Si parla di guerra cibernetica quando una parte sferra un attacco informatico che ha l’obiettivo di danneggiare e rendere inutilizzabili le infrastrutture strategiche del nemico come istituzioni, trasporti, ospedali, banche, dighe e centrali nucleari. Normalmente chi commissiona questo tipo di azione si nasconde dietro a grandi gruppi di hacker indipendenti, in sostanza organizzazioni che funzionano come mercenari del web
Il 12 ottobre 2024 l’Iran ha denunciato di aver subìto un massiccio cyberattacco, una serie di attacchi informatici che secondo l’ex segretario del Consiglio supremo del cyberspazio, Abolhassan Firouzabadi, “si sono verificati sui tre rami del governo, della magistratura e del Parlamento” e “sono senza precedenti ed enormi”. Firouzabadi non ha menzionato la data del cyberattacco – che al momento non risulta confermato dalle autorità di Teheran – e ha detto che “sono stati presi di mira anche i nostri impianti nucleari, così come reti per la distribuzione del carburante, reti municipali, reti di trasporto, porti e settori simili”, aggiungendo: “Durante gli attacchi è stata rubata una grande quantità di informazioni”. Conferme ufficiali non ce ne sono ma l’attacco, sulla base di com’è stato descritto, potrebbe inserirsi in un contesto di cyberguerra.
Cos’è la cyberguerra
A livello giuridico la cyberguerra, o guerra cibernetica, viene definita come “l’impiego di incisive tecniche di intrusione o sabotaggio delle risorse informatiche e fisiche di un Paese avversario, effettuate in un contesto bellico, attraverso l’impiego di computer e reti di telecomunicazioni informatiche, volte a compromettere le difese, il funzionamento e la stabilità economica e socio-politica del nemico”. In sostanza la cyberguerra è un attacco informatico che ha l’obiettivo di danneggiare e rendere inutilizzabili le infrastrutture strategiche del nemico, non solo i suoi sistemi informatici quindi ma anche pilastri del funzionamento della società come trasporti, banche e ospedali. Ovviamente non accade mai che chi ordina l’attacco si metta poi in prima linea per rivendicarlo, motivo per cui quasi sempre i mandanti si nascondono dietro a grandi gruppi di hacker indipendenti, organizzazioni che funzionano come mercenari del web.
approfondimento
Israele-Iran, i risvolti cyber della crisi. PODCAST
Il caso Stuxnet
Uno dei più famosi e sofisticati attacchi informatici inseribili in un contesto di cyberguerra risale al 2010 ed è quello del worm Stuxnet, lanciato contro il programma nucleare iraniano e in particolare volto a disabilitare le centrifughe dell’impianto di arricchimento di Natanz, utilizzate per separare materiali come l’uranio arricchito. Si pensa che la diffusione di Stuxnet sia avvenuta dentro alla struttura tramite una chiavetta USB infetta, finita nelle mani di un inconsapevole ingegnere iraniano. Secondo molti esperti l’attacco ha seriamente compromesso la capacità dell’Iran di produrre le armi nucleari e si suppone – ma non esistono conferme – che sia stato opera del governo degli Stati Uniti in collaborazione con Israele.
approfondimento
Cybersicurezza, Sky TG24 dentro un centro di controllo anti hacker
Fancy Bear
Chi prende di mira soprattutto governi, forze armate e organizzazioni di Paesi transcaucasici (Georgia, Armenia e Azerbaigian) e di membri della Nato è il gruppo Fancy Bear, che si ritiene sia affiliato al GRU – il servizio di intelligence russo – ed è conosciuto anche con vari altri nomi fra cui APT28, Pawn Storm, Sofacy Group, Sednit, STRONTIUM, Tsar Team e Unità 26165. È considerato responsabile dell’attacco informatico che nel 2015 ha paralizzato il Parlamento federale tedesco per alcuni giorni e ha continuato a far sentire i suoi effetti per diversi mesi, sottraendo anche miliardi di dati. Nel 2016 l’organizzazione ha guidato un attacco di phishing contro il Comitato nazionale democratico statunitense – il malware proveniva dallo stesso server del sabotaggio alla Germania – e nel 2020 un cyberattacco alla posta elettronica del Parlamento norvegese. Fra il 2014 e il 2016, durante la crisi russo-ucraina, Fancy Bear ha diffuso la versione infetta di un’app usata da un’unità di artiglieria di Kiev per controllare i dati di puntamento: secondo gli esperti il 15-20% degli obici D-30 sono andati distrutti.
approfondimento
Cybersecurity, quanto è sicura la pubblica amministrazione italiana?
NotPetya
Nel 2017 il mondo – ma soprattutto l’Europa – ha dovuto fare i conti con NotPetya, un malware che ha colpito in particolare l’Ucraina danneggiando aziende energetiche, trasporti pubblici, aeroporti, siti governativi, diverse banche (compresa la Banca Centrale) e il sistema di monitoraggio di radiazioni della centrale nucleare di Chernobyl. L’ignaro vettore sfruttato per il sabotaggio in questo caso è stata la M.E.doc, un’azienda ucraina di software gestionali a loro volta presenti nei sistemi informatici di attività di tutto il Paese. La CIA e il Regno Unito hanno attribuito l’attacco a un altro gruppo collegato al GRU, il Sandworm Team, noto anche come Unità 74455.
leggi anche
L’intervista a un hacker ucraino: così combatto contro la Russia
Gli attacchi di Killnet
Uno dei gruppi hacker più recenti e famosi del mondo è Killnet, un collettivo filo-russo che nel 2022 si è reso responsabile degli attacchi al governo rumeno avvenuti fra il 29 aprile e l’1 maggio. Non solo: nello stesso anno – presumibilmente come ritorsione per il sostegno all’Ucraina – Killnet ha colpito anche una serie di siti e infrastrutture di Moldavia, Repubblica Ceca, Lituania, Norvegia, Stati Uniti, Giappone e Germania. E l’Italia non si è salvata: il 14 maggio 2022 anche il sito web del Senato è stato attaccato e bloccato per un’ora, mentre fra il 2 e 4 giugno Killnet ha colpito l’Agenzia delle Entrate e le Poste Italiane.
approfondimento
Attacco hacker al Senato rivendicato da gruppo russo Killnet: chi sono