Un’intensa guerra informatica incombe mentre la Russia invade l’Ucraina
Gli esperti hanno avvertito la comunità internazionale che l'invasione russa dell'Ucraina potrebbe essere seguita da una massiccia guerra informatica con l'Occidente.
Dopo l'attacco DDoS e malware wiper di ieri ai dispositivi e ai computer ucraini, i sistemi occidentali affrontano la stessa minaccia dalla Russia per estrarre informazioni di intelligence mentre le nazioni della NATO – Stati Uniti, Regno Unito, Australia e altro ancora impongono sanzioni alla Russia.
"Ci aspettiamo di vedere probabilmente oltre l'Ucraina, la disinformazione per prendere di mira il pubblico occidentale e lo spionaggio informatico contro i membri chiave della NATO, mentre la Russia cerca di capire le prossime mosse quando si tratta di sanzioni o altri passi che i governi occidentali adotteranno", afferma Luke McNamara, cybersecurity analista presso Mandiant.
Gli Stati Uniti hanno imposto nuove sanzioni contro le istituzioni bancarie e finanziarie della Russia che operano nei mercati occidentali. La Casa Bianca ha anche implementato misure per “tagliare più della metà delle importazioni di alta tecnologia della Russia. “
Queste nuove sanzioni alla Russia limiteranno l'accesso della contea alla tecnologia e influenzeranno le sue "ambizioni strategiche di esercitare un'influenza sulla scena mondiale", ha affermato la Casa Bianca. Stanno pensando di imporre restrizioni più ampie su sensori, semiconduttori, chip, avionica, sicurezza della crittografia, navigazione e altre tecnologie.
Nel Regno Unito, il primo ministro Boris Johnson ha escluso le principali banche russe dai sistemi finanziari britannici.
Il malware militare russo
Le agenzie di sicurezza informatica statunitensi e britanniche hanno avvertito di un nuovo malware collegato alla Russia chiamato Cyclops Blink. Il malware è in grado di infettare le apparecchiature di rete, esfiltrare informazioni e attaccare ulteriormente altri dispositivi sulla rete. Il nuovo malware sostituisce il malware di spionaggio del Cremlino chiamato VPNFilter, che potrebbe rilevare la presenza di apparecchiature SCADA.
"Sebbene non ci siano minacce informatiche specifiche e credibili per gli Stati Uniti, incoraggiamo tutte le organizzazioni, indipendentemente dalle dimensioni, ad adottare misure ora per migliorare la propria sicurezza informatica e salvaguardare le proprie risorse critiche", ha affermato DHS.
La CISA, l'FBI, la NSA e l'NCSC del Regno Unito degli Stati Uniti hanno emesso un avviso congiunto su una minaccia dannosa nota come MuddyWaters da parte degli Advanced Persistent Threat Actor (APT) sponsorizzati dal governo iraniano. L'avviso afferma che MuddyWaters si rivolge a una vasta gamma di organizzazioni e settori governativi in Europa, Nord America, Africa e Asia.
"Abbiamo visto avvertimenti del governo sulle banche occidentali come bersagli, in rappresaglia per le sanzioni contro le principali banche russe, ma a questo punto non si può certo escludere una gamma più ampia di obiettivi", ha affermato Emily Kilcrease, direttore per l'energia, l'economia e programma di sicurezza presso il Center for New American Security.
S&P Global, un'agenzia di rating del credito, emette un avviso per possibili attacchi informatici a infrastrutture e istituzioni critiche.
"Gli attacchi informatici stanno diventando un mezzo sempre più diffuso per raggiungere gli obiettivi di politica estera, dati i loro costi di dispiegamento inferiori rispetto alle tattiche militari convenzionali e le incerte possibilità di rappresaglia", osserva S&P alert.
S&P ha citato l'esempio dell'incidente di NotPetya nel 2017 che ha colpito l'Ucraina e ha provocato un'interruzione globale di 7000 aziende in 65 paesi, con una perdita economica totale di circa 10 miliardi di dollari. Ulteriori indagini sull'incidente hanno rivelato che dietro la distribuzione di NotPetya c'erano sei ufficiali dell'intelligence russa.
Zahabia Gupta, analista di S&P, ha affermato che l'impatto economico di un attacco come NotPetya "potrebbe essere più grave ora, dato l'aumento dell'interconnessione e della digitalizzazione". Nel recente attacco ai siti Web ucraini, è stato utilizzato un malware wiper che ha cancellato i dati.
Risposta dall'Occidente
Ci sono state notizie secondo cui al presidente Joe Biden sono state presentate opzioni di rappresaglia per attacchi informatici, ma la Casa Bianca ha negato le notizie. Tuttavia, Kilcrease ha affermato che sfortunatamente "sarà un ciclo di escalation".
McNamara ha affermato che Mandiant sta tenendo d'occhio le attività dei gruppi di attacco informatico legati alla Russia, incluso il Berserk Bear, alias Temp.Isotope. L'equipaggio è noto per essersi infiltrato nel settore energetico critico utilizzando il protocollo SMB di Microsoft.
Secondo l'analisi della sicurezza informatica, con l'aumento delle sanzioni delle nazioni occidentali, l'Occidente potrebbe bloccare la Russia dal sistema bancario SWIFT e potrebbe portare ad attacchi al settore finanziario in risposta alle sanzioni.
“Disconnettere la Russia da SWIFT, sarebbe sicuramente un passo piuttosto significativo… Storicamente abbiamo visto quando hai un avversario di stato che ha una capacità ed è disconnesso da SWIFT, cosa sono disposti a fare. Lo abbiamo visto nel caso della Corea del Nord", afferma McNamara.
Qualunque sia la risposta della Russia, le aziende di tutto il mondo dovrebbero rafforzare la propria sicurezza mettendosi nei panni dell'avversario. McNamara ha fornito un esempio dell'attacco al Colonial Pipeline da parte di un gruppo di ransomware russo, Darkside, che ha portato alla chiusura degli oleodotti a causa della carenza di gas.
La stessa tecnica può essere utilizzata dagli aggressori per creare caos e disagi pubblici. Si dovrebbero prevedere questi attacchi e adottare misure per prevenire e mitigare tali scenari. "Anche solo una sorta di panico e le persone che corrono alla pompa per la benzina, è qualcosa che penso che tu debba pensare a come l'avversario potrebbe avvicinarsi a questo", ha detto McNamara.
Sicurezza di rete in mezzo all'escalation della crisi ucraina
Considerando l'attuale situazione in Ucraina, i clienti si sono rivolti ad Akamai, un fornitore leader di sicurezza cloud, per aiutarli con la sicurezza della loro rete. L'obiettivo principale è la mitigazione del traffico dannoso e il geoblocking per conformarsi alle nuove sanzioni, ha detto la società a The Register.
Akamai sta aiutando i clienti a bloccare il traffico, soprattutto perché sempre più regioni vengono occupate dai soldati russi, dopo Donetsk e Luhansk.
Anche Cloudflare ha seguito l'esempio e ha rimosso tutto il "materiale crittografico dei clienti dai server in Ucraina" come precauzione, in modo che le forze ostili non abbiano accesso a chiavi segrete o dati sensibili.
I ricercatori stanno mettendo in dubbio la possibilità di attacchi Distributed Denial of Service e se lavoreranno su obiettivi in Occidente, come in Ucraina. McNamara ha affermato che nel 2021 tali attacchi hanno avuto successo quando gli hacker iraniani hanno reagito contro nuove sanzioni al paese e hanno provocato interruzioni in banche e istituzioni finanziarie.
La Russia potrebbe usare attacchi DDoS per prendere di mira l'Occidente, ma la difesa contro tali attacchi è molto meglio ora che in passato.
"Quindi [gli attacchi DDoS] potrebbe essere che la preferenza per gli attacchi dirompenti o distruttivi sia qualcosa di più simile al malware wiper", afferma McNamara.
Kaspersky Lab, che ha sede a Mosca, non ha rilasciato alcuna dichiarazione ufficiale in merito all'effetto delle attuali sanzioni sulla Russia e alla situazione decorativa tra le Nazioni occidentali e la Russia. Hanno detto che i loro team internazionali stanno monitorando la situazione e sono pronti ad agire se necessario.