In un mondo sempre più digitale e interconnesso, le minacce informatiche rappresentano un pericolo crescente per la sicurezza degli Stati. Sono molti i Paesi che stanno attualmente testando i confini del “campo di battaglia” cibernetico, mentre le attività informatiche dannose si verificano con maggiore frequenza, diventando sempre più sofisticate.
Come indicato nel Rapporto sulla sicurezza di Monaco del 2018, gli ultimi anni sono stati caratterizzati dall’emergere di un gruppo di Paesi con capacità informatiche molto avanzate. E tra questi la Federazione Russa è uno dei primi.
A subire l’esponenziale agguerrimento della potenza russa nel campo cibernetico sono i Paesi limitrofi che hanno precedentemente fatto parte dello spazio sovietico. L’incidenza maggiore degli attacchi cibernetici russi in questi territori rappresenta un ulteriore tentativo da parte di Mosca di proiettare la propria influenza politica sulle zone adiacenti ai propri confini.
Dopo la nostra introduzione sulla strategia, in questo articolo approfondiremo similitudini e differenze in due casi in cui Mosca ha dispiegato la propria potenza cibernetica contro dei Paesi dell’ex blocco sovietico: Estonia e Georgia.
La guerra cibernetica nei Baltici: l’Estonia
L’esperimento della guerra informatica russa è iniziato nell’aprile 2007 con un attacco Distributed Denial of Service (DDoS) contro l’Estonia. L’attacco ha causato il collasso del sistema bancario, di numerosi servizi governativi, di alcune società e perfino del sistema mediatico. Il Paese baltico si è trovato di fronte alla prima cyber aggressione organizzata verso un’intera nazione, poi ribattezzata Web War One. Gli attacchi altamente sofisticati e di grande scala si sono susseguiti per tre settimane.
All’epoca, l’Estonia era già un Paese estremamente all’avanguardia nel campo delle tecnologie dell’informazione, tanto che oggi è prima al mondo nella classifica sull’imprenditoria informatica del World Economic Forum e prima per libertà nell’utilizzo di Internet, secondo Freedom House.
Al momento del cyber attacco, quindi, circa il 60% degli 1.3 milioni di cittadini del Paese utilizzava regolarmente il web. La digitalizzazione era parte della vita comune di molti cittadini, che facevano uso del dominio informatico per votare alle elezioni sin dal 2004. Anche diversi servizi al cittadino erano già espletabili online, come transazioni bancarie o pagamenti delle bollette.
I motivi dell’attacco
Molti osservatori hanno considerato l’azione della Russia in Estonia nel contesto degli obiettivi a lungo termine della Federazione per preservare la propria influenza all’estero, cercando di legittimare i propri interventi grazie alla presenza di minoranze russe residenti fuori dai suoi confini territoriali.
Inoltre, l’aggressione informatica contro l’Estonia si è verificata nell’ambito degli sforzi russi di sfruttare la dipendenza energetica degli Stati baltici dall’esportazione di gas russo. Mosca ha utilizzato una combinazione di fondi provenienti dal campo energetico e da quello politico (derivante dalla presenza degli expat russi), insieme alla penetrazione dell’intelligence e di associazioni criminali organizzate per esercitare una pressione costante sui Paesi baltici. Il Cremlino ha presumibilmente agito in questo modo anche in Estonia, dove risiede una diaspora russa di circa 300 mila persone.
Tuttavia, la scintilla che avrebbe fatto scoppiare l’attacco nel 2007 è stata la decisione dell’Estonia di liberarsi del simbolo della sua vecchia appartenenza all’Unione Sovietica: una statua in bronzo di un soldato al centro della capitale, Tallinn, che doveva essere rimossa e trasportata in un altro luogo. Tale gesto sarebbe stato percepito da Mosca come un insulto alla minoranza etnica russa presente nel Paese baltico e avrebbe dato il via all’azione.
Sebbene gli attacchi all’Estonia legalmente non possano essere attribuiti agli attori statali russi, a causa dell’impiego di falsi indirizzi di protocollo Internet (IP), il loro tempismo e gli effetti da essi generati hanno suggerito che facessero parte di una più ampia e coordinata campagna di attacchi informatici condotti dal Cremlino.
Le conseguenze
Gli estoni sono stati in grado di rispondere all’attacco informatico in modo rapido ed efficace. Il governo di Tallinn ha impiegato il proprio Computer Emergency Response Team (CERT), che ha coordinato le risposte informatiche tra specialisti governativi e civili.
Inoltre, questa situzione critica ha indotto l’Estonia a creare la Cyber Defense League, un esercito di volontari specializzati in informatica. Questi esperti concentrano la propria attività sulla condivisione delle informazioni sulle minacce, sulla preparazione della società a rispondere agli incidenti informatici e sulla partecipazione alle attività internazionali di difesa informatica.
A livello internazionale, l’Estonia ha ottenuto l’approvazione per la creazione del Centro di eccellenza per la difesa informatica cooperativa della NATO a Tallinn. La sua ricerca sulle attività informatiche globali sta contribuendo a identificare le migliori pratiche di difesa informatica e di formazione per i membri della NATO.
Le relazioni dell’Estonia con la Russia rimangono tutt’ora molto tese e compromesse.
La guerra cibernetica nel Caucaso: la Georgia
Vi sono due differenze fondamentali tra l’attacco cibernetico russo in Estonia e quello in Georgia. La prima è che, al contrario del caso estone, l‘infrastruttura informatica della Georgia non era molto sviluppata al momento dell’attacco e la connessione online del Paese dipendeva dai collegamenti con la Russia e la Turchia. La seconda distinzione, invece, risiede nel fatto che l’attacco cibernetico in Georgia è stato effettuato in concomitanza con un conflitto armato: l’aggressione nel caso georgiano era diretta contro i sistemi di comando, di controllo e di armamento dell’esercito.
Infatti, l’attacco cibernetico alla Georgia è stato condotto in concomitanza con la “Guerra dei Cinque Giorni” dell’agosto 2008, attraverso la quale la Georgia stava combattendo i separatisti della regione dell’Ossezia del Sud. In quell’occasione, la Russia è intervenuta in campo militare a sostegno dei separatisti ossetini.
Nella guerra in Georgia del 2008, la Russia ha usato elementi informatici come il defacement (la modifica del contenuto di una pagina o di un sito web) e gli attacchi del DDoS. Si è trattato, quindi, di un processo di accompagnamento diretto e ben organizzato all’azione militare russa. L’aggressione era volta a semplificare l’attuazione dei compiti militari per le forze armate russe, a creare un vuoto informativo e a imporre la narrazione russa del conflitto a livello mediatico.
I motivi dell’attacco
Negli anni precedenti alla cyber aggressione le tensioni tra Mosca e Tbilisi erano aumentate per via della politica estera della Georgia. Il Paese era diventato maggiormente filo-occidentale sotto la guida del presidente Mikheil Saakashvili.
Inoltre, la Russia ha sempre appoggiato le cause separatiste delle repubbliche dell’Ossezia del Sud e dell’Abcasia. I legami economici e intergovernativi tra la Russia e le due regioni non sono solo straordinariamente profondi, ma incidono direttamente sull’autonomia di questi territori. La Russia usa la sua influenza per difendere i propri interessi nel Caucaso Settentrionale ed esercitare pressioni sui negoziati internazionali per la risoluzione dei conflitti.
In questo contesto, è stato l’intervento militare della Georgia in Ossezia del Sud il 7 agosto del 2008 – con la motivazione di impedire il bombardamento del territorio georgiano da parte dell’Ossezia – che ha spinto la Russia a organizzare un’invasione su larga scala via terra, aria e mare in Georgia il giorno successivo.
Quello georgiano è stato il primo caso riconosciuto di operazioni cibernetiche offensive su larga scala organizzate a sostegno di operazioni militari convenzionali. Rispetto all’attacco contro l’Estonia dell’anno precedente, una novità importante è stata la sofisticata campagna di spionaggio informatico condotta nel periodo del conflitto militare. Inoltre, in Georgia il cyber attacco è stato accompagnato da una campagna di disinformazione su Internet che ha preso di mira siti informativi e governativi.
Le conseguenze
Ancora una volta, il coinvolgimento del governo russo non ha potuto essere dimostrato in modo definitivo, anche se la tempistica degli attacchi e le prove forensi hanno fornito sostegno all’ipotesi che il Cremlino abbia orchestrato l’offensiva.
Secondo il Computer Emergency Response Team (CERT) georgiano, gli indirizzi IP e i DNS utilizzati per lanciare gli attacchi appartenevano a un gruppo della criminalità organizzata russa noto come Russian Business Network (RBN). Diversi esperti di sicurezza informatica sostengono che la RBN fosse affiliata ai servizi di sicurezza russi.
La Georgia ha ricevuto una notevole assistenza nella lotta contro gli attacchi cibernetici e nella comunicazione interna e internazionale. L’impatto complessivo degli attacchi cibernetici è stato minimo e il governo georgiano è riuscito a dirottare la maggior parte del proprio traffico Internet attraverso i server di altri Paesi. Ad esempio, Google ha messo a disposizione uno spazio di dominio per proteggere i siti web del ministero degli Affari Esteri e di Civil.ge, un quotidiano online georgiano.
Per l’occasione, inoltre, l’Estonia ha inviato gli specialisti di sicurezza informatica del suo CERT per aiutare la Georgia a contrastare i cyber attacchi.
Conclusioni
Sia nel caso estone che in quello georgiano gli attacchi cibernetici non si sono potuti far risalire direttamente alla Russia. Questo dimostra la difficoltà di rintracciare i responsabili delle azioni informatiche illecite e svela la vulnerabilità dei singoli Stati di fronte a questo tipo di aggressione.
Nei casi che abbiamo analizzato gli attacchi sono stati rivolti non solo contro l’operato degli Stati aggrediti, ma anche contro la sua popolazione. Infatti, le cyber aggressioni minacciano il funzionamento regolare dei siti web, provocando danni enormi ai servizi ai cittadini e all’economia di un Paese.
È probabile che molti altri conflitti futuri comporteranno la concomitanza di operazioni di combattimento con cyber attacchi. Per questo, sempre più Stati satelliti dell’ex Unione Sovietica stanno sviluppando una struttura informatica avanzata per affrontare questa minaccia.
Fonti e approfondimenti
Connell M. – Vogler S. , ‘Russia’s Approach to Cyber Warfare’, CNA – Analysis and Solutions, settembre 2016
Jarno Limnell, Russian cyber activities in the EU – HACKS, LEAKS AND DISRUPTIONS:RUSSIAN CYBER STRATEGIES, European Union Institute for Security Studies (EUISS) (2018)
Sascha-Dominik Bachmann e Hakan Gunneriusson, ‘Russia’s Hybrid Warfare in the East: Using the Information Sphere as Integral to Hybrid Warfare’, 18 aprile 2016
Shuya M, Russian Cyber Aggression and the New Cold War, Journal of Strategic Security, Vol. 11, No. 1 (SPRING 2018)