05 luglio 2017

Petya: prove di guerra cibernetica per la Russia?

A poche settimane da WannaCry, un altro ransomware sta colpendo migliaia di sistemi informatici. Petya, questo il nome del nuovo virus, nel corso dell’ultimo fine settimana è riuscito a diffondersi in maniera diversa rispetto al suo predecessore, attraverso l’apertura di mail infette, mandando nel panico un gran numero di aziende e operatori pubblici, mietendo vittime illustri come, ad esempio, il colosso francese della grande distribuzione Auchan.

Bersaglio principale del ransomware è stata, però, l’Ucraina, destinataria di circa l’80% degli attacchi di Petya. Non solo molte tra le principali aziende ucraine son state infettate e costrette a tenere chiusi i battenti per alcuni giorni, ma anche diversi punti chiave del settore pubblico si son ritrovati vittime del virus. Molti commentatori locali e internazionali hanno già definito Petya il più grande attacco informatico mai subito nella storia dell’Ucraina.

Il governo di Kiev non ha esitato a puntare il dito contro la Russia. Da anni l’Ucraina si trova in uno stato di tensione con il governo di Putin per via della situazione in Crimea, occupata nel 2014 dalla Russia a seguito di un referendum non riconosciuto da gran parte della comunità internazionale, e del conflitto tra l’esercito ucraino e i separatisti russofoni del Donbass, sostenuti da Mosca. Anton Gerashchenko, esponente del ministero dell’Interno ucraino, ha dichiarato che Petya costituisce l’ultima operazione della guerra “ibrida” che da anni la Russia combatte contro l’Ucraina (nel 2015 l’Ucraina subì un altro attacco hacker la cui responsabilità è stata attribuita alla Russia).

Il Cremlino ha subito smentito ogni responsabilità e a sostegno di questa posizione ha fatto notare che anche diverse compagnie russe sono state colpite. Eppure ci sono diverse caratteristiche peculiari in Petya, che lo rendono molto diverso da altri ransomware e, per certi versi, anomalo, e sebbene Petya condivida con WannaCry l’exploit EternalBlue rubato alla NSA (National Security Agency statunitense) un anno prima, le differenze tra i due ransomware sono notevoli.

Per cominciare, a differenza di WannaCry, Petya colpisce l’intero hard disk, e questo non solo rende molto più difficile l’eventuale opera di decriptaggio dei file una volta che sia avvenuto il pagamento, ma ne lascia comunque danneggiati alcuni. In altre parole, questo ransomware sembra sia stato utilizzato non tanto per accumulare denaro quanto per infliggere il maggior numero possibile di danni.

Un altro aspetto molto particolare di Petya è il suo diffondersi attraverso reti locali e non online come WannaCry. Questo conferisce all’infezione una dinamica squisitamente “locale”, molto diversa dagli ultimi grandi attacchi informatici i quali, grazie alla rete globale, hanno colpito ignorando qualsivoglia limite geografico. Il fatto che il virus si sia diffuso anche in altri Paesi, tra cui Francia, Danimarca e Italia (il nostro Paese è risultato essere il più colpito da Petya dopo l’Ucraina), è dovuto alla presenza di soggetti con forti legami con l’Ucraina e rimasti coinvolti dall’infezione, come, ad esempio, la multinazionale danese Maersk.

Altra constatazione che rafforza l’ipotesi che si tratti di un’operazione partita dalla Russia è che il codice di Petya si appoggia sulla struttura di software fiscali ucraini ed è proprio attraverso la gestione della fiscalità ucraina che il ransomware ha cominciato a propagarsi a pochi giorni da giovedì 29 giugno, Giornata della Costituzione in Ucraina. Una scelta di tempi forse non casuale, pensata come prova di forza nei confronti degli ucraini durante un momento simbolico della loro indipendenza. In ogni caso, a completare il quadro dei sospetti, c’è anche la morte in circostanze ambigue del colonello Maksim Shapoval, alto ufficiale dell’intelligence ucraina, ucciso da una bomba piazzata nella sua auto poche ore prima dell’attacco ransomware.

Ma in che modo la Russia può trarre vantaggio da attacchi hacker potenzialmente in grado di colpire anche compagnie nazionali?

Da diversi anni i servizi di intelligence di numerosi Paesi e alcuni istituti di ricerca sottolineano come la Russia si stia impegnando per fare delle azioni di cyber warfare una parte fondamentale di operazioni belliche più estese. Gli ultimi conflitti condotti dall’esercito russo, come la guerra in Georgia del 2008, hanno costituito per il cyber warfare russo un banco di prova molto importante per valutare la coordinazione tra gli attacchi hacker e le operazioni belliche “convenzionali”. Operazioni d’attacco informatico su grande scala, come in Estonia nel 2007 o in Ucraina da diversi anni, possono invece essere considerate come test in preparazione di un’azione militare via terra. Questa nuova forma di “guerra ibrida” sembra essere la risposta di Mosca ai conflitti fluidi, asimmetrici e spesso nemmeno dichiarati apertamente del XXI secolo.

Il compito principale di questi cyber attacchi, secondo gli alti comandi militari russi, sarebbe quello di paralizzare i sistemi informatici del Paese nemico, a cominciare da quelli governativi e militari, rendendolo così di fatto inerme di fronte alla successiva invasione via terra. Tuttavia, con l’avvento dell’internet delle cose e con sempre più oggetti connessi in rete, le possibilità offerte da un attacco hacker andato a buon fine si fanno sempre più ampie e, in tal senso, Petya può essere considerato un test utile per Mosca al fine di valutare le potenzialità di un’eventuale presa di controllo dei sistemi informatici di un Paese ostile. Ad esempio, oggi controllare una centrale per la produzione di energia non vuole dire solo accedere a informazioni sensibili ma anche prendere il controllo dei macchinari, acquisendo così la possibilità di farla saltare in aria. Il fatto che Petya annoveri tra le numerose vittime anche i sistemi informatici dell’ex centrale nucleare di Cernobyl getta un’ombra sinistra sul crescente potere distruttivo di un attacco hacker.

Un ulteriore aspetto interessante preso in considerazione dai vertici di Mosca riguarda la possibilità di applicare in ambito bellico un noto meccanismo di reazione sociale legato ai crimini dei “colletti bianchi”: questi reati sono sempre percepiti da parte dell’opinione pubblica come meno gravi rispetto ai crimini violenti sebbene i danni arrecati possano essere molto più ingenti. Già nel corso del secolo scorso molti eserciti hanno considerato l’uso massiccio del bombardamento aereo come azione non solo più efficace ma anche più accettabile da parte dell’opinione pubblica, in quanto non riconducibile a un atto di violenza fisica diretta. Gli attacchi informatici costituirebbero in tal senso un vero e proprio salto di qualità in quanto consentono di arrecare danni spaventosi al nemico senza sparare un colpo o lanciare alcuna bomba, rendendo quindi il conflitto più accettabile sia da parte della propria opinione pubblica, sia dalla comunità internazionale.

Il modo in cui la Russia riesca a trovare le forze per condurre questi attacchi è anch’esso oggetto di diversi studi. Al momento la struttura principale delle forze russe nel cyber warfare pare essere costituita da gruppi di hacker privati, che di solito agiscono secondo interessi personali. Il governo chiude più di un occhio sul loro operato, a patto che non ledano direttamente gli interessi di Mosca, e a volte, laddove ce ne fosse il bisogno, chiede a questi esperti del cybercrimine di condurre operazioni a suo favore. Questi “hacktivisti” lanciano quindi attacchi che si collocano sempre in una zona grigia tale da consentire al governo russo di tirarsi ufficialmente fuori da ogni responsabilità, pur garantendo loro la sicurezza necessaria per continuare ad agire indisturbati. Nel quadro degli stretti legami che in Russia sono rintracciabili tra ampi settori della politica, dell’imprenditoria e della criminalità il lavoro degli hacker si pone a cavallo tra l’attività criminale e il servizio allo Stato ed è perfettamente funzionale all’attuale struttura di potere russa.

Un secondo aspetto riguarda il fatto che il crollo dell’Unione Sovietica ha portato ad avere ancora una società fatta di cittadini istruiti ma privi di valide prospettive lavorative. Un piccolo esercito di esperti di informatica si è reso quindi disponibile per il governo o la malavita (o come accade spesso, per entrambi), a poco prezzo. E ancora oggi, con la crisi economica che colpisce la Russia, sempre più giovani leve vedono nell’hackeraggio la strada migliore per guadagnare denaro e porsi al contempo sotto l’ala protettrice del governo.

La realpolitik di Putin, volta a riprendere il controllo dei territori europei persi con il crollo dell’Unione Sovietica, fa poi il resto, e mentre UE e Stati Uniti si concentrano, o almeno devono dimostrare di concentrarsi, esclusivamente sul lato difensivo del cyber warfare, la Russia affina sempre di più le proprie tattiche di cyber warfare offensivo. Una prospettiva che, paradossalmente, potrebbe presto mettere le forze della NATO, da sempre considerate tecnologicamente più avanzate di quelle russe, in una situazione di svantaggio visto che il nuovo paradigma della competizione bellica sembra sempre di più essere proprio il cyber warfare. Un rischio che l’Alleanza Atlantica ha già preso in seria considerazione, tanto che proprio in occasione dell’irrompere di Petya il centro d’eccellenza per la sicurezza informatica della NATO ha dichiarato che un violento attacco informatico potrebbe rientrare nei parametri di applicazione dell’Articolo 5 del Trattato, che considera un atto di aggressione contro uno degli Stati membri come un attacco a tutti i Paesi aderenti all’Alleanza.