SETTORE 2022 — Toronto — I primi colpi nella guerra informatica tra Russia e Ucraina sono stati sparati virtualmente il 23 febbraio, quando sono stati lanciati attacchi distruttivi contro le organizzazioni il giorno prima che le truppe militari russe entrassero in Ucraina. Microsoft era figurativamente “lì”, osservando gli sviluppi – e i suoi ricercatori si sono subito preoccupati.
Il colosso della tecnologia aveva sensori preposizionati all’interno di varie reti pubbliche e private nel paese, installati insieme alle squadre di recupero incidenti ucraine sulla scia di precedenti attacchi informatici. Erano ancora funzionanti e hanno raccolto un’ampia gamma di attività preoccupanti, a valanga, mentre l’esercito russo si ammassava al confine.
“Abbiamo visto attacchi contro almeno 200 diversi sistemi governativi iniziare a verificarsi in diverse aree rilevate in Ucraina”, ha affermato John Hewie, responsabile della sicurezza nazionale presso Microsoft Canada, salendo sul palco del SecTor 2022 questa settimana a Toronto, in una sessione intitolata “Difendere l'Ucraina: le prime lezioni dalla guerra informatica. "
Ha aggiunto: “Avevamo già stabilito una linea di comunicazione con alti funzionari ucraini del governo e anche delle organizzazioni in Ucraina – e siamo stati in grado di condividere avanti e indietro informazioni sulle minacce”.
Ciò che è emerso inizialmente da tutte queste informazioni è che l’ondata di attacchi informatici aveva preso di mira le agenzie governative, prima di passare al settore finanziario, poi al settore IT, prima di concentrarsi specificamente sui data center e sulle società IT che supportano le agenzie governative nel paese. Ma quello era solo l'inizio.
Guerra informatica: minaccia di danni fisici
Con il proseguire della guerra, il quadro informatico peggiorò, perché le infrastrutture e i sistemi critici venivano utilizzati per sostenere lo sforzo bellico finito nel mirino.
Poco dopo l’inizio dell’invasione fisica, Microsoft ha scoperto di essere in grado di correlare anche gli attacchi informatici nel settore delle infrastrutture critiche con gli eventi cinetici. Ad esempio, mentre la campagna russa si spostava nella regione del Donbass a marzo, i ricercatori hanno osservato attacchi coordinati contro i sistemi logistici di trasporto utilizzati per il movimento militare e la consegna di aiuti umanitari.
E prendere di mira gli impianti nucleari in Ucraina con attività informatiche per indebolire un obiettivo prima delle incursioni militari è qualcosa che i ricercatori Microsoft hanno osservato costantemente durante la guerra.
"C'era questa aspettativa che avremmo avuto un grande evento simile a NotPetya che si sarebbe diffuso nel resto del mondo, ma ciò non è accaduto", ha osservato Hewie. Invece, gli attacchi sono stati molto personalizzati e mirati alle organizzazioni in modo da limitarne la portata e la portata, ad esempio utilizzando account privilegiati e criteri di gruppo per distribuire il malware.
“Stiamo ancora imparando e stiamo cercando di condividere alcune informazioni sulla portata e la portata delle operazioni che sono state coinvolte e su come stanno sfruttando il digitale in modi significativi e preoccupanti”, ha affermato.
Una cornucopia di APT pericolosi sul campo
Microsoft ha costantemente riferito ciò che ha visto nel conflitto Russia-Ucraina, soprattutto perché i suoi ricercatori ritenevano che “gli attacchi che stavano avvenendo lì erano ampiamente sottostimati”, ha detto Hewie.
Ha aggiunto che molti dei giocatori che prendono di mira l’Ucraina sono note minacce avanzate persistenti (APT) sponsorizzate dalla Russia che si sono rivelate estremamente pericolose, sia dal punto di vista dello spionaggio sia in termini di distruzione fisica delle risorse, che lui definisce una serie di capacità “spaventose”.
“Lo stronzio, per esempio, era responsabile il DNC attacca nel 2016; li conosciamo bene in termini di phishing e furto di account – e lo abbiamo fatto attività di disturbo alle loro infrastrutture”, ha spiegato. "Poi c'è l'Iridium, alias Sandworm, che è l'entità attribuita ad alcuni dei precedenti attacchi [Black Energy] contro rete elettrica in Ucraina, e sono anche responsabili di NotPetya. Si tratta di un attore molto sofisticato in realtà specializzato nel prendere di mira i sistemi di controllo industriale”.
Tra gli altri, ha denunciato anche Nobelium, l'APT responsabile dell' Attacco alla catena di fornitura portato da SolarWinds. “Sono stati impegnati in un bel po’ di spionaggio non solo contro l’Ucraina, ma anche contro le democrazie occidentali che sostengono l’Ucraina nel corso di quest’anno”, ha detto Hewie.
Conclusioni politiche del cyber-conflitto russo-ucraino
I ricercatori non hanno un’ipotesi sul perché gli attacchi siano rimasti così limitati, ma Hewie ha osservato che le ramificazioni politiche della situazione dovrebbero essere viste come molto, molto ampie. Ancora più importante, è chiaro che è imperativo stabilire norme per il cyber-engagement in futuro.
Ciò dovrebbe prendere forma in tre aree distinte, a partire da una “Convenzione di Ginevra digitale”, ha affermato: “Il mondo si è sviluppato attorno a norme per le armi chimiche e le mine terrestri, e dovremmo applicarle al comportamento appropriato nel cyberspazio da parte degli attori degli stati-nazione. .”
Il secondo elemento di questo sforzo consiste nell’armonizzare le leggi sulla criminalità informatica – o nel sostenere che i paesi sviluppino in primo luogo leggi sulla criminalità informatica. “In questo modo, ci sono meno porti sicuri in cui queste organizzazioni criminali possono operare impunemente”, spiega.
In terzo luogo, e più in generale, la difesa della democrazia e del processo di voto nei paesi democratici ha importanti implicazioni per il cyber, perché consente ai difensori di avere accesso a strumenti, risorse e informazioni adeguati per contrastare le minacce.
“Abbiamo visto Microsoft effettuare attive operazioni informatiche, con il sostegno di controversie civili creative, con la collaborazione delle forze dell’ordine e di molti esponenti della comunità della sicurezza – cose come Trickbot or Emotet e altri tipi di attività di disturbo”, secondo Hewie, tutte rese possibili perché i governi democratici non tengono nascoste le informazioni. "Questo è il quadro più ampio."
Un altro aspetto da tenere presente è dal lato della difesa; la migrazione al cloud dovrebbe iniziare a essere vista come un elemento fondamentale per la difesa delle infrastrutture critiche durante la guerra cinetica. Hewie ha sottolineato che la difesa ucraina è complicata dal fatto che la maggior parte dell’infrastruttura è gestita on-premise, non nel cloud.
"E quindi, anche se sono probabilmente uno dei migliori paesi in termini di difesa dagli attacchi russi per un certo numero di anni, stanno ancora facendo le cose per lo più sul posto, quindi è come un combattimento corpo a corpo," Ha detto Hewie. "È piuttosto impegnativo."
