Dal 2014 hacker russi colpiscono aziende e istituzioni in Ucraina

Il conflitto armato o tra l’esercito ucraino e le truppe filo-russe ha innescato un’intensa attività informatica in quella regione, prendendo di mira soprattutto il territorio ucraino. E’ almeno dal 2014, dai tempi di piazza Maidan e dell’invasione della Crimea, che i russi hanno iniziato una intensa attività informatica contro Kiev, colpendo aziende e istituzioni. Emerge dai dati pubblicati da Thales, gruppo leader in Europa nei settori sicurezza e difesa.

Il gruppo di hacker Atk14 (BlackEnergy) è noto perchè prende di mira le aziende del settore energetico europeo. A partire dall’inizio del 2015, il gruppo si è infiltrato in un gran numero di società di distribuzione di energia elettrica ucraine per installare il malware BlackEnergy e accedere alla loro infrastruttura. Il 23 dicembre 2015, gli hacker hanno compromesso con successo i sistemi Scada (Supervisory Control And Data Acquisition cioè controllo di supervisione e acquisizione dati) di tre società energetiche ucraine e hanno chiuso le loro sottostazioni. Hanno usato il plugin KillDisk per distruggere i file sulle workstation. Il gruppo ha anche lanciato un attacco DDoS più convenzionale ai call center delle tre società per renderli non disponibili ai clienti. L’attacco ha lasciato circa 230.000 persone senza elettricità per quasi sei ore nelle regioni di Ivano-Frankivsk, Chernivtsi e Kiev. Questo attacco è stato uno dei primi casi di sabotaggio informatico diretto a una rete elettrica e ha dimostrato la determinazione e l’abilità degli aggressori. Non è ancora noto se il malware abbia causato l’interruzione di corrente o semplicemente abbia consentito ai suoi operatori di farlo manualmente.

Nel giugno 2017, un grave attacco informatico ha colpito altre aziende ucraine. Il malware utilizzato era questa volta una nuova versione di Petya, una famiglia di ransomware scoperta nel 2016, che aveva infettato i sistemi basati su Windows. Questo attacco soprannominato NotPetya, inizialmente mirato alle infrastrutture ucraine diffuse a livello globale ed è ancora considerato uno degli attacchi informatici più distruttivi mai realizzati. Gli aggressori hanno sfruttato la vulnerabilità di EternalBlue e hanno utilizzato computer privi di patch per invadere intere reti. Il governo del Regno Unito, attraverso il suo National Cyber Security Center, ha sostenuto che il responsabile fosse l’esercito russo con l’obiettivo di distruggere le compagnie energetiche e le istituzioni governative in Ucraina. Il costo stimato di questi attacchi è costato all’economia globale i 10 miliardi di dollari.

Nella notte tra il 13 e il 14 gennaio 2022, un attacco informatico chiamato “Operazione Bleeding Bear” ha colpito diversi siti del governo ucraino, rendendo temporaneamente inutilizzabile la struttura informatica dei siti di proprietà statale. L’attacco consisteva nella distruzione dei siti presi di mira, con la sostituzione della homepage con un messaggio di propaganda in ucraino. Una decina di sistemi (Windows e Linux) sono stati distrutti anche da un malware wiper. L’attacco è arrivato appena un mese prima dell’invasione decisa dal presidente russo Vladimir Putin durante l’arrivo delle forze filo-russe al confine con l’Ucraina. Gli ucraini hanno puntato il dito contro il gruppo di hacker noto come Unc1151, legato ai servizi segreti bielorussi. Anche in questo caso l’obiettivo portato avanti dal gruppo è stato quello di destabilizzare il governo ucraino, facendo perdere alla popolazione fiducia nelle proprie istituzioni.

Ma non c’è solo l’Ucraina. I Balcani occidentali – Bosnia-Erzegovina, Croazia, Kosovo, Macedonia del Nord, Montenegro, Serbia e Slovenia – sono anch’essi territorio di guerra informatica. In questa regione, dove persistono ancora tensioni etniche e religiose tra Kosovo e Serbia, e all’interno della stessa Bosnia-Erzegovina, l’Unione Europea sta cercando di portare stabilità politica attraverso accordi in attesa di un’eventuale integrazione. Ma il tema resta complesso perché anche la Russia esercita una forte influenza nella regione

Gli Stati baltici sono una regione in cui l’omogeneizzazione delle quattro dimensioni — identità, società, politica e territorio — si sta rivelando difficile. Questi paesi, che hanno dichiarato l’indipendenza nel 1990 dopo il crollo dell’Unione Sovietica, hanno rapidamente cercato di prendere le distanze dalla sfera di influenza della Russia rifiutando di essere integrati nella comunità degli stati indipendenti. Diversi hanno aderito all’Unione Europe e alla Nato nel 2004: l’ultima è stata la Croazia. Dal vertice di Varsavia del 2016, hanno beneficiato dello spazio aereo della Nato e della protezione a terra. Sebbene la regione possa sembrare ben protetta, rimane circondata dall’influenza russa a est ea sud (enclave di Kaliningrad e forze russe in Bielorussia) e si trova in parte lungo la via di accesso della Russia al Mar Baltico. Va inoltre notato che in questi paesi sono presenti significative minoranze russe (26,5% in Estonia, 26% in Lettonia e 5,8% in Lituania).

Nell’aprile 2007 dozzine di organizzazioni estoni — Parlamento, banche, ministeri del governo, giornali, ecc. — sono state simultaneamente prese di mira da un attacco DDoS. In questa campagna su larga scala, uno dei malware utilizzati era proprio BlackEnergy del gruppo Atk14 (BlackEnergy). Il risultato di questi attacchi è che la Nato ha deciso di istituire il suo centro di eccellenza per la difesa informatica proprio in Estonia.