Nel loro ultimo report, gli esperti di Kaspersky hanno analizzato le attività del cyberspazio relative alla crisi ucraina, osservandone il significato in relazione al conflitto in corso e l’impatto in campo di cybersecurity. Questo report fa parte del Kaspersky Security Bulletin (KSB), una serie annuale di previsioni e report analitici sui principali cambiamenti nel mondo della cybersecurity.
Il 2022 è stato segnato da un conflitto militare in stile XX secolo, che ha comportato sicuramente incertezza e il serio rischio di dilagare nel continente. Una più ampia analisi geopolitica del conflitto in Ucraina e delle sue conseguenze è lasciata agli esperti, ma si sono verificati alcuni eventi informatici che si sono rivelati molto significativi.
La storia dell’anno, preparata dai ricercatori di Kaspersky nell’ambito del Kaspersky Security Bulletin, segue ogni fase del conflitto armato in Ucraina, gli eventi che si sono verificati nel cyberspazio e la loro correlazione con le operazioni sul campo.
Nei giorni e nelle settimane precedenti al conflitto militare sono stati osservati segnali e incrementi significativi di guerra informatica. Il 24 febbraio 2022 si è verificata una massiccia ondata di attacchi pseudo-ransomware e wiper che hanno colpito indiscriminatamente le organizzazioni ucraine. Alcuni erano altamente sofisticati, ma gli attacchi wiper e ransomware si sono rapidamente ridotti dopo l’ondata iniziale, con un numero limitato di incidenti degni di nota successivamente riportati. I gruppi spinti da motivazioni ideologiche che si sono manifestati durante l’ondata iniziale di attacchi sembrano ora inattivi.
Il 24 febbraio, gli europei che si affidano al satellite di proprietà di ViaSat hanno dovuto affrontare gravi interruzioni dell’accesso a Internet. Questo “cyber-evento” è iniziato intorno alle 16 UTC, meno di due ore dopo che la Federazione Russa aveva annunciato pubblicamente l’inizio di una “operazione militare speciale” in Ucraina. Il sabotaggio di ViaSat dimostra che i cyberattacchi sono un elemento base per i moderni conflitti armati e possono contribuire direttamente alle fasi principali delle operazioni militari.
Con l’evolversi del conflitto, non vi sono prove che gli attacchi informatici facciano parte di azioni militari coordinate da entrambe le parti. Tuttavia, sono emerse alcune caratteristiche principali che hanno definito lo scontro informatico nel 2022:
- Hacktivisti e attacchi DDoS. Il conflitto in Ucraina ha creato terreno fertile per nuove attività di guerra informatica da parte di vari gruppi, tra cui criminali informatici e hacktivisti, che si affrettano a sostenere la loro causa. Alcuni gruppi, come l’IT Army of Ukraine o Killnet, sono stati ufficialmente sostenuti dai governi e i loro canali Telegram contano centinaia di migliaia di iscritti. Mentre gli attacchi eseguiti dagli hacktivisti avevano una complessità relativamente bassa, gli esperti hanno assistito a un aumento dell’attività DDoS durante il periodo estivo, sia per quanto riguarda il numero di attacchi che la loro durata: nel 2022, un attacco DDoS medio è durato 18,5 ore, quasi 40 volte di più rispetto al 2021 (circa 28 minuti).
- Hack and leak. Gli attacchi più sofisticati hanno cercato di dirottare l’attenzione dei media con operazioni hack-and-leak e sono aumentati dall’inizio del conflitto. Tali attacchi prevedono la violazione di un’azienda e la pubblicazione dei suoi dati interni online, spesso tramite un sito web dedicato. Si tratta di un’operazione molto più difficile di un semplice defacing, poiché non tutte le macchine contengono dati interni che vale la pena divulgare.
- Repository open source contaminate, software open source come armi. Man mano che il conflitto si estende, i pacchetti open source più diffusi possono essere utilizzati come piattaforma di protesta o di attacco da parte di sviluppatori o hacker. L’impatto di questi attacchi può estendersi oltre il software open source stesso, propagandosi in altri pacchetti che si affidano automaticamente al codice manipolato.
“A partire dal 24 febbraio, ci siamo chiesti se il cyberspazio sia un vero riflesso del conflitto in Ucraina, se rappresenti l’apice di una vera e propria “guerra cibernetica” moderna. Ripercorrendo tutti gli eventi che hanno seguito le operazioni militari nel cyberspazio, abbiamo contestato l’assenza del coordinamento tra mezzi cibernetici e cinetici, declassando per molti versi la cyber-offesa a un ruolo subordinato. Gli attacchi ransomware osservati nelle prime settimane del conflitto si qualificano al massimo come distrazioni”, ha commentato Costin Raiu, Director of Global Research & Analysis Team di Kaspersky.
È possibile consultare il report completo sul conflitto informatico del 2022 su Securelist.com.
Questi articoli fanno parte del Kaspersky Security Bulletin (KSB), una serie annuale di previsioni e report analitici sui principali cambiamenti nel mondo della cybersecurity. Per altre informazioni sugli articoli di KSB è possibile consultare il seguente link.
Il 14 dicembre, alle ore 14:00, gli esperti di Kaspersky insieme ai rappresentanti della multistakeholder community discuteranno di come il confronto informatico del 2022 abbia influenzato lo stato attuale degli affari globali e di quali possano essere le conseguenze. Per seguire il webinar è possibile registrarsi qui: https://kas.pr/c7dt
