focus

Ucraina-Russia, la guerra che non si vede: l’offensiva cyber e la risposta degli hacker in aiuto di Kiev

 

La cyberwarfare raccontata giorno per giorno dagli analisti del SOC di Chieti: dalle prime azioni contro 50 sedi governative ucraine alla risposta di Anonymous e di altri collettivi a sostegno del governo di Zelensky. Aldo Sebastiani: “Leonardo è impegnata nella protezione di numerose organizzazioni critiche in Italia e non solo”

 

Il conflitto tra Russia e Ucraina si combatte anche dietro le quinte del Web. Le reti cibernetiche sono in questi giorni il teatro di un’altra guerra, in cui si confrontano collettivi hacker, specialisti dei servizi segreti e strutture di difesa degli Stati coinvolti. Governi, ministeri, banche, industrie, media statali, gli obiettivi sono numerosi così come le tracce affioranti sui social networks dello scontro in atto. 
Gli analisti del SOC di Chieti, dove si concentrano le attività di cyber security del gruppo Leonardo, stanno monitorando in questi giorni l’enorme quantità di azioni in corso riconducibili al conflitto tra Russia e Ucraina. Se da mesi si registrano incursioni di attori informatici presumibilmente riconducibili al Cremlino, da quando Putin ha ordinato l’attacco “fisico”, nell’agone digitale sono scesi al fianco dell’Ucraina anche collettivi hacker e hacktivist. L’obiettivo in questo caso sono siti, media e infrastrutture critiche russe nonché di Paesi a loro vicini.
L’ultima segnalazione risale alle 13:19 del primo marzo e riguarda il gruppo “YourAnonNewsIT”, che su Twitter ha affermato di essere in possesso di decine di migliaia di password russe, non specificando ancora le realtà interessate.

 

Ma si tratta soltanto dell’ultimo di una lunga serie di segnali presi in considerazione degli analisti di Chieti. “Leonardo è impegnata nella protezione di numerose organizzazioni critiche in Italia e non solo – spiega Aldo Sebastiani, direttore del SOC di Chieti –. L’attuale crisi ucraina dimostra che è quanto mai importante in questa fase storica potersi dotare di presidi di sicurezza cibernetica. La cybersecurity è un tema multidisciplinare basato sulla cooperazione e questa guerra dimostra come sempre di più si abbia bisogno di figure professionali che abbiano una visione complessiva di geopolitica, tecnologia, diritto e governance dei processi“.

Le prime avvisaglie della crisi poi deflagrata lo scorso 24 febbraio risalgono alla prima metà del mese di gennaio. La guerra ibrida è cominciata almeno 45 giorni prima di quella fisica.  “Attacchi DDoS e di defacement hanno avuto come target infrastrutture critiche, entità governative e finanziare presenti sul suolo ucraino”, si legge nel report "Evoluzione stato della minaccia russo-ucraina", curato dal SOC. Alla vigilia dell’offensiva militare si è poi registrato un aumento dell’aggressività anche sul fronte cyber costituendo un escalation di attacchi: “Attività distruttive collegate ad operazioni di sabotaggio sono iniziate a partire dal 23 febbraio 2022, attraverso la diffusione di un wiper. Questo tipo di malware ha l’obiettivo principale di eliminare tutti i dati presenti sulle memorie dei dispositivi target”, si legge sempre nel report. 

23/02/2022 ore 16

La cyber war ha anticipato le prime incursioni aeree, avvenute all’alba del 24 febbraio, con un attacco informatico di tipo DDoS (Distributed Denial-of-Service), ai danni dei portali web di alcuni organi del governo ucraino. In particolare, i bersagli sono stati il Parlamento Nazionale Unicamerale Verkhovna Rada, il Consiglio dei Ministri e il Ministro degli Affari Esteri ucraini. Complessivamente sarebbero circa 50 i siti governativi coinvolti.

24/02/2022

L’arma cyber usata contro l’Ucraina è il malware noto come Hermetic wiper, rilevato a seguito di alcuni incidenti che hanno coinvolto siti web e banche del governo ucraino. Nel frattempo, mentre le forze russe varcavano i confini ucraini, sono stati identificati ulteriori attacchi che hanno causato una mancata raggiungibilità dei portali web del Ministero degli Affari Esteri, del Gabinetto dei Ministri, di Rada e del parlamento. 
Nella stessa giornata, il National Cyber Security Center del Regno Unito (NCSC), congiuntamente con il CISA, FBI e NSA, ha rilevato un nuovo malware, denominato Cyclops Blink, associato al Threat Actor russo conosciuto come Sandworm (alias Voodoo Bear). Anche se al momento non vi sono collegamenti diretti della minaccia Cyclops Blink all’attuale crisi fra Russia e Ucraina, non si esclude che la stessa possa, in futuro, essere utilizzata per condurre attacchi mirati verso infrastrutture critiche e non presenti sul territorio ucraino. 

25/02/2022, ore 10

Il celebre collettivo Anonymous, attraverso il proprio profilo Twitter, si è schierato ufficialmente a fianco dell’Ucraina. Il collettivo sta seguendo in presa diretta l’evolversi del conflitto, pubblicando alcuni post dove dichiara di aver colpito diversi portali governativi e provider ISP russi, che al momento risultano essere non raggiungibili.

25/02/2022 ore 15:20

Sono state rilevate attività di e-mail phishing ai danni di account privati “i.ua” e “meta.ua”, appartenenti al personale militare e cittadini ucraini, da parte del gruppo ‘UNC1151’. Quest’ultimo, collegato al governo bielorusso e coinvolto nella campagna conosciuta come Ghostwriter, da marzo 2017 conduce campagne di disinformazione allineate agli interessi russi. In passato le operazioni hanno avuto come target principali Lituania, Lettonia e Polonia, con critiche sulla presenza della NATO nell'Est Europa.  

26/02/2022 ore 10:56

Un profilo Twitter riconducibile alla galassia Anonymous afferma di aver violato ed esfiltrato circa 200 GB di e-mail dal produttore di armi bielorusso Tetraedr, che a detta del collettivo ha fornito supporto logistico all’invasione della Russia sul suolo ucraino.

26/02/2022 ore 16:10

È stato rilevato un tweet che riporta la notizia di un attacco DDoS effettuato ai danni del portale dell’Agenzia spaziale russa Roscosmos. L’attacco sarebbe stato lanciato dalla città di Leopoli, in Ucraina, tramite una rete di bot situati su server localizzati in differenti parti del mondo. Al momento, il sito risulta nuovamente raggiungibile.

26/02/2022 ore 17:30

Le metriche di NetBlocks confermano la restrizione di Twitter in Russia. L’accesso alla piattaforma e ai server back-end è limitato alle principali reti tra cui Rostelecom, MTS, Beeline e MegaFon a partire dalle 9:00 di sabato 26 febbraio

26/02/2022 ore 18:30

Secondo l'informativa condivisa dal CERT-UA, l'azienda Proofpoint ha individuato una campagna di phishing contro account del personale militare ucraino relativi al dominio ukr[.]net e veicolata tramite un documento excel malevolo contenente una macro vba.

27/02/2022 ore 09:30

Il vice Primo Ministro ucraino, Mykhailo Fedorov ha pubblicato un messaggio su Twitter dove afferma che l’Ucraina sta creando un esercito cyber per fronteggiare il conflitto anche in tale dominio.

27/02/2022 ore 16:00

È stata pubblicata una lista, in continuo aggiornamento, dei Threat Actor attualmente coinvolti nello scontro in atto fra Russia e Ucraina. Tra le informazioni sono riportate anche la Nazione supportata e le modalità di attacco utilizzate fino ad ora osservate.

28/02/2022 ore 9:15

Anonymous, tramite il suo profilo Twitter, ha comunicato di aver colpito il sito del ministero della difesa bielorusso.

 

Against The West, inoltre, ha pubblicato un tweet dove informa che Anonymous sta collaborando con loro, colpendo industrie russe operanti nel settore dei trasporti. In particolare è stato messo offline il portale del servizio traghetti Yakutiya.