I cyberattacchi come strumento di guerra
Sophos Sophos, Cyber Threat, Cyberangriffe
Alla luce del dispiegamento di truppe russe al confine con l'Ucraina e degli attacchi DDoS che sporadicamente colpiscono l'Ucraina. Ucraina e degli attacchi DDoS (Distributed Denial of Service) che colpiscono sporadicamente i siti web del governo ucraino e i servizi finanziari. sporadicamente i siti web del governo ucraino e i servizi finanziari si parla molto della necessità di prepararsi ai conflitti informatici, sia che si tratti di che ci sia o meno una guerra vera e propria. Sebbene tutte le aziende debbano sempre essere preparate ad affrontare attacchi provenienti da tutte le direzioni, non è così. da tutte le direzioni. Ma può essere utile sapere sapere cosa cercare quando il rischio di attacco aumenta. Ho scelto di fornire una cronologia degli attacchi noti o sospetti dello Stato russo. attività note o sospette dello Stato russo nell'ambiente cibernetico. e di valutare quali tipi di attività aspettarsi e come prepararsi ad affrontarle. o come le organizzazioni possono prepararsi ad affrontarle.
Attacchi destabilizzanti di tipo denial-of-service
La prima attività nota risale al 26 aprile 2007.
quando il governo estone ha distrutto una statua che commemorava la liberazione dell'Estonia.
liberazione dell'Estonia dai nazisti da parte dell'Unione Sovietica.
posizione di rilievo. Quest'azione ha fatto infuriare la popolazione estone di lingua russa
russofona dell'Estonia e ha destabilizzato le relazioni con Mosca. In breve tempo
disordini di piazza, proteste davanti all'ambasciata estone a Mosca e all'ambasciata estone a Mosca.
ambasciata estone a Mosca, e un'ondata di DDoS-Angriffen auf estnische Regierungs- e di siti web di servizi finanziari.
e siti web di servizi finanziari. Sono stati preparati strumenti e istruzioni su come partecipare ai DDo
strumenti completamente preparati e istruzioni su come partecipare agli attacchi DDoS sono apparsi nei forum russi
forum russi quasi subito dopo lo spostamento della statua. Questi attacchi
sono stati indirizzati contro i siti web del presidente, del parlamento, della polizia
polizia, dei partiti politici e dei principali media.
Anche se altri "patrioti russi" sono stati chiamati ad aiutare in Estonia, ma non si è trattato di un movimento di base*. un movimento di base* che è spuntato dal nulla con strumenti e un elenco di obiettivi. dal nulla. La stessa tattica è stata usata in seguito da Anonymous in difesa di Wikileaks, utilizzando uno strumento chiamato Low Orbit Ion Canon (LOIC). Il 4 maggio 2007, gli attacchi si sono intensificati e hanno preso di mira anche i siti web di Wikileaks. gli attacchi si sono intensificati e hanno preso di mira anche le banche. Esattamente sette sette giorni esatti dopo, a mezzanotte, gli attacchi si conclusero bruscamente come erano iniziati. Tutti hanno immediatamente dato la colpa alla Russia, ma è quasi impossibile è quasi impossibile attribuire gli attacchi distributed denial-of-service. È ormai diffusa la convinzione che questi attacchi DDoS fossero opera della Russian Business Network (RBN) di un famigerato gruppo di criminalità organizzata in Russia con legami con lo spamming, le botnet e i programmi di affiliazione farmaceutica. programmi di affiliazione farmaceutica. I loro servizi sono stati apparentemente "utilizzati" per una settimana esatta "ingaggiati" per portare a termine questi attacchi.
Il 19 luglio 2008 è iniziata una nuova ondata di attacchi DDoS, rivolti a siti web di informazione e governativi in Georgia. contro siti web governativi e di notizie in Georgia. Questi attacchi si sono misteriosamente intensificati in maniera drammatica l'8 agosto 2008, quando 2008, quando le truppe russe hanno invaso la provincia separatista dell'Ossezia del Sud. Ossezia del Sud. Gli attacchi sono stati inizialmente diretti contro georgische Nachrichten- und Regierungsseiten, successivamente contro istituzioni finanziarie, imprese, istituti scolastici, media occidentali e un sito web georgiano di hacking. In Estonia, è apparso un sito web con un elenco di obiettivi e di obiettivi e una serie di strumenti con istruzioni su come utilizzarli. Anche in questo caso si è cercato di attribuire gli attacchi ai "patrioti", che resistevano all'aggressione georgiana. Ma il grosso del traffico del traffico effettivo dell'attacco proveniva da una nota botnet di grandi dimensioni, presumibilmente botnet che si ritiene sia controllata da RBN.
Deturpazione digitale e spam
Gli attacchi alla Georgia hanno incluso anche la deturpazione di siti web e massicce campagne di spam.
siti web e massicce campagne di spam per intasare le caselle di posta georgiane.
Caselle di posta georgiane. Tutto ciò è servito apparentemente a
nella capacità della Georgia di difendersi e governarsi.
e a impedire al governo di comunicare efficacemente con i suoi cittadini e con il mondo esterno,
Meno di un anno dopo.
meno di un anno dopo, nel gennaio del 2009, un'altra serie di attacchi
attacchi DDoS in Kirghizistan. Questo è avvenuto nello stesso periodo in cui il governo
Kirghizistan stava decidendo se rinnovare il contratto di locazione di una base aerea statunitense nel Paese.
base aerea statunitense nel Paese. Una coincidenza? Sembrava
che l'azione sia stata condotta ancora una volta dalla RBN, ma questa volta
non si trattava di uno stratagemma di "patrioti" che esprimevano la loro opinione digitale.
espressione.
Disinformazione e isolamento
Questo ci porta al conflitto cinetico più recente, quello in Crimea del 2014.
Dal 2009, contro l'Ucraina è stata condotta una guerra informativa di basso livello.
è stata condotta ad un livello basso contro l'Ucraina, con molti attacchi che coincidono con
coincidono con eventi che potrebbero essere interpretati come una minaccia agli interessi russi, come ad esempio un vertice della NATO.
interessi russi, come il vertice della NATO e i negoziati tra l'Ucraina e l'Unione europea.
e i negoziati tra l'Ucraina e l'UE per un accordo di associazione.
Nel 2014, il New York Times ha riportato che il software maligno aveva “Snake” in das Büro des ukrainischen Premierministers
e diverse ambasciate remote erano state penetrate quando sono iniziate le proteste antigovernative in Ucraina.
proteste antigovernative. Verso la fine del 2013 e
inizio 2014, ESET ha inoltre pubblicato una ricerca
che documenta attacchi a obiettivi militari e media, denominati "Operation Potao Express".
Come in precedenza, un gruppo informatico autoctono, chiamato
gruppo cibernetico chiamato "Cyber Berkut" ha effettuato attacchi DDoS e defacement del web senza provocare
ma senza causare danni rilevanti. Tuttavia, ha causato una grande
confusione, e già questo ha un impatto in tempi di conflitto.
All'inizio del conflitto, soldati senza insegne si sono impadroniti delle reti di telecomunicazione della Le reti di telecomunicazione della Crimea e l'unico hub internet della regione. internet della regione e hanno causato un blocco delle informazioni. blackout delle informazioni. Gli aggressori hanno abusato del loro accesso alla rete per identificare i manifestanti antirussi e inviare loro messaggi di testo e inviare loro messaggi SMS che dicevano: "Caro abbonato, sei sei registrato come partecipante a una rivolta di massa". Dopo aver isolato la capacità di comunicazione della Crimea, gli aggressori hanno manipolato la rete. Dopo aver isolato la capacità di comunicazione della Crimea, gli aggressori hanno manipolato la rete. membri del parlamento ucraino, impedendo loro di rispondere efficacemente all'invasione. rispondere efficacemente all'invasione. Come Military Cyber Affairs Come accennato, le campagne di disinformazione erano in pieno svolgimento: "in un in un caso, la Russia ha pagato una singola persona per avere diverse identità identità web diverse. Un attore di San Pietroburgo ha affermato che quando tre diversi blogger con dieci blog, mentre commentava su altri siti web. commentando su altri siti web. Un'altra persona è stata assunta a commentare notizie e social media 126 volte ogni 12 ore. commentando".
Elettricità paralizzata
Il 23 dicembre 2015, l'elettricità è stata bruscamente interrotta a circa la metà dei residenti di
Ivano-Frankivsk (Ucraina) ha subito un'interruzione improvvisa dell'elettricità. È opinione comune
che sia opera di hacker russi sostenuti dallo Stato.
hacker. I primi attacchi sono iniziati più di sechs Monate
prima del blackout, quando i dipendenti di tre centri di distribuzione di energia elettrica
hanno aperto un documento di Microsoft Office infetto contenente una macro che avrebbe dovuto
malware chiamato BlackEnergy, e gli aggressori sono riusciti a ottenere dati di accesso remoto
dati di accesso remoto alla rete SCADA (Supervisory Control and Data Acquisition).
e acquisizione dati) e prendere il controllo dei comandi della sottostazione.
controllo dei comandi della sottostazione per aprire gli interruttori.
aprire gli interruttori. Hanno quindi interferito con i controlli remoti al fine di
per impedire che gli interruttori venissero chiusi per ripristinare la corrente.
ripristinare l'alimentazione. Inoltre, gli aggressori hanno usato
hanno usato un "tergicristallo" per distruggere i computer usati per controllare la rete, e contemporaneamente hanno
computer utilizzati per controllare la rete, e allo stesso tempo hanno effettuato un'operazione di
denial-of-service (TDoS) telefonico inondando i numeri del servizio clienti, frustrando i clienti che
di assistenza clienti, frustrando i clienti che cercavano di segnalare le interruzioni.
frustrare i clienti che cercavano di segnalare le interruzioni.
Quasi un anno dopo, il 17 dicembre 2016, le luci si sono spente di nuovo a Kiev. Le luci si sono spente di nuovo. Una coincidenza? Probabilmente no. Questa volta il malware malware responsabile si chiamava Industroyer/CrashOverride ed era weitaus ausgefeilter. Il malware era dotato di componenti modulari in grado di scansionare la rete per trovare i controllori SCADA e di rete per trovare i controllori SCADA e parlare la loro lingua. lingua. Aveva anche un componente wiper per cancellare il sistema. cancellare il sistema. L'attacco non sembra essere possibile né con BlackEnergy né con il noto strumento di wiper KillD. né con BlackEnergy né con il noto strumento Wiper KillDisk, ma non c'erano dubbi su chi ci fosse dietro. non c'erano dubbi su chi ci fosse dietro.
Divulgazione delle e-mail
Nel giugno 2016, durante la serrata campagna elettorale per le elezioni presidenziali
tra Hillary Clinton e Donald Trump, è entrata in scena una nuova figura di nome Guccifer 2.0
che sosteneva di aver hackerato il Comitato Nazionale Democratico e di averne
e di aver fatto trapelare le sue e-mail a Wikileaks. Anche se questo
non sia stata attribuita ufficialmente alla Russia, è emersa insieme ad altre campagne di disinformazione
campagne di disinformazione durante le elezioni del 2016 e si ritiene che sia stato
ampiamente ritenuto che ci fosse dietro il Cremlino.
Attacchi alla catena di approvvigionamento: NotPetya
I persistenti attacchi della Russia all'Ucraina non erano ancora
non erano ancora finiti, e il 27 giugno 2017 hanno aggravato la situazione quando hanno
un nuovo malware chiamato NotPetya.
NotPetya è stato camuffato come un nuovo ransomware ed è stato distribuito attraverso una catena di fornitura violata
catena di fornitura di un fornitore ucraino di software di contabilità.
fornitore di software di contabilità. In realtà, però, non si trattava affatto di un ransomware.
Criptava un computer, ma non poteva essere decriptato, cancellando di fatto il dispositivo e rendendolo
di fatto cancellando il dispositivo e rendendolo inutilizzabile.
Le vittime erano nicht auf ukrainische Unternehmen
limitate. Il malware si è diffuso in tutto il mondo nel giro di poche ore.
in tutto il mondo nel giro di poche ore, colpendo soprattutto le organizzazioni che operano in
Ucraina, dove è stato utilizzato il software di contabilità con trappola esplosiva.
Si stima che NotPetya abbia causato almeno
si stima che NotPetya abbia causato almeno 10 miliardi di dollari di danni in tutto il mondo.
ha.
Sotto falsa bandiera
All'apertura delle Olimpiadi invernali di PyeongChang, il 9 febbraio 2018.
2018, era imminente un altro attacco che ha messo il mondo sulle spine.
mondo sulle spine. L'attacco di malware ha messo fuori uso tutti i controller di dominio della rete
rete e ha impedito che tutto, dal Wi-Fi alle biglietterie, venisse
tutto, dal Wi-Fi alle biglietterie, di funzionare correttamente.
Miracolosamente, il team IT è riuscito a isolare la rete,
a ripristinare il malware e a rimuoverlo dai sistemi, in modo che la mattina successiva
così che al mattino successivo tutto funzionava di nuovo, senza alcun errore.
È stato quindi il momento di eseguire un'analisi del malware,
per scoprire chi stava cercando di attaccare e spegnere
di mettere fuori uso l'intera rete olimpica. Attribuire il malware è difficile, ma c'erano alcuni indizi che potevano
alcuni indizi che potevano essere utili, oppure si trattava di falsi indizi che puntavano a
false piste che avrebbero dovuto puntare a una terza parte non coinvolta.
Le "prove" sembravano puntare alla Corea del Nord e alla Cina, ma era quasi
era quasi troppo ovvio incolpare la Corea del Nord. Alla fine
Igor Soumenkov di Kaspersky Lab, con un brillante lavoro investigativo.
ha trovato una pista calda che puntava direttamente a Mosca.
Qualche anno dopo, poco prima delle vacanze di fine 2020, è stato rivelato un attacco alla catena di approvvigionamento che ha preso di mira la catena di fornitura è stato rivelato un attacco che ha preso di mira il software SolarWinds Orion, utilizzato per gestire l'infrastruttura di rete di grandi e medie imprese. infrastrutture di rete di grandi e medie imprese in tutto il mondo, tra cui molte agenzie federali statunitensi. grandi e medie imprese di tutto il mondo, tra cui molte agenzie federali statunitensi. I meccanismi di aggiornamento del meccanismi di aggiornamento del software sono stati dirottati e utilizzati per installare una backdoor. L'importanza delle vittime in relazione alla in combinazione con l'accesso fornito dalla backdoor installata in modo surrettizio, fa di questo backdoor rende questo attacco potenzialmente uno dei più grandi e più dannosi Il Federal Bureau Investigation (FBI) degli Stati Uniti ha dichiarato che questo attacco è potenzialmente uno dei più grandi e dannosi attacchi di cyberspionaggio della storia moderna. Bureau of Investigation (FBI), la Cybersecurity and Infrastructure Security Agency (CISA), l'Agenzia per la sicurezza informatica e le infrastrutture. Infrastruttura (CISA), l'Ufficio del Direttore dell'Intelligence Nazionale (ODNI), e l'Ufficio del Direttore dell'Intelligence Nazionale (ODNI). Intelligence nazionale (ODNI) e l'Agenzia per la sicurezza nazionale (NSA) hanno rilasciato una dichiarazione congiunta in cui affermano che le loro indagini indicano che indagini indicano che: "... un attore di minaccia persistente avanzata, probabilmente di origine Persistenti Avanzate, probabilmente di origine russa, è responsabile della maggior parte o recentemente scoperti attacchi informatici in corso contro reti governative e non governative. governative e non governative. In questo momento riteniamo che si tratti e continuerà a trattarsi di un'azione di intelligence e continueremo a farlo. azione di intelligence e continueremo a farlo".
Il conflitto informatico russo nel 2022
Nel 2022, le tensioni cyber-politiche sono di nuovo in aumento
e sono sul punto di scoppiare. Il 13 e 14 gennaio 2022, numerosi
siti web del governo ucraino sono stati deturpati e i sistemi sono stati compromessi.
i sistemi sono stati infettati da malware mascherato da ransomware.
I componenti di questi attacchi ricordano il passato.
Il malware non era un ransomware, ma semplicemente un ausgeklügelten Wiper,
Come è stato utilizzato anche negli attacchi NotPetya.
sono state lasciate molte false tracce, suggerendo che fosse opera di ucraini,
che potrebbe essere opera di dissidenti ucraini o di partigiani polacchi.
Distrarre, confondere, negare e cercare di dividere sembra essere lo standard.
Martedì 15 febbraio 2022, si è tenuta una conferenza stampa nella sede di
15 febbraio 2022, una serie di attacchi DDoS è stata lanciata contro i siti web governativi e militari ucraini, nonché contro i siti di
siti web governativi e militari ucraini, oltre a tre delle maggiori banche ucraine.
banche ucraine. Con una mossa senza precedenti, il sito Weiße Haus bereits einige Geheimdienstinformationen freigegeben ha attribuito gli attacchi alla GRU russa.
Il manuale russo per la guerra informatica
E adesso? A prescindere da un'ulteriore escalation della situazione, le operazioni
operazioni informatiche continueranno sicuramente. Dalla caduta di
Viktor Yanukovych nel 2014, l'Ucraina è stata sottoposta a una costante raffica di attacchi, con alti e bassi variabili.
di attacchi, con vari gradi di alti e bassi.
La "Dottrina militare della Federazione Russa" ufficiale della Russia del 2010
Federazione Russa" del 2010 afferma: “die
vorherige Durchführung von Maßnahmen der Informationskriegsführung, um
politische Ziele ohne den Einsatz militärischer Gewalt zu erreichen, und
in der Folge im Interesse einer positiven Reaktion der Weltgemeinschaft
auf den Einsatz militärischer Gewalt." Questo indica una
di una continuazione dei precedenti comportamenti pre-conflitto e fa degli
attacchi DDoS un potenziale segnale di un'imminente risposta cinetica.
La guerra dell'informazione è un modo in cui il Cremlino tenta di influenzare il resto del mondo.
tentativo di orientare la risposta del resto del mondo alle azioni in Ucraina
false piste, false attribuzioni, interruzione delle comunicazioni e delle
mappature, comunicazioni disturbate e la manipolazione dei social media
sono tutte componenti importanti del concetto di
Russia di guerra dell'informazione. Non devono creare una copertura permanente per
attività sul terreno o altrove, ma semplicemente creare un sufficiente
sufficiente ritardo, confusione e contraddizione per permettere ad altre operazioni concomitanti
operazioni concomitanti possano raggiungere i loro obiettivi.
Preparare e proteggere
È interessante notare che gli Stati Uniti e il
Stati Uniti e il Regno Unito stanno cercando di prevenire alcune delle campagne di disinformazione che potrebbero
che potrebbero limitarne l'efficacia. Tuttavia, non dobbiamo
non dobbiamo dare per scontato che gli aggressori smetteranno di provarci, per cui dobbiamo restare
quindi dobbiamo rimanere preparati e vigili.
Ad esempio, le organizzazioni dei Paesi vicini all'Ucraina Ucraina dovrebbero essere pronte a essere coinvolte in truffe online, anche se non operano direttamente in Ucraina. anche se non operano direttamente in Ucraina. In precedenza attacchi e disinformazione sono trapelati in Estonia, Polonia e in altri Stati confinanti, anche se Estonia, Polonia e altri Stati limitrofi, anche se solo come danno collaterale. Da una prospettiva globale, dovremmo aspettarci di vedere un certo numero di un certo numero di freelance "patriottici" in Russia, vale a dire criminali di ransomware, autori di phish e operatori di botnet, combatteranno con uno zelo ancora maggiore di quanto agiranno con uno zelo ancora maggiore del solito contro obiettivi percepiti come contrari alla madrepatria. È improbabile che la Russia attacchi direttamente i membri della NATO. È improbabile che la Russia attacchi direttamente i membri della NATO e rischi l'invocazione del Artikel V rischio. I recenti gesti della Russia per arginare i criminali, della Federazione Russa e dei suoi partner nella Comunità degli Stati Indipendenti (CSI), tuttavia, sono probabilmente destinati a finire e a probabilmente finiranno e invece le minacce si moltiplicheranno. le minacce si moltiplicheranno.
Mentre una difesa profonda dovrebbe essere la cosa più normale al mondo dovrebbe essere la cosa più normale al mondo, ma è particolarmente importante quando ci troviamo di fronte a un aumento della frequenza e della gravità degli attacchi. frequenza e gravità degli attacchi. La disinformazione e la propaganda raggiungeranno presto l'apice, ma dobbiamo stare in guardia. ma dobbiamo stare in guardia, chiudere i boccaporti e tenere sotto controllo le nostre monitorare le nostre reti per rilevare qualsiasi cosa fuori dall'ordinario, man mano che i cicli di conflitto si cicli di conflitto si attenuano, anche se finiscono presto. Perché, come tutti sappiamo perché, come tutti sappiamo, possono volerci mesi per trovare le prove di un'intrusione digitale legate al conflitto russo-ucraino.
Post originale del blog di Jörg Schindler - Senior PR Manager di Sophos