Buon sabato e ben ritrovato caro cyber User. Esprimerò la mia solidarietà per questa guerra in corso, con l'unica cosa che so fare, raccontartela dal punto di vista cyber. E' chiaramente in divenire e ogni ora che passa sono notizie nuove, ma qui si cerca di tracciare un profilo, di ragionamenti, che può aiutare l'utente alla lettura del domani, da qualsiasi altra fonte.
In breve oggi ti parlo di:
Russia e Ucraina in guerra di invasione tra dati, malware, DDOS e spionaggio.
Russia e Ucraina in guerra di invasione tra dati, malware, DDOS e spionaggio
1. Background fattuale
Ci sono attacchi russi confermati in corso in una ventina di città ucraine, con forze russe che si muovono dall'est della Russia, dal nord bielorusso e dal sud del Mar Nero. Si parla di combattimenti dentro e intorno alla capitale, Kiev, mentre la Russia cerca la destituzione del governo ucraino: Kiev sarebbe un obiettivo di decapitazione. I cittadini ucraini stanno resistendo alle forze pesanti russe e ci sono anche segnalazioni di resistenza sovversiva, che il governo ucraino sta incoraggiando trai i civili. Foreign Policy ha un resoconto di tale resistenza nella città di Kharkiv, nel Donbas.
2. Nel frattempo la guerra è cyber
Già prima del 24 febbraio, molte agenzie governative straniere hanno lanciato avvisi alle aziende su possibili attacchi informatici. “Data la situazione che sta avvenendo nel mondo, prevediamo lo sviluppo di seri rischi di attacchi degli hacker contro obiettivi giapponesi. Tutte le aziende e le imprese locali sono tenute ad aumentare il livello dei propri sistemi di sicurezza delle informazioni e la direzione delle organizzazioni dovrebbe aumentare la propria consapevolezza della minaccia degli attacchi informatici. Se una società giapponese rileva attività sospette nelle sue reti, deve trasferire prontamente tutte le informazioni disponibili sull'incidente di sicurezza ai dipartimenti competenti", afferma, ad esempio, in una dichiarazione del Ministero del Commercio e dell'Industria del Giappone, pubblicata sul suo sito ufficiale il 22 febbraio.
Nei giorni successivi l'escalation è continuata e ha investito gran parte del mondo occidentale:
FBI avverte, "La Russia è un ambiente operativo favorevole per i criminali informatici che non va da nessuna parte, perché il confronto della Russia con i paesi occidentali sull'Ucraina continua";
Lo stesso NKTsKI russo, ha avvertito sulla preoccupazione di un aumento del numero di attacchi alle infrastrutture critiche del proprio paese.
Tra le prime "sanzioni", decisa fuori dai tavoli diplomatici della politica, di una certa portata, è utile notare quella del 24 febbraio, secondo la quale le applicazioni di Promsvyazbank (tra le più importanti banche commerciali russe) sono scomparse dall'App Store di Apple e dal Google Play Store.
L'infinita macchina propagandistica russa, in moto ormai da tempo con media e social, ha creato con largo anticipo i propri mostri cyber, e gli attacchi verso l'Ucraina non si sono fatti attendere. Molto fa pensare che ci sia una grande movimentazione anche nell'attivismo e nelle operazioni di volontari. Free Civilian e tra le prime espressioni di questo attivismo pro Russia, che da subito ha messo in vendita e sottoposto a leaks, grandi quantità di dati sensibili di cittadini ucraini, esfiltrati da obiettivi estremamente strategici del paese. Il gruppo opera nel darkweb servendosi di sito web onion.
Gli attacchi sono dunque a pioggia, una tempesta DDoS che si imbatte contro l'Ucraina, che porta con sé vecchi malware ora riapparsi come Cyclops Blink (ex VPNFilter) di SandWorm (gruppo collegato direttamente all'intelligence russa GRU, notoriamente composto anche da ufficiali e militari statali), ma anche di nuovo sviluppo (o meglio nuova scoperta) come HermeticWiper, che non cifra i dati come un ransomware ma li distrugge compromettendo anche l'MBR delle unità di memoria che trova disponibili sulla macchina.
A questo si aggiunge altro attivismo pro Russia, per il tramite delle ransomware gangs in prevalenza di origine russa, come il recente caso del team Conti che ha espresso il suo completo servizio al Cremlino con qualsiasi capacità a loro disposizione, e più tardi ritratta specificando che il gruppo non è affiliato ad alcun governo, ripudia la guerra e offriranno mezzi solo a contrasto di attacchi rivolti a strutture strategiche russe.
Il tutto accompagnato da un bombardamento infodemico senza precedenti, spinto da massicci bot estremamente polarizzati, specialmente su Telegram. Si può tranquillamente riconoscere questo, come un evento storico di estrema pesantezza globale, ma tra i più social mai visti prima. E' impressionante la velocità e la tempestività con la quale arrivano video, foto, dati direttamente dal campo di guerra, dalle prime file, alla portata di tutti. E con loro, non c'è da stupirsi né da fidarsi, arriva una certa quantità di fakenews, che fanno diventare notevolmente difficile seguire una narrazione legittima, con lo scopo di sviare certe attenzioni e convogliare il dibattito pubblico su questo e su quel tema specifico.
L'Ucrania dal canto suo ha una politica di difesa sviluppata negli ultimi anni, che è stata accompagnata durante la trasformazione digitale del Paese, incentrata sui dati e la loro protezione in caso di attacco. Il protocollo ora in vigore è studiato che avere una disponibilità dei dati degli enti pubblici dell'Ucraina centralizzata a Kiev, rendendo qualsiasi workstation di qualsiasi ufficio periferico, inutile se preso da solo. Questa centralizzazione è sviluppata in coppia (dai tempi dell'attacco in Crimea) con backup esternalizzati oltre i confini nazionali, in altri paesi di fiducia reciproca. Quando si arriva al punto di non ritorno, in cui l'invasione arriva al cuore della capitale, facendo presagire pericolo per i dati nazionali, i dati di tutti i cittadini, parte l'operazione di distruzione massiva: tutto nel cervellone centrale di Kiev viene piallato alla radice, rimarranno solo i backup, al sicuro.
La sete di armamento per la difesa ha fatto emettere, nelle ultime giornate della settimana, all'Ucraina vari appelli al reclutamento di volontari che potessero rispondere agli attacchi informatici in atto. E qui, nuovamente, l'attivismo ha avuto la meglio. Abbiamo assistito alla presa di posizione di Anonymous che tramite diversi profili social (1, 2, 3, 4), esprime la propria solidarietà verso l'Ucraina e pianifica una serie di attacchi, specialmente DDOS come da loro modus operandi, verso istituzioni russe.
Ci si accodano anche gli attivisti di GhostSec, costola di Anonymous che si è fatto spazio dopo i fatti di Charlie Hebdo per contrastare la diffusione dell'estremismo islamico ISIS. Fanno sentire la loro presenza rivendicando l'attacco al Ministero della Difesa della Federazione Russa, con una esfiltrazione pubblica del file passwd di un server FreeBSD attaccato, il cui sito (mil.ru) al momento della scrittura è ancora indisponibile worldwide.
$FreeBSD: src/etc/master.passwd
Da questo scenario, senza conoscerne i diretti responsabili, si assiste alla caduta di vari siti importanti per la Russia, kremlin.ru e government.ru, pesantemente attaccati a livello Denial of Service, rendendoli inaccessibili per ore. Contemporaneamente si schiera contro la Russia anche RaidForums, con ultimi recenti thread contenenti leaks sensibili di dati governativi russi e nuova politica di ban per chiunque vi si colleghi dallo stato Russo. Caratteristica che sta creando alla piattaforma diversi problemi nel filtro, in quanto si è registrato un alternarsi di down DNS, logging failures e permessi negati in accesso anche da connessioni non Russia.
Non ultimo invece da evidenziare l'azione del collettivo DDoSecrets, che mette a disposizione 200 GB di emails del fornitore di armi bielorusso Tetraedr, pubblicato grazie a un leak operato dal gruppo Anonymous Liberland e Pwn-Bär Hack Team che si auto descrivono totali oppositori di Putin e del governo russo. Mentre invece lo stesso collettivo offre, liberamente accessibile, il leak di messaggi email governative del Cremlino, per l'occasione aggiunte al motore di ricerca interno.
3. I pericoli per l'Italia
Il nostro Paese vive tutta questa situazione, con il rischio cyber di tutta l'Europa, cioè di quella parte di governi lontani dall'oriente russo, che possono diventare facilmente obiettivi da colpire. Esattamente come sta succedendo nell'europea Polonia: Janusz Cieszynski, Segretario di Stato polacco per lo sviluppo digitale presso l'Ufficio del Primo Ministro, ha affermato che la fonte degli attacchi informatici, aumentati negli ultimi giorni, effettuati sullo sfondo di un'offensiva russa su vasta scala contro l'Ucraina, vicino orientale della Polonia, non è stata ancora identificata, scrive Reuters.
Dagli attori coinvolti che abbiamo appena analizzato, possiamo capire quanto pericolo ci sia anche per chi non è direttamente coinvolto nella guerra. Il coinvolgimento lo si può causare, anche con l'espressione di una propria opinione, posizione e schieramento di Stato. Un gruppo ransomware, che normalmente ha una collezione di accessi già garantiti, precedente compromessi e pronti all'uso, è sensibilmente pericoloso che possa venir indotto allo sfruttamento.
Un esempio concreto di pericolo per l'Italia, potrebbe essere l'ormai noto accesso conquistato durante la pandemia COVID-19 di un ipotetico fornitore IT nostrano (vds attacco a LazioCrea o ULSS venete, nel blog ne ho analizzato vari scenari), qualora ancora persistente da parte del gruppo (che può non essere più lo stesso gruppo, in quanto spesso soggetti a passaggi tra bande, reselling e affiliazioni), qualora potesse insistere nonostante le opere di bonifica, rendere vulnerabile tutto l'apparato Italia collegato al suddetto fornitoreIT. Considerato che in Italia la pubblica amministrazione affida i propri servizi IT, sostanzialmente a un gruppo di fornitori ben noti, la cui compromissione tra il 2020 e il 2021 è stata resa nota in varie occasioni, le possibilità di correre questo rischio, nel bel mezzo di una guerra (dall'elevata portata cyber), è concreto.
Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon sabato, ti rimando al mio blog e al prossimo sabato per un nuovo appuntamento con NINAsec.