Perchè la guerra in Ucraina è (anche) una guerra cyber e come possiamo difenderci

Mentre nell’est Europa infuriano i primi attacchi della guerra tra Russia e Ucraina, il 23 febbraio è stato identificato HermeticWiper, il primo malware ufficiale del conflitto armato. La particolarità di questo malware è quello di distruggere, fare danni nel sistema per renderlo inutilizzabile e soprattutto impossibile da ripristinare.

Secondo la casa produttrice di software ESET, il malware è già stato installato su centinaia di dispositivi ucraini da parte dei russi e risulterebbe altresì essere un malware programmato da tempo, almeno dal mese di dicembre.

Questo dimostra, se mai avessimo avuto bisogno di ulteriori prove, che l’attacco di Putin all’Ucraina parte da lontano e che questa guerra, che avrà ripercussioni inimmaginabili sul piano politico e internazionale, si combatterà tanto con i missili e le bombe, quanto da casa, davanti allo schermo di un computer.

HermetcWiper è pensato per uccidere, per distruggere: esattamente come le bombe che fanno tabula rasa di quello che incontrano, così questo malware è programmato per fare in modo che qualunque macchina infetta non sia più in grado di essere riavviata ed utilizzata.

Il malware, infatti, compromette la parte di unità di memoria destinata a memorizzare le istruzioni necessarie al sistema per effettuare il sistema di start up (cioè per accendersi e fare funzionare i programmi) e dunque, non essendo più in grado di funzionare, la macchina resta spenta. Per sempre.

I centri di ricerca di mezzo mondo stanno analizzando questo nuovo virus informatico, che al momento sembra “confinato” alle reti ucraine, ma pensare di confinare qualcosa nel mondo della rete è utile e fattibile quanto ipotizzare di raccogliere l’acqua dell’oceano con paletta e secchiello.

Anche in Italia è scattato l’allarme dell’Agenzia per la Cybersicurezza nazionale (ACN), la quale ha sottolineato come la guerra in Ucraina possa aumentare i rischi informatici a cui sono esposte le imprese italiane che intrattengono rapporti con l’Ucraina.

Bei tempi andati quelli in cui un semplice e banale ransomware criptava i dati all’interno del sistema oggetto di attacco al fine di chiedere il riscatto in denaro. Sembrano felici i giorni in cui era sufficiente adottare barriere di sicurezza, tecniche di criptazione e di backup dei dati per essere ragionevolmente tranquilli all’interno del proprio cyber perimetro. Con HermeticWiper, così come con missili e bombe, non si fanno prigionieri. Si colpisce per uccidere.

HermeticWiper non è il primo malware russo che preoccupa le reti di tutto il mondo, e di certo non sarà l’ultimo, visto che da anni la Russia utilizza l’Ucraina come laboratorio dove sperimentare strategie e strumenti di attacco informatici.

È stato coniato un nuovo termine, quello di hybrid war, guerra ibrida, per indicare una strategia di attacco che comprende azioni fisiche, attacchi cyber e diffusione di fake news mediante strumenti digitali e tradizionali. Ed è indubbio che quella che è scoppiata ieri in Ucraina è e sarà una guerra ibrida, che si combatterà tanto sul campo quanto attraverso la rete.

Le motivazioni appaiono ovvie. Sono indubbi i danni che un attacco cyber ben organizzato può provocare, e non solo in termini economici. Pensiamo a che cosa succederebbe se ad essere attaccati fossero gli ospedali, o le aziende farmaceutiche produttrici di farmaci salva vita. Ed anche i danni economici si possono ripercuotere sulla vita di milioni di persone, come ben sa l’Unione Europea, che per fermare la follia di Putin ha minacciato e sta mettendo in campo sanzioni di carattere economico ai danni della Russia.

Come difendersi?

L’Agenzia per la Cybersicurezza nazionale ha invitato le aziende italiane ad applicare un insieme di contromisure, concentrandosi per lo più sulla possibilità di attacchi ransomware (quindi presenza di firewall ben configurati, criptazione dei contenuti e dei dati, presenza di back up costantemente aggiornati fisicamente dislocati altrove), anche se il nostro Paese non è al momento nel mirino degli attacchi.

Ma, come già anticipato, le armi informatiche difficilmente possono essere arginate e controllate e viaggiano molto velocemente in Internet, diffondendosi senza tener conto di distanze fisiche o di frontiere tra stati.

Possiamo ipotizzare di dividere le possibili contromisure in due grandi categorie: quelle organizzative procedurali e quelle tecniche vere e proprie.

Quanto alle prime, è necessario definire in modo specifico i privilegi di accesso ai sistemi, utilizzando il principio del privilegio minimo (ogni utente deve poter acceder solo alla propria area di stretta competenza, e nulla di più), isolando e ripartendo quanto più possibile i propri sistemi. Fondamentale diventa la procedura di data breach o di incidente di sicurezza e di gestione degli incidenti (Disaster Recovery) e non basta soltanto averle: occorre testarle, organizzando breach drill e penetration test, in modo da verificarne l’effettiva utilità.

Le misure suggerite dalla ACN sono:

  • Identificazione dei flussi informativi e delle componenti direttamente interconnesse con partner e/o localizzate presso reti ucraine;
  • Creazione, aggiornamento, mantenimento ed esercizio periodico di capacità di incident response, di un piano di continuità operativa e resilienza in caso di perdita di accesso o controllo di un ambiente informatico (IT) e/o operativo (OT);
  • Incrementare le attività di info-sharing con le strutture di sicurezza informatica con particolare riferimento allo CSIRT Italia;
  • Prestare particolare attenzione alla protezione degli ambienti cloud prima di trasferire file rilevanti per le attività della propria organizzazione. Inoltre, si raccomanda di utilizzare i controlli di sicurezza resi disponibili dalle piattaforme cloud.

Le misure tecniche suggerite, che prevedono attività di monitoraggio e adozione generalizzata della autenticazione a più fattori sono:

  • Prioritizzare il patching di sistemi esposti ad internet;
  • Prioritizzare le analisi a seguito di individuazione di codice malevolo.

Si tratta di ottimi suggerimenti, che tuttavia non sempre tengono in debito conto lo stato dell’arte delle aziende e soprattutto delle Pubbliche Amministrazioni italiane, per molte delle quali avere un back up aggiornato è già sinonimo di sicurezza informatica di avanguardia, e della velocità di risposta agli attacchi che potrebbero incrementare già nelle prossime ore, come il letale HermeticWiper ci ha purtroppo insegnato.

Avv. Luisa Di Giacomo

Scrivi un commento

Accedi per poter inserire un commento