Russia vs Ucraina: effetti e misure organizzative della guerra cibernetica

La guerra tra Russia e Ucraina è una guerra nuova, insolita e diversa, perché non si sta combattendo soltanto nel mondo reale, ma anche nel mondo virtuale – nello spazio Cyber, il nuovo terreno di scontro decretato dalla NATO come quinto dominio di guerra dopo aria, terra, mare e spazio.

I recenti attacchi informatici che hanno colpito l’Ucraina, in un contesto di crescenti tensioni geopolitiche, hanno dimostrato l’importanza della dimensione cibernetica nei conflitti contemporanei. Le possibili ricadute di tali attacchi informatici sulle reti europee evidenzia al contempo la necessità che l’UE elabori un piano ambizioso e completo per la propria sicurezza cyber.

La frizione tra Russia e Ucraina non è un fatto recente, ma viene da una lunga storia di confronto geopolitico, storia che ad oggi vede un riemergere di forti tensioni su più fronti, compreso quello cyber, o anche riferito in termine di “CyberWarfare”.

Più volte l’Ucraina è stata oggetto di attacchi cyber presumibilmente provenienti dalla Russia, fortemente sospettata di esserne la mandante (si pensi, ad esempio, alle elezioni presidenziali del 2014, ai ripetuti attacchi nei confronti dell’infrastruttura elettrica del Paese e al Ransomware NotPeya del 2017), e risale allo scorso gennaio l’ultima potente azione offensiva che ha comportato il blocco dei sistemi informativi dell’ex Paese sovietico.

Attraverso l’analisi di SEFIN e grazie al contributo di Marco Losa, Responsabile del Dipartimento Sistemi Informativi, e Mark Barlow, collaboratore in ICT Security, capiamo come il conflitto Russia- Ucraina al di là delle conseguenze sociali e politiche, abbia generato degli effetti sulla sicurezza informatica.

Quali sono esempi reali di CyberWarfare, sia offensivi che difensivi, in questo conflitto?

I tipi di attacchi più diffusi di questa nuova arma di guerra sono:

• Phishing: truffe informatiche effettuate inviando un’e-mail o su internet in cui si invita il destinatario a fornire dati critici o riservati (password, carta di credito, ecc.), motivando tale richiesta con ragioni di ordine tecnico;
• Malware: (contrazione dell’inglese “malicious software”, ossia software dannoso) la diffusione di software dannosi che cercano di invadere, danneggiare o disattivare computer, sistemi, reti, tablet e dispositivi mobili, spesso assumendo il controllo parziale delle operazioni del dispositivo;
• Attacchi DDoS: un attacco di tipo Distributed Denial of Service (DDoS) è un’arma di sicurezza informatica che mira a interrompere le attività aziendali o estorcere denaro alle organizzazioni prese di mira.

Nel mese di febbraio 2022 si è verificata l’interruzione di decine di migliaia di modem a banda larga consumer Viasat in tutta l’Europa centrale quando la Russia ha invaso l’Ucraina, probabilmente coinvolgendo un malware tergicristallo chiamato “AcidRain”. Viasat ha poi affermato che quei risultati sono “coerenti” con i fatti noti dell’attacco.

Gli ucraini hanno lavorato per combattere gli attacchi DDoS, affrontando migliaia di attacchi di questo tipo dallo scoppio della guerra, incluso un record di quasi 300 in un giorno, e con il più potente degli attacchi DDoS al suo apice ha superato i 100 Gbps.

In un atto di difesa, il gigante della tecnologia Microsoft afferma di aver preso il controllo di sette domini che appartenevano al gruppo di minacce russo Strontium, collegato al GRU e sponsorizzato dallo stato. Il gruppo, noto anche come APT28 e Fancy Bear, ha utilizzato i domini per prendere di mira le istituzioni ucraine, come le sue organizzazioni dei media, e aveva anche enti governativi e decisori statunitensi e dell’Unione europea sul suo radar. Poi, la polizia tedesca ha affermato di aver chiuso il mercato darknet russo Hydra, noto per offrire carte di credito e SIM rubate, accesso VPN e servizi di riciclaggio di criptovaluta. La polizia ha anche sequestrato 543 bitcoin, per un valore di circa 25 milioni di dollari.

Italia è a rischio in questa situazione?

Affermativo. I rischi per Italia sono aumentati a causa del conflitto e della situazione attuale.  Infatti, una recente pubblicazione del bollettino di sicurezza dello CSIRT (Computer Security Incident Response Team) ha indirizzato a tutti gli operatori di infrastrutture digitali nazionali in cui si raccomanda di adottare una postura di massima difesa cibernetica in considerazione soprattutto del fatto che lo spazio digitale per definizione non presenta confini ben delineati.

A causa dell’aumentare dei rischi connessi alle attività malevoli in corso nel cyberspazio ucraino, le misure di protezione che dovrebbero essere adottate in via prioritaria comprendono diversi ambiti:

• riduzione della superficie di attacco interna ed esterna;
• controllo stringente degli accessi ai sistemi/servizi;
• monitoraggio dei log, del traffico di rete e delle attività effettuate dagli account di amministrazione;
• organizzazione interna per la preparazione e gestione delle crisi cibernetiche;
• pianificazione della revisione delle proprie infrastrutture ICT in ottica “Zero Trust”;
• sostenere l’infosharing interno ed esterno.

Tutte le organizzazioni sono state quindi invitate ad analizzare la propria struttura organizzativa verificando in primis l’adeguatezza del proprio piano interno di gestione di un incidente informatico d’impatto elevato.

Per fare ciò, è opportuno revisionare l’Incident response plan, il Disaster recovery plan e il Business continuity plan secondo un approccio Zero Trust in modo da innalzare il grado di resilienza di tutte le infrastrutture ICT, con modelli che superino il concetto di perimetro di rete sicuro ed affidabile, prevedendo autorizzazioni e autenticazioni di ogni singolo accesso ai servizi tecnologici, l’isolamento delle componenti di rete e riducendo il livello di esposizione esterno all’essenziale.

Ponendo sempre particolare attenzione nel rilevamento rapido di anomalie riscontrate nei sistemi di gestione e di networking interni (sistemi di gestione delle patch, di asset management, di gestione remota, di sicurezza, di logging, backup, file sharing e storage) per proteggersi da attività malevole provenienti dall’esterno del perimetro delle reti aziendali, gli esperti dello CSIRT raccomandano di puntare i riflettori del controllo sui possibili punti di accesso potenziali vettori per il rilascio di codice malevolo, come, per esempio, le piattaforme di comunicazione pubbliche e le vulnerabilità note.

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha segnalato che la crisi in Ucraina aumenta “i rischi cibernetici ai quali sono esposte le imprese italiane che intrattengono rapporti con operatori situati in territorio ucraino, derivanti da possibili danni a obiettivi digitali di quel Paese” e ha invitato i soggetti potenzialmente implicati a innalzare i livelli di cyber security delle proprie infrastrutture digitali.

Tali impatti potrebbero derivare dalla natura interconnessa della rete Internet, in quanto azioni malevole, indirizzate verso una parte di essa, possono estendersi ad infrastrutture contigue come dimostrano precedenti infezioni con impatto globale quali ad esempio NotPetya e WannaCry”.

Dunque, l’ACN consiglia vivamente a tutti i soggetti nazionali interessati di adottare, in via prioritaria e in aggiunta alle pratiche in materia di cyber security già regolamentate e vigenti sul territorio italiano, nuove azioni di mitigazione del rischio informativo, distinguendole in: “misure organizzative/procedurali” e “misure tecniche”.

Quali sono le misure organizzative/procedurali da adottare?

Come riportato sul sito ufficiale di CSIRT-Italia, le “misure organizzative/procedurali” da adottare da parte dei soggetti implicati sono le seguenti:

1. verifica della consistenza e disponibilità offline dei backup necessari al rispristino in particolare dei servizi di core business;
2. identificazione dei flussi informativi e delle componenti direttamente interconnesse con partner e/o localizzate presso reti ucraine;
3. implementazione di una zona demilitarizzata (demilitarized zone – DMZ) per le connettività Business-to-Business (B2B);
4. identificazione degli asset critici per lo svolgimento delle principali attività (e.g. processi di business);
5. applicazione del principio di privilegio minimo (least privilege) per i sistemi con relazioni di trust e/o con la possibilità di accesso da remoto;
6. incremento delle attività di monitoraggio e logging;
7. aggiornamento dei piani di gestione degli incidenti cyber in base alle eventuali modifiche architetturali introdotte;
8. creazione, aggiornamento, mantenimento ed esercizio periodico di capacità di incident response, di un piano di continuità operativa e resilienza in caso di perdita di accesso o controllo di un ambiente informatico (IT) e/o operativo (OT);
9. designazione di un team di risposta alle crisi con i principali punti di contatto, ruoli/responsabilità all’interno dell’organizzazione, inclusi tecnologia, comunicazioni, legal e continuità aziendale;
10. assicurare la disponibilità del personale chiave, identificare i mezzi necessari a fornire un supporto immediato per la risposta agli incidenti;
11. esercitare il personale nella risposta agli incidenti informatici assicurandosi che tutti i partecipanti comprendano i loro ruoli e compiti specifici;
12. prestare particolare attenzione alla protezione degli ambienti cloud prima di trasferire file rilevanti per le attività della propria organizzazione. Inoltre, si raccomanda di utilizzare i controlli di sicurezza resi disponibili dalle piattaforme cloud;
13. incrementare le attività di info-sharing con le strutture di sicurezza informatica con particolare riferimento al CSIRT-Italia.

E le misure tecniche?

Per ridurre il rischio di esposizione ad attacchi cyber conseguenti alla guerra ibrida in atto tra Russia e Ucraina, l’Agenzia per la Cybersicurezza Nazionale ha consigliato alle aziende di adottare, oltre alle misure organizzative e procedurali appena viste, anche le seguenti “misure tecniche”:

• priorità delle attività di patching dei sistemi internet-facing;
• verifica delle interconnessioni tra la rete IT e le reti OT, prediligendo la massima segregazione possibile tra le stesse;
• monitoraggio degli account di servizio e degli account amministrativi per rilevare eventuali attività anomale;
• monitoraggio dei Domain Controller, in particolare gli eventi Kerberos TGS (ticket-granting service), al fine di rilevare eventuali attività anomalie;
• ricerca di processi e/o esecuzione di programmi da linea di comando che potrebbero indicare il dump di credenziali, in particolare monitorando i tentativi di accesso o di copia del file ntds.dit da un Domain Controller;
• monitoraggio dell’installazione di software di trasferimento file quali FileZilla e rclone, nonché dei processi associati agli strumenti di compressione o archiviazione;
• monitoraggio del traffico di rete analizzando picchi anomali nella connettività di rete in uscita, in particolare verso destinazioni inusuali quali provider VPS e VPN, nonché la rete TOR;
• priorità delle analisi a seguito di individuazione di codice malevolo (es. Cobalt Strike e webshell);
• assicurarsi che tutti gli accessi remoti richiedano l’autenticazione a più fattori (MFA), in particolare per servizi VPN, portali aziendali rivolti verso l’esterno (extranet) e accesso alla posta elettronica (es. OWA o Exchange Online).

L’ACN, inoltre, aggiunge che le imprese italiane coinvolte ed esposte a rischio informativo possono rivolgersi a CSIRT-Italia attraverso le modalità riportate sul sito ufficiale per acquisire ulteriori informazioni di cui potrebbero necessitare, e che è possibile consultare le raccomandazioni generali diffuse sullo stesso portale.

In Conclusione…

Ad ogni modo, i sintomi di quanto la “situazione Ucraina” e le tensioni tra Russia e Occidente siano critiche e potenzialmente impattanti a livello globale, da un punto di vista di Cyber Security, sono visibili anche dallo “stato di allerta” della BCE che negli ultimi tempi ha avvisato le banche europee su potenziali rischi cibernetici, con lo scopo di prepararle a fronteggiare possibili azioni informatiche avverse, qualora “l’escalation delle ostilità” dovesse peggiorare ulteriormente.

Anche gli Stati Uniti d’America hanno avvertito la stessa esigenza di tutela del proprio dominio cibernetico (specie in ambito finanziario) e l’innalzamento e il potenziamento delle capacità di cyber security risulta essere un obiettivo prioritario anche per Washington D.C..