Lo scenario internazionale odierno è caratterizzato dal moltiplicarsi dei conflitti a bassa intensità e da una parallela rimodulazione del concetto stesso di guerra. In tale contesto, ai domini classici delle dinamiche militari (Terra, Mare e Aria) si è aggiunto, ormai da tempo, il cyberspazio, determinando un’ulteriore sfaccettatura dei fenomeni bellici inter-statali.
Con questo primo articolo, inizia il nostro ciclo di approfondimenti per analizzare come la Russia agisca in questo nuovo campo di battaglia, mettendo in evidenza le diverse modalità con cui il Cremlino sfrutta la guerra cibernetica per conseguire i propri obiettivi.
Infatti, il termine “guerra cibernetica” (o “cyber guerra”) si riferisce all’utilizzo sostenuto di attacchi elettronici al fine di compromettere l’infrastruttura informatica di un avversario, danneggiandone l’economia e diffondendo un senso di insicurezza e vulnerabilità tra la popolazione civile.
Il dominio cibernetico nella dottrina della guerra ibrida
La Russia ha saputo integrare in maniera magistrale il cyberspazio nella sua dottrina della guerra ibrida. Quest’ultimo concetto rientra a pieno titolo nelle strategie relative ai conflitti asimmetrici, dove una delle forze contendenti si trova in netto svantaggio in termini di mezzi militari rispetto al proprio avversario. Di fatto, nei rapporti NATO-Russia, Mosca ricopre il ruolo di attore più debole, vedendosi quindi costretta a evitare lo scontro diretto e a perseguire i propri obiettivi politici tramite altri mezzi.
In tale scenario, il Cremlino utilizza una combinazione di pressioni economiche, guerra per procura, disinformazione e cyber attacchi per mantenere un certo grado di controllo sui Paesi limitrofi e arginare così la crescente influenza dell’Alleanza Atlantica sui propri confini. La guerra cibernetica assume in questo modo un ruolo centrale nella strategia russa, costituendo un’arma micidiale nelle mani di Mosca per danneggiare i propri avversari senza rischiare di provocare una risposta diretta dei Paesi NATO.
Le modalità della guerra cibernetica
Le modalità di guerra cibernetica adottate dalla Russia possono assumere diverse forme. Tra le tecniche più comuni utilizzate, ad esempio, c’è il Distributed Denial of Service (DDoS). Tale sistema consiste nell’incrementare artificialmente l’ammontare di traffico verso un sito internet, sovraccaricandone così il server e rendendo il servizio inaccessibile al cittadino.
Il caso più celebre di DDoS perpetrato dalla Russia è quello avvenuto in Estonia nel 2007. In questa occasione, una serie di cyberattacchi perpetrati dal Cremlino ha interrotto il servizio di numerosi siti istituzionali estoni, arrecando diversi danni a una delle amministrazioni più digitalizzate al mondo.
Di natura simile sono anche gli attacchi di Telephone Denial of Service (TDoS), tramite i quali si interrompono le comunicazioni telefoniche all’interno di una determinata area per mezzo dell’aumento anomalo del traffico. Attacchi di tipologia diversa sono, invece, i ransomware, ossia virus capaci di bloccare l’accesso a un dispositivo, richiedendo alla vittima di pagare un riscatto; o ancora, la diretta sottrazione di informazioni riservate o segrete attraverso tecniche di phishing.
Mentre queste modalità di cyberattacchi rientrano nella categoria di sabotaggio e spionaggio, altre azioni di guerra cibernetica adottate dal Cremlino hanno anche la capacità di arrecare un danno materiale concreto. Nel 2015, dei cybercriminali filorussi hanno attuato un attacco massiccio ai danni della rete elettrica ucraina, provocando un black-out diffuso nell’area di Kiev e nella regione Ivano-Frankivsk. In tale occasione, ben 220.00 cittadini ucraini sono rimasti senza corrente elettrica, rivelando come la Russia abbia la capacità di perpetrare attacchi informatici con conseguenze più incisive.
Guerra cibernetica e informazione
Inoltre, nel panorama russo, il concetto di guerra cibernetica assume una sfumatura particolare. Di fatto, gli esperti del Cremlino e lo Stato Maggiore della Federazione di solito non si riferiscono alla cyberguerra utilizzando questo termine. Essi preferiscono adottare l’espressione “guerra di informazione“, sottolineando in tal modo l’esistenza anche di una dimensione psicologica dei cyber attacchi. Tale terminologia ci aiuta ancora di più a comprendere il ruolo che Mosca riserva alle attività cyber, in quanto viene messa in risalto la guerra cibernetica come meccanismo per dominare il panorama dell’informazione, considerato anche esso come un dominio bellico.
Tale punto veniva già evidenziato dalla Dottrina Militare della Federazione Russa del 2010, la quale considerava la guerra dell’informazione come uno strumento utile alla Russia per conseguire i propri obiettivi politici, senza dover ricorrere all’utilizzo della forza. Inoltre, secondo i teorici russi, nel contesto delle operazioni militari, ogni fase deve essere accompagnata da attività nel dominio cyber, in modo da compromettere la capacità di reazione degli avversari, provocare confusione e abbattere lo spirito combattivo del nemico. Questo ruolo centrale della guerra d’informazione è stato riconosciuto anche nel successivo aggiornamento della Dottrina Militare russa nel dicembre del 2014.
In questo scenario, Mosca utilizza la guerra cibernetica anche come espressione di soft power, disseminando propaganda filorussa al fine di indebolire i governi dei propri avversari. Un esempio lampante di tali attività è l’impiego diffuso di troll, ossia individui pagati per creare profili falsi allo scopo di inondare siti d’informazione e social media con commenti che supportino le attività e le posizioni della Russia. Talvolta, queste azioni includono la diffusione di fake news con l’obiettivo di esacerbare il dibattito politico interno di un altro Paese.
L’organizzazione degli APT russi
Il Servizio di Sicurezza Federale (FSB) è l’agenzia statale incaricata di espletare le operazioni cyber del Paese. Ad essa, si affiancano il Ministero degli Affari Interni (MVD), il Servizio Federale di Protezione (FSO) e il Servizio d’Intelligence Internazionale (SVD). Queste quattro agenzie contribuiscono regolarmente alla definizione della strategia cyber russa e al coordinamento delle varie azioni a livello nazionale e internazionale, gestendo le campagne di guerra informatica del Cremlino.
Tuttavia, a livello operativo, Mosca preferisce appoggiarsi a gruppi di hacker indirettamente connessi al governo federale, identificati come Advanced Persistent Threat (APT). La Russia non è l’unico Stato a reclutare enti non-statali per espletare le proprie attività di cyberguerra (anche Iran, Cina e Corea del Nord si appoggiano a questo tipo di attori), ma ciò che rende diverso l’approccio russo è il modo in cui gli APT sono organizzati.
Tali peculiarità sono state messe in evidenza da uno studio pubblicato nel 2019 da Check Point Research, un’azienda israeliana specializzata in cybersicurezza. Lo studio ha analizzato diversi campioni di malware (virus) messi in circolazione da APT sospettati di agire per conto del Cremlino, cercando di identificare eventuali connessioni tra le cellule di hacker.
Come emerso dai risultati della ricerca, i vari cluster di hacker svolgono le proprie funzioni in maniera completamente separata: ogni gruppo lavora per anni sullo sviluppo di malware e codici al fine di conseguire obiettivi simili, ma senza condividere informazioni con gli altri APT. Ne risulta una vasta diversificazione dei mezzi a disposizione di Mosca per perpetrare i propri cyberattacchi.
Inoltre, in virtù della separazione netta tra le diverse cellule operative, nel caso in cui uno dei cluster dovesse divenire vulnerabile ad attività di controspionaggio, non sussisterebbe alcun rischio di compromissione per le altre cellule, in quanto ciascuna unità sarebbe comunque in grado di preservare la propria operatività.
Dallo studio di Check Point Research si evince che la Russia ha investito ingenti risorse nello sviluppo delle proprie capacità relative alla guerra cibernetica. La creazione di una struttura di cluster completamente indipendenti tra loro non avrebbe mai potuto essere realizzata se non grazie a una pianificazione pluriennale.
Inoltre, l’approccio russo rende ancora più complicato risalire al responsabile dell’attacco, rendendo il dominio cyber il campo di battaglia ideale della strategia della guerra ibrida. Grazie a tale sistema, il governo russo avrà sempre la possibilità di negare il proprio coinvolgimento nelle diverse operazioni, evitando quindi di scatenare una risposta immediata dei propri avversari e giovando di una “zona grigia” in cui agire impunito.
Conclusioni
La Federazione russa considera la cyber guerra come un’arma strategica di lungo termine, piuttosto che uno strumento tattico. Tramite atti di intimidazione e ingerenze nel dibattito politico degli altri Paesi, il Cremlino mira a indebolire la capacità di risposta dei propri avversari e ad abbattere il morale delle popolazioni colpite da tali attacchi.
Fonti e approfondimenti
Itay Cohen and Omri Ben Bassat, ‘Mapping the connections inside Russia’s APT Ecosystem’, Check Point Research, 24 settembre 2019
Michael Connell e Sarah Vogler, ‘Russia’s Approach to Cyber Warfare’, CNA – Analysis and Solutions, settembre 2016
P. W. Singer and Emerson T. Brooking, ‘What Clausewitz Can Teach Us About War on Social Media‘, Foreign Affairs, 4 ottobre 2018
Sascha-Dominik Bachmann e Hakan Gunneriusson, ‘Russia’s Hybrid Warfare in the East: Using the Information Sphere as Integral to Hybrid Warfare’, 18 aprile 2016
Zak Doffman, ‘Russian Secret Weapon Against U.S. 2020 Election Revealed In New Cyberwarfare Report‘, Forbes, 24 settembre 2019
