Cybersecurity, l’altra guerra tra Russia e Ucraina. 50 gruppi di hacker attivisti schierati

Un gruppo di ricerca sulla sicurezza informatica che si chiama CyberKnow tiene traccia del cyberattivismo. Quelli che supportano la Russia dichiaratamente sono 14.

di Giancarlo Calzetta

10 marzo 2022

Anonymous, Curioni: “Attacco informatico può essere devastante, ma può sfuggire di mano”

5' di lettura

Il conflitto nato dall'aggressione russa ai danni dell'Ucraina ha generato uno scenario che non si era mai visto in passato: una cyber-guerriglia senza frontiere è intervenuta a supporto dello Stato attaccato, con una partecipazione di massa inedita. Il fronte più attivo è quello di Anonymous, il collettivo di hacker attivisti che di tanto in tanto sale agli onori della cronaca per qualche azione particolarmente eclatante. In realtà, Anonymous è attivo costantemente su molti fronti, ma essendo un’organizzazione completamente decentralizzata, non c’è un vero coordinamento e spesso si ha l’impressione che le azioni siano frutto di “cani sciolti” piuttosto che di azioni corali.

Un gruppo di ricerca sulla sicurezza informatica che si chiama CyberKnow ne tiene traccia con un elenco e ne ha evidenziati oltre 50. Di questi quelli che supportano la Russia dichiaratamente sono 14.Oltre al gruppo Conti, di cui si è parlato nei giorni scorsi come principale oppositore di Anonymous che sostiene Kiev - al cui interno però ci sarebbe una spaccatura - nelle liste pro Mosca ci sono il gruppo Free Civilian, Coming Project, Sandwarm, Ghostwriter, quest’ultimo riconducibile alla Bielorussia. Dalla lista emerge anche una serie di gruppi pro Kiev di provenienza dai paesi più disparati: Georgia (BlackHawks e Gng), Turchia (Monarch Turkish Hactivist), Indonesia (GreenXparta_9haan). Nella lista figura l’esercito di hakcer ucraino, IT Army of Ukraine, messo in piedi dal governo di Kiev per organizzare la controffensiva cyber e informativa contro la Russia, che al momento conta 280mila iscritti.

Cosa è successo finora

Il 26 febbraio, Anonymous ha dichiarato di esser scesa in guerra contro la Russia, per supportare la causa Ucraina. Da quel momento, sui numerosi account Twitter del gruppo, che proprio in virtù della sua decentralizzazione non ha un canale ufficiale ma diversi canali separati che a volte rilanciano le azioni, hanno iniziato a comparire rivendicazioni di numeri atti di sabotaggio informatico.

Si è partiti “facile” con compromissioni più che altro dimostrative, tese a rompere il muro di propaganda interna sulle operazioni di guerra, per arrivare ad azioni molto pesanti atte a interferire proprio con le forze militari in campo.Nei primi giorni, sono state hackerate delle colonnine di ricarica per auto elettrica che hanno iniziato a visualizzare messaggi pro-Ucraina, così come sono stati hackerati alcuni canali televisivi per trasmettere l'inno ucraino e altri messaggi di solidarietà e denuncia.

CONSIGLI24

I migliori consigli su prodotti di tecnologia, moda, casa, cucina e tempo libero

Libri

Intelligenza artificiale

Poi si è iniziato con le cose serie. Sembra, infatti, che le truppe russe in territorio ucraino non abbiano sistemi di comunicazione radio criptati e sono quindi state divulgate le frequenze e le istruzioni necessarie a intercettare le voci della catena di comando e degli operativi. Un database che comprendeva le credenziali di 129 utenti del ministero della difesa russo è stato reso disponibile per il download e poco dopo è stata rivendicata un'azione che ha bloccato il traffico ferroviario in Bielorussia, nazione che ha concesso il passaggio alle truppe russe. Anche queste operazioni più complesse sembrano l'opera di cani sciolti, con poca coordinazione, ma il livello delle competenze in campo sembra molto più elevato che nelle “solite” operazioni di Anonymous. Non è da escludere l'ipotesi che professionisti di alto profilo si siano “accorpati” al volo ad anonymous motivati dalla causa attuale.

Al momento non c'è alcun indizio che gruppi di hacker di Stato stiano attaccando la Russia, ma l'efficienza dimostrata in alcuni frangenti sembra mostrare una competenza e organizzazione che raramente si sono viste in passato. Anonymous, comunque, non è da solo.

Anche un altro collettivo hacker, meno famoso, sta agendo contro la Russia. Si tratta di GhostSec, per lo più dedito ad azioni contro entità terroristiche e che ha messo a segno alcuni colpi di grande impatto mediatico come l'esfiltrazione di un database contenente i dati personali di oltre 120.000 membri dell'esercito russo, inclusi numeri di telefono e indirizzi. A questi si affiancano gli attivisti hacker bielorussi, che sembrano agire in forma coordinata, ma che devono prestare molta attenzione alla protezione della propria identità dato che la nazione dalla quale operano è alleata di Mosca.

Un altro fronte che sta rafforzandosi è quello della cyber-forza interna dell'Ucraina. Il governo ha lanciato un appello all'inizio dell'attacco per chiedere collaborazione agli hacker sul proprio territorio e la risposta è stata notevole. Sembra che siano ancora in fase organizzativa, ma il loro scopo è quello di rafforzare le difese delle infrastrutture nazionali, costantemente sotto attacco probabilmente da parte di hacker russi.

Gli amici di Putin

Sul versante russo, il numero di attori attivi sembra decisamente meno numeroso. Sebbene Check Point Software abbia rilevato un aumento degli attacchi hacker contro l'Ucraina pari al 196% nei primi tre giorni di conflitto, sembra che le entità coinvolte siano molto poche. Le principali sono sicuramente quelle che fanno capo al governo russo. Si sono occupate di infettare con dei malware distruttivi i computer di vari enti governativi ucraini subito prima dell'offensiva militare. Eset, azienda specializzata in sicurezza informatica, ha rilevato due diversi malware che avevano lo stesso scopo, distruggere i dati sul disco fisso rendendo i computer inutilizzabili, e che erano stati impiantati nei bersagli addirittura prima della fine dello scorso anno.

A fianco di queste entità, sembra essere attivi anche dei gruppi “mercenari” di lingua russa che si occupano principalmente di attacchi mirati a minare infrastrutture secondarie o siti web di varia natura governativa.Infine, c'è il gruppo Conti. Questo è un gruppo di cyber criminali molto noto nel settore della cyber security perché particolarmente attivo negli attacchi ransomware, azioni che rubano e criptano tutti i file di un'azienda e permettono ai criminali di richiedere un riscatto per sbloccare l'operatività della vittima e non divulgare i dati sottratti. Recentemente, questo gruppo si era spinto in azioni eclatanti, bloccando un numero enorme di aziende e chiedendo riscatti per centinaia di milioni di dollari, tanto che addirittura in Russia avevano iniziato a persegurli. Adesso, alla luce della situazione innescata dall'attacco russo, si sono apertamente schierati contro il resto del mondo, annunciando che chiunque attacchi tramite mezzi informatici la Russia diventerà un loro bersaglio. Probabilmente, sperano che il governo russo si ricordi di questo avallo in futuro per garantirgli una maggiore libertà di azione.

Un fronte incrinato

Ma mentre il fronte dei difensori dell'Ucraina sembra molto solido e ben schierato dal punto di vista ideologico, quello russo fa acqua da molte parti. Un affiliato interno al gruppo Conti ha diffuso molti documenti interni e tutti i messaggi di una chat privata interna dalla quale si possono ricavare informazioni su strategie, tattiche e mire del gruppo. Dalla Russia sembra arrivare un flusso costante di informazioni riservate divulgate da quelli che sembrano membri di organizzazioni governative in dissenso con quanto sta accadendo e che hanno mandata all'aria già diverse operazioni sul campo. In definitiva, la situazione della guerra informatica sembra molto diversa da quella fisica e sta già influenzando pesantemente lo svolgimento del conflitto. Ci sarebbe da chiedersi cosa succederà quando tutto sarà finito sul campo, ma ce ne occuperemo quando sarà giunto il tempo.

Per approfondire