Kaspersky ha preso in esame le attività del cyberspazio relative alla crisi ucraina, osservandone anche l’impatto nel settore della cybersecurity. Questo report fa parte del Kaspersky Security Bulletin (KSB), serie annuale di previsioni e report analitici sui principali cambiamenti nel mondo della cybersecurity.
Alcuni eventi informatici significativi
Il 2022 è stato segnato da un conflitto militare in stile XX secolo, che ha comportato incertezza e il rischio di dilagare nel continente. Una più ampia analisi geopolitica del conflitto in Ucraina e delle sue conseguenze è lasciata agli esperti. Tuttavia si sono verificati alcuni eventi informatici che si sono rivelati molto significativi. La storia dell’anno, preparata dai ricercatori di Kaspersky, segue ogni fase del conflitto armato in Ucraina, gli eventi che si sono verificati nel cyberspazio e la loro correlazione con le operazioni sul campo.
I primi attacchi IT: crisi ucraina e cybersecurity
Nei giorni e nelle settimane precedenti al conflitto militare sono stati osservati segnali e incrementi significativi di guerra informatica. Il 24 febbraio 2022 si è verificata una massiccia ondata di attacchi pseudo-ransomware e wiper che hanno colpito indiscriminatamente le organizzazioni ucraine.
Alcuni erano altamente sofisticati. Tuttavia gli attacchi wiper e ransomware si sono rapidamente ridotti dopo l’ondata iniziale, con un numero limitato di incidenti degni di nota. I gruppi spinti da motivazioni ideologiche che si sono manifestati durante l’ondata iniziale di attacchi sembrano ora inattivi.
Un cyberevento
Il 24 febbraio gli europei che si affidano al satellite di proprietà di ViaSat hanno dovuto affrontare gravi interruzioni dell’accesso a Internet. Questo “cyber evento” è iniziato verso le 16 UTC. Ovvero meno di 2 ore dopo che la Federazione Russa aveva annunciato l’inizio di una “operazione militare speciale” in Ucraina. Il sabotaggio di ViaSat dimostra che i cyberattacchi sono un elemento base per i moderni conflitti armati e possono contribuire direttamente alle fasi principali delle operazioni militari.
Con l’evolversi del conflitto, non vi sono prove che gli attacchi IT facciano parte di azioni militari coordinate da entrambe le parti. Tuttavia, sono emerse alcune caratteristiche principali che hanno definito lo scontro informatico nel 2022:
Hacktivisti e attacchi DDoS
Il conflitto in Ucraina ha creato terreno fertile per nuove attività di guerra informatica da parte di vari gruppi. Tra questi anche criminali informatici e hacktivisti, che si affrettano a sostenere la loro causa. Alcuni gruppi, come l’IT Army of Ukraine o Killnet, sono stati ufficialmente sostenuti dai governi e i loro canali Telegram contano centinaia di migliaia di iscritti.
Mentre gli attacchi eseguiti dagli hacktivisti avevano una complessità relativamente bassa, gli esperti hanno assistito a un aumento dell’attività DDoS durante il periodo estivo. E questo sia per quanto riguarda il numero di attacchi che la loro durata. Infatti nel 2022, un attacco DDoS medio è durato 18,5 ore, quasi 40 volte di più rispetto al 2021 (circa 28 minuti).
La tipologia di attacco
- Hack and leak: gli attacchi più sofisticati hanno cercato di dirottare l’attenzione dei media con operazioni hack-and-leak e sono aumentati dall’inizio del conflitto. Tali attacchi prevedono la violazione di un’azienda e la pubblicazione dei suoi dati interni online, spesso tramite un sito web dedicato. Si tratta di un’operazione molto più difficile di un semplice defacing, poiché non tutte le macchine contengono dati interni che vale la pena divulgare.
Crisi ucraina e cybersecurity: il report 2022 di Kaspersky
- Repository open source contaminate, software open source come armi. Mano a mano che il conflitto si estende, i pacchetti open source più diffusi possono essere utilizzati come piattaforma di protesta o di attacco da parte di sviluppatori o hacker. L’impatto di questi attacchi può estendersi oltre il software open source stesso, propagandosi in altri pacchetti che si affidano automaticamente al codice manipolato.
L’ipotetico apice di una “guerra cibernetica
Costin Raiu, Director of Global Research & Analysis Team di Kaspersky
A partire dal 24 febbraio, ci siamo chiesti se il cyberspazio sia un vero riflesso del conflitto in Ucraina. Oppure se rappresenti l’apice di una vera e propria “guerra cibernetica” moderna. Ripercorrendo gli eventi che hanno seguito le operazioni militari nel cyberspazio, abbiamo contestato l’assenza del coordinamento tra mezzi cibernetici e cinetici, E questo ha declassato per molti versi la cyber-offesa a un ruolo subordinato. Gli attacchi ransomware osservati nelle prime settimane del conflitto si qualificano al massimo come distrazioni.