Mandiant ha rilevato in anticipo questa attività. Reale la possibilità che la futura attività non sia limitata a obiettivi ucraini o al solo settore pubblico.
Lo scopo dell’attività
La Russia e i suoi alleati condurranno attività di spionaggio informatico, operazioni di disinformazione e attacchi informatici distruttivi durante la durata di questa crisi. Lo spionaggio informatico ormai si osserva comunemente a livello globale. Però con il deteriorarsi della situazione ucraina, è probabile che si osserveranno operazioni di disinformazione più aggressive e attacchi informatici distruttivi all’interno e all’esterno dell’Ucraina.
La crisi in Ucraina e l’aumento delle cyberattività aggressive
Gli aggressori russi che effettuano attività di spionaggio informatico, come UNC2452, Turla e APT28, sono legati ai servizi segreti russi. Quasi certamente hanno già ricevuto il compito di fornire informazioni sulla crisi. Questi gruppi colpiscono spesso obiettivi governativi, militari e diplomatici in tutto il mondo, per ottenere informazioni a vantaggio del processo decisionale della politica estera russa. La Russia sfrutta diversi gruppi di spionaggio informatico, come TEMP.Armageddon (UNC530), che operano dai territori occupati in Crimea e dall’Ucraina orientale.
Le operazioni di disinformazione
In particolare, un funzionario ucraino ha attribuito i recenti defacement dei siti web del governo ucraino a UNC1151 (un aggressore che Mandiant ha collegato alla Bielorussia), anche se Mandiant non ha ancora la possibilità di confermare l’attribuzione fatta dal funzionario. In precedenza, Mandiant ha rilevato attività simili condotte da aggressori legati al GRU, Sandworm Team e APT28.
Mandiant monitora la crisi in Ucraina
Gli attacchi informatici dirompenti e distruttivi possiedono una minor frequenza rispetto allo spionaggio informatico e ad altre forme di attività di disinformazione. Sandworm Team è la principale fonte di attacco informatico da parte della Russia, avendo condotto attacchi complessi che hanno causato interruzioni di elettricità in Ucraina. Nonché l’attacco distruttivo con l’impatto economico più elevato della storia: NotPetya. Un altro aggressore, che Mandiant ha denominato TEMP. Isotope, possiede una lunga storia di compromissioni delle infrastrutture critiche negli Stati Uniti e in Europa.