Per un lungo periodo i conflitti fra Stati sono stati combattuti con mezzi militari tradizionali. Tuttavia, in seguito alla rivoluzione digitale, i governi di tutto il mondo hanno iniziato ad utilizzare nuove tecnologie per trasformare l’arena di guerra, passando dai classici terreni di battaglia ad un nuovo spazio virtuale.
Il nuovo campo di battaglia
Nella guerra cibernetica, attori statali e non statali (ad esempio i terroristi) attaccano i computer e le reti nemiche per diversi motivi. I vantaggi di questa tecnica sono evidenti: è possibile ottenere ugualmente danni ed effetti di ampia portata anche senza le regole, i costi e le potenziali vittime di una guerra in senso tradizionale. Inoltre, mentre un attacco aereo apparentemente ingiustificato potrebbe essere interpretato come un’aperta dichiarazione di guerra, un attacco informatico tramite virus, worm e trojan può sì causare ingenti danni, ma senza dovere per forza rappresentare un casus belli.
Negli ultimi anni si sono verificati episodi significativi di guerra cibernetica che hanno coinvolto diversi protagonisti: Stati Uniti, Israele, Iran, Russia, Corea del Nord. Ciascuna di queste nazioni porta avanti la propria concezione di guerra moderna sfruttando le debolezze degli avversari. Gli Stati Uniti e l’Iran, in particolare, si trovano in rotta di collisione da ormai diversi anni.
Stuxnet e i suoi parenti
Le attuali misure onnipresenti degli Stati Uniti contro l’Iran sono state precedute da anni di armamento cibernetico durante la Guerra Fredda sotto le potenze mondiali. Ideati principalmente per attività di spionaggio, gli attacchi informatici si verificano da oltre un decennio e possiedono anche un potenziale di distruzione fisica. Si dice infatti che la NSA statunitense e l’Unità 8200 israeliana siano i responsabili del primo grande cyber-attacco tramite il worm Stuxnet del 2010.
Stuxnet disattivò centinaia di macchinari all’interno di un impianto per l’arricchimento di uranio nella città iraniana di Natanz, rallentando il programma nucleare dell’Iran per diversi anni.
Nel maggio del 2012 la compagnia di sicurezza Kaspersky scoprì un programma malware chiamato Flame, che aveva attaccato vari computer del ministero del Petrolio iraniano rubandone ed eliminandone i dati. Pare che Flame sia collegato a Stuxnet, e che dunque sia allo stesso modo di origine israelo-statunitense. Con attacchi sofisticati e strumenti di difesa, Israele rimane una delle nazioni di punta per quanto riguarda la guerra cibernetica, come ha dimostrato due settimane fa attaccando un porto iraniano.
Pare che soltanto un anno fa, quando l’Iran abbatté un drone americano nel giugno 2019, gli Stati Uniti avessero risposto con un cyber-attacco; quella volta in particolare sembra che a farne le spese fu proprio l’infrastruttura dei Guardiani della rivoluzione.
L’attacco con Shamoon
Da molti anni, soprattutto dopo il disastroso attacco Stuxnet del 2010, l’Iran sta sviluppando delle competenze informatiche avanzate permettendo agli Ayatollah di evitare un confronto militare diretto con gli Stati Unit. Proprio poiché è difficile determinare l’origine dei cyber-attacchi via proxy. Teheran è stata ripetutamente accusata di colpire i propri avversari con attacchi informatici sofisticati e distruttivi, tra i quali il virus Shamoon ai danni della compagnia di petrolio saudita Aramco nel 2017: il malware violò oltre 2.000 file su 35.000 computer del colosso petrolifero e li rimpiazzò con delle bandiere statunitensi in fiamme.
Gli hacker iraniani vengono anche ricollegati a ripetuti attacchi ai danni di alcune importanti istituzioni bancarie, enti di formazione ed infrastrutture degli Stati Uniti. Secondo l’intelligence Usa, nel 2013 si impossessarono del centro operativo di una diga statunitense 20 miglia a nord di New York e l’attacco fu scoperto solamente due anni dopo.
L’Iran e la cyber war
Nel 2014 gli hacker iraniani attaccarono il casinò Sands di Las Vegas, paralizzando la maggior parte dei server aziendali e procurando un danno stimato intorno ai 40 milioni di dollari. L’attacco sarebbe stato pianificato in seguito alla dichiarazione del CEO del Sands, Sheldon Adelson: nel corso della disputa nucleare con l’Iran, Adelson aveva suggerito di detonare una bomba atomica nel mezzo del deserto del Nevada come avvertimento di quello che sarebbe potuto accadere a Teheran.
Microsoft ha riportato un attacco ancora più recente che risale ad ottobre 2019. Secondo la compagnia alcuni hacker iraniani avrebbero attaccato gli account di vari clienti Microsoft: oltre ad ufficiali del governo e giornalisti, i bersagli includevano esiliati iraniani e membri del team elettorale statunitense. Stando a Reuters, gli hacker avrebbero cercato di infiltrarsi nella campagna al fine di eleggere nuovamente Donald Trump come Presidente degli Stati Uniti.
La potenza cyber della Russia
Oltre al triangolo Stati Uniti-Israele-Iran, anche la Russia è ampiamente coinvolta nella guerra cibernetica. Nessun’altra nazione ha forse mai effettuato degli attacchi digitali in maniera così estesa ed impressionante come la Federazione, che per farlo cominciò ad attrezzarsi relativamente presto.
Secondo le informazioni, già negli Anni Novanta avrebbe usato le prime forme di internet per la guerra in Cecenia. Negli anni 2000 seguirono degli attacchi DDoS su ampia scala, sovraccaricando i computer nemici con una marea di richieste da parte di server esterni fino al punto di farli collassare. Nel 2007 gli hacker russi fecero in modo che certi computer sparsi in tutto il mondo, controllati in remoto tramite un botnet, indirizzassero i propri flussi di dati verso dei sistemi bancari estoni e siti del governo. Il risultato fu che gli utenti in Estonia non furono in grado di vedere nulla sui propri schermi, le pagine non si caricavano e i trasferimenti di denaro non andarono a buon fine. In precedenza vi era stata una disputa fra Russia ed Estonia, poiché quest’ultima aveva trasferito un discusso memoriale di guerra sovietico dal centro di Tallinn ad un cimitero militare. Nel 2018 la Russia bloccò l’infrastruttura digitale della Georgia all’inizio della guerra, e pare che anche un impianto di energia nucleare in Ucraina fosse stato momentaneamente paralizzato a causa di un cyber-attacco russo.
Mala vera notorietà della potenza cyber russa si è avuta con tutto quello che è avvenuto attorno allo scandalo mail di Hillary Clinton. Il vero e proprio colpaccio della Russia sarebbe avvenuto nel 2016, quando Wikileaks pubblicò diverse email interne da parte dei Democratici statunitensi durante la campagna elettorale presidenziale. Il cyber-attacco sarebbe partito proprio da un hacker russo; inoltre, come fu poi affermato dai servizi segreti americani, la Russia interferì attivamente nelle elezioni tramite la diffusione di fake news e dei suoi troll farms. Se da un lato è difficile (se non impossibile) quantificare gli effetti di tali azioni, dall’altro si può tranquillamente sostenere che la candidatura di Hillary Clinton non ne abbia tratto alcun beneficio. In ogni caso, senza alcuna conferma del ruolo attivo russo, Mosca ha saputo sfruttare queste accuse: l’America si è dichiarata pubblicamente vulnerabile e ha di fatto confermato la sua debolezza di fronte alla Russia.
Gli attacchi della Corea del Nord
Anche la Corea del Nord fa parte del conflitto, da quando nel 2014 Sony Pictures bloccò temporaneamente il rilascio negli Stati Uniti del film The Interview, in cui viene fatta una parodia del leader nordcoreano Kim Jong-un. Già in precedenza i computer di Sony Pictures erano stati bersaglio di un attacco informatico che rubò dei dati interni, tra cui informazioni personali sensibili; secondo i sospetti dei servizi segreti statunitensi, il responsabile dell’attacco sarebbe l’Ufficio 121, il miglior gruppo di hacker nordcoreano.
La Corea del Nord colpì di nuovo nel 2017, quando centinaia di migliaia di computer in 150 stati smisero di funzionare in seguito all’installazione di un ransomware che criptò tutti i dati e chiese in cambio un riscatto. A pagarne le spese furono soprattutto dei singoli privati, ma vennero coinvolte anche compagnie come Deutsche Bahn e Renault, il sistema sanitario britannico (NHS), il colosso della telefonia Telefónica ed il ministero degli Affari interni russo. Agli utenti fu ordinato di trasferire denaro utilizzando la criptovaluta Bitcoin; diversamente, il computer sarebbe rimasto bloccato. Subito dopo l’attacco alcuni esperti di sicurezza informatica segnalarono che il codice del malware riconduceva al gruppo Lazarus, ritenuto parte dei servizi segreti nordcoreani.
È fondamentale riconoscere che questi attacchi non sono degli incidenti isolati, ma episodi di una campagna continua, spesso pianificata e orchestrata nell’arco del tempo. Anche se vengono definiti “gruppi di hacker”, è impossibile negare che la maggior parte di queste associazioni, soprattutto nei regimi totalitari, siano la personificazione dell’intelligence di stato e dunque al servizio del rispettivo leader. In questi ultimi anni gli attacchi informatici sono diventati sempre più sofisticati e, con le elezioni statunitensi a novembre, la guerra cibernetica è destinata ad inasprirsi.
Traduzione a cura di Stefano Carrera