di Kevin Carboni e Maria Chiara Franceschelli
Siamo giunti al terzo appuntamento del nostro ciclo sulla guerra cibernetica di Mosca. Dopo averne analizzato le strategie ed esserci soffermati sugli attacchi contro Estonia e Georgia, approfondiremo il terreno di scontro cibernetico fra Mosca e Kiev.
Il conflitto in Ucraina è stato definito come “guerra ibrida”. Caratteristica principale della guerra ibrida è l’impiego congiunto di mezzi convenzionali e elementi di guerra asimmetrica. Le “minacce ibride” sono attacchi spesso indiretti, a bassa intensità, cinetici e non, orientati alla destabilizzazione e all’intimidazione dell’avversario. Esempi classici di minacce ibride sono il terrorismo, la pirateria e le organizzazioni criminali transnazionali.
Il cyber spazio costituisce un campo di battaglia perfetto per l’attuazione della dottrina della guerra ibrida. Esso offre una varietà di risorse per portare avanti azioni di carattere offensivo, permettendo allo stesso tempo ai perpetratori di tali attacchi di rimanere impuniti. Di fatto, l’ambiguità della legislazione internazionale in merito e l’assenza di sostanziali organi di controllo garantiscono ampi spazi di manovra.
Nel corso dell’ultimo decennio, parallelamente allo sviluppo del conflitto nell’Ucraina orientale e all’annessione della Crimea, la Russia ha ampiamente sfruttato le opportunità offerte da questo terreno, affinando le sue tattiche di cyber guerra in Ucraina.
Il controllo dell’informazione
Il Cremlino ha fatto uso abbondante del cyberspazio ucraino per portare avanti una politica di monopolio dell’informazione, attraverso campagne mediatiche di disinformazione, propaganda fortemente a favore di Mosca e delle fazioni filorusse e rappresentazioni univoche delle posizioni istituzionali russe. Ciò è particolarmente importante nello scontro fra Russia e Ucraina in quanto la narrativa proposta dalle democrazie occidentali rappresenta un elemento fondamentale nel conflitto e un ostacolo significativo all’azione della Russia nella regione.
Nella sfera dell’informazione, in Ucraina la Russia fa largo affidamento su un’ampia varietà di mezzi di informazione, riconducibili a tre categorie principali. La prima sono testate giornalistiche e mass media ufficiali, filorusse e finanziate dallo Stato, come Sputnik e RT. La seconda consiste in una sorta di “cyberspionaggio” ad opera di gruppi di hacker non immediatamente riconducibili a istituzioni statali, tramite i quali vengono resi pubblici documenti ufficiali o informazioni compromettenti su un determinato governo, al fine di screditarlo e generare confusione nel dibattito pubblico del Paese in questione. L’ultima categoria sono invece i numerosissimi troll e bot che aumentano il traffico di posizioni filorusse su social network, forum e siti web.
Da un lato, vi è la volontà di aumentare il consenso popolare e polarizzare l’opinione pubblica su posizioni filorusse utilizzando il proprio soft power. Testate ufficiali come Sputnik e RT supportano apertamente gli obiettivi militari russi, e sono a loro volta rinforzati da una grande quantità di bot di agenzie civili vicine al Cremlino. Queste campagne mediatiche sono volte a influenzare la percezione della Russia nella società civile e a delegittimare le posizioni dell’Occidente nel conflitto in corso in Ucraina.
Dall’altro, vi è il più strategicamente rilevante intento di distrarre e confondere l’avversario, in modo di ridurre le sue capacità di preparare un contrattacco efficace. Nella dimensione informatica, è infatti molto difficile ricollegare le offensive cibernetiche ad agenzie direttamente statali. Grazie all’ampio ricorso agli attori non statali per i cyber attacchi, la Russia può negare le proprie responsabilità (virtuali e non) nel conflitto in Ucraina.
La disinformazione e il rifiuto di qualsiasi responsabilità da parte del Cremlino fanno sì che difficilmente la NATO risponda con contrattacchi analoghi, che andrebbero a ripercuotersi peraltro sulla popolazione civile, rendendo così la questione ulteriormente problematica. La mancanza di rivendicazioni da parte della Russia consente ai leader occidentali di prendere tempo e di non lanciarsi in una pericolosa escalation del conflitto. Al tempo stesso, le testate ufficiali portano avanti consistenti campagne di discredito nei confronti di qualsiasi risposta da parte delle autorità occidentali.
Inoltre, lo sforzo significativo da parte della Russia di controllare lo spazio virtuale è da ricollegare alla percezione di questo come spazio per definizione “democratico”, in cui ogni cittadino può liberamente accedere e contribuire all’informazione. Pertanto, la forte presenza russa nel web punta a dare l’impressione di un supporto reale dal “basso” per le posizioni filorusse in Ucraina, piuttosto che di una vera e propria “occupazione” dello spazio virtuale: una strategia che va di pari passo con la retorica del “ricongiungimento” portata avanti per le operazioni in Crimea.
Dall’informazione alle infrastrutture
Parallelamente al monopolio dell’informazione, la guerra cibernetica di Mosca ha coinvolto anche le infrastrutture e l’economia avversarie. Gli attacchi cibernetici sono stati attuati in concomitanza con eventi chiave del conflitto, come Euromaidan, le elezioni parlamentari ucraine e l’occupazione militare della Crimea nel 2014.
Negli ultimi dieci anni, l’Ucraina è stata un importante campo di sperimentazione per queste nuove strategie belliche russe, divenendo teatro del primo attacco informatico al mondo contro le infrastrutture materiali di un Paese. Esso risale al 2015 e creò ingenti danni a una rete elettrica dell’Ucraina occidentale, causando un grave e prolungato blackout. L’anno successivo, attacchi simili furono perpetrati ai danni di altre infrastrutture nevralgiche ucraine: aeroporti, centrali elettriche e infrastrutture finanziarie.
Un altro celebre esempio di questa nuova strategia fu l’attacco informatico denominato “NotPetya” nel 2017. Il ransomware dell’intelligence militare russa neutralizzò il 10% dei computer in Ucraina, causando un enorme danno economico pari allo 0,5% del PIL .
Molto consistenti furono, in generale, gli attacchi che provocarono danni alle reti di comunicazione ucraine durante l’annessione della Crimea nel 2014. In quell’occasione e nei periodi successivi, come nel caso del blackout del 2015, ci fu un’efficace coordinazione in tempo reale fra operazioni informatiche e militari, operazioni speciali e misure diplomatiche. Nei territori occupati, le forze russe tagliarono le comunicazioni, confiscarono server, presero il controllo di radio e antenne della televisione, così come di parte del traffico Internet e di accesso a siti web e social network. Parallelamente a ciò, le campagne di disinformazione vennero amplificate.
La guerra cibernetica fu impiegata su più fronti e acquistò un ruolo sempre più importante nella strategia militare russa nel conflitto con l’Ucraina, rappresentando sia un elemento portante della guerra ibrida, sia un supporto fondamentale alle tattiche belliche convenzionali.
La risposta ucraina e gli aiuti internazionali
I tentativi di incrementare i meccanismi di sicurezza cibernetica da parte dell’Ucraina sono cominciati nel 2009, attraverso l’adozione di un accordo di cooperazione sulla cyber sicurezza tra NATO e i Paesi partner. Nel 2014, a seguito del primo attacco ai server del Comitato Elettorale Centrale ucraino durante le elezioni presidenziali, la NATO decise di creare un fondo fiduciario internazionale volto sia alla formazione di personale tecnico, sia alla fornitura di hardware e software adatti ad aumentare le capacità di reazione e risposta in caso di attacco. Al fondo, attualmente, contribuiscono Romania, Albania, Estonia, Ungheria, Italia, Portogallo, Turchia e Stati Uniti.
Oltre agli accordi internazionali, tra il 2016 e il 2018 il governo ucraino ha approvato tre leggi in materia di cyber sicurezza. Due contengono provvedimenti per aumentare il livello di sicurezza dello Stato e disposizioni volte a uniformare la terminologia tecnica a quella dell’Unione Europea e della NATO, al fine di definire obiettivi, strategie e aree di intervento comuni. La terza è, invece, specificatamente indirizzata ad aumentare poteri e competenze del Derzhspetszviazok (il Dipartimento di intelligence ucraino per la protezione delle informazioni e delle telecomunicazioni) in tema di cyber sicurezza.
Nella legge del 2018, al Derzhspetszviazok viene assegnato il compito di assicurare la protezione di tutti i sistemi di comunicazione del governo, delle infrastrutture strategiche e della formulazione e implementazione di politiche relative alla sicurezza informatica dello Stato.
La vulnerabilità ucraina
Nonostante le evoluzioni del quadro normativo e l’incremento di risorse materiali e di personale qualificato, l’Ucraina ha continuato a subire i gravi attacchi, risultando fatalmente esposta ai pericoli del cyber warfare. I motivi di questa vulnerabilità sono riconducibili a diversi fattori.
In primo luogo, i moti di Euromaidan, il conflitto nel Donbass e l’annessione della Crimea alla Russia hanno incrementato l’instabilità politica, economica e sociale del Paese, rendendo prioritari interventi in altre aree rispetto alla cyber sicurezza. Inoltre, gran parte dei computer in Ucraina utilizzano software pirata, che rappresentano un obiettivo facilmente violabile poiché non ricevono i necessari aggiornamenti dei protocolli di sicurezza.
Infine, l’instabilità interna e le differenze socio-economiche di un territorio vasto come quello ucraino contribuiscono ad accrescere il digital divide, rendendo l’errore umano una componente chiave per la riuscita degli attacchi informatici. Sia nel caso dell’attacco alla rete elettrica del 2015 che in quello chiamato NotPetya del 2017, gli hacker russi sono riusciti a penetrare nei software principali grazie al cosiddetto phishing, cioè l’invio di una grande quantità di e-mail che, una volta aperte, danno la possibilità agli hacker di inserirsi all’interno dei computer e di estrarre ogni tipo di informazione.
L’Ucraina è quindi ancora largamente dipendente dal sostegno internazionale in materia di cyber sicurezza. Per questo, durante le elezioni presidenziali del 2019, il governo ha richiesto il supporto della compagnia informatica estone CybExer nel lavoro di monitoraggio e prevenzione di cyber attacchi. Secondo la CybExer, durante il periodo delle elezioni sono stati fermati centinaia di attacchi diretti ai software del Comitato Elettorale Centrale ucraino, inclusi alcuni provenienti dal gruppo di spionaggio ATP Dragonfly direttamente associato alla Russia. Senza il supporto estone, l’Ucraina si sarebbe probabilmente ritrovata nella stessa situazione del 2014.
Nell’ottica delle guerre di prossimità tra attori internazionali, l’Ucraina rappresenta oggi un terreno di sperimentazione per nuove tecniche di guerra informatica, tanto per la Russia quanto per gli alleati occidentali. Secondo la CybExer, infatti, gli stessi malware utilizzati nel 2015 e nel 2017 in Ucraina sono stati rintracciati in altri attacchi avvenuti poi in Israele e negli Stati Uniti.
Europa e Stati Uniti hanno quindi un grande interesse nel mantenere la loro presenza sul territorio ucraino e nel monitoraggio delle attività di cyber guerra. L’acquisizione di informazioni e la sperimentazione sul campo di affidabili strategie di contrasto rappresentano preziosi elementi di intelligence per scongiurare i pericoli di futuri attacchi informatici diretti.
Fonti e approfondimenti
Sascha Dov Bachmann and Hakan Gunneriusson, Russia’s Hybrid Warfare in the East. The Integral Nature of the Information Sphere, Georgetown Journal of International Affairs, 2015
Michael Connell and Sarah Vogler, Russia’s Approach to Cyber Warfare, CNA Analysis and Solutions, 2017
Piret Perkin, The early days of cyberattacks: the cases of Estonia, Georgia and Ukraine, European Union Institute for Security Studies, CHAILLOT PAPER Nº 148 — October 2018
Centre for Global Studies “Strategy ХХІ”, Ukraine-EU-NATO cooperation for countering hybrid threats in the cyber sphere, 2019
Volodymyr Shypovskyi, Volodymyr Cherneha, Serhiy Marchenkov, Analysis of the ways of improvement of Ukraine–NATO cooperation on cybersecurity issues, 2020
