Ogni giorno si combatte una guerra silenziosa, una guerra che non sparge sangue ma che miete centinaia di migliaia di vittime, una guerra il cui campo di battaglia non sono i mari, i cieli, o le pianure ma un mondo virtuale composto da reti di computer e server. Questo tipo di scontro, le cui armi sono virus e programmi “spia”, prende il nome, nel campo della Difesa, di Cyber Warfare, che possiamo tradurre come guerra cibernetica.

Da quando internet ha rivoluzionato il mondo in cui viviamo le reti telematiche sono state individuate, dagli organismi statali, come un assetto strategico da difendere e come un possibile bersaglio altamente pagante per creare scompiglio, o addirittura mettere fuori combattimento, l’avversario. La Cyber Warfare potremmo definirla come i provvedimenti che vengono presi dagli Stati per mettere in sicurezza le proprie reti telematiche e infrastrutture strategiche “online”, a cui si aggiungono gli attacchi informatici verso i medesimi assetti da parte di entità statuali o non statuali come organizzazioni terroristiche o attori privati.

Per questo rappresenta uno dei domini più importanti del teatro bellico, ed è l’unico dominio in cui, oggi, gli avversari si affrontano senza esclusione di colpi in una guerra giornaliera che, per il momento, non è a viso aperto, per non generare una guerra guerreggiata a “colpi di cannone”, o di missili. I soldati di questa guerra sono quelli che vengono comunemente definiti “hacker”, che non sono più solamente singoli privati cittadini che violano sistemi di agenzie pubbliche “per sfida” o per vendere un programma trafugato, ma organizzazioni complesse non direttamente riconducibili a Stati sovrani che radunano esperti del settore per mettere in atto campagne di attacchi sistematiche e su vasta scala. Proprio due recenti attacchi di quest’ultimo tipo sono emblematici sia per la portata che hanno avuto (e stanno ancora avendo), sia per le metodologie messe in atto.

Le ultime sull’attacco contro Solar Winds

Il primo, rivelato pubblicamente lo scorso dicembre, è stato scoperto dopo che FireEye, una delle principali società statunitensi di sicurezza informatica con contratti governativi e privati, aveva rivelato che hacker di un governo straniero si erano introdotti nella sua rete e avevano rubato gli stessi strumenti di hacking dell’azienda. Molti esperti sospettano che la responsabilità di questo attacco cibernetico sia da attribuire alla Russia, per via della “firma” lasciata nei sistemi e anche in quanto la società inizialmente colpita era sotto osservazione dall’Fbi sin dalla scorsa primavera.

L’obiettivo principale di quell’attacco cibernetico è stato un software di gestione del network creato da Solar Winds, i cui clienti includono anche enti federali, statali, locali e le principali società globali tra cui anche il dipartimento del Tesoro, del Commercio, la stessa Fbi e altri enti collegati alla Difesa compresi tutti e cinque i rami delle forze armate statunitensi, il Pentagono, il dipartimento di Stato, la Nasa, l’Agenzia per la Sicurezza Nazionale, il dipartimento di Giustizia e la Casa Bianca.

Potenzialmente, quindi, si è trattato di una delle più grandi campagne di spionaggio cibernetico della storia anche per quanto riguarda la sua durata, che risulta essere stata di più di un anno, e sebbene non si abbia la certezza della sua origine – quasi mai si riesce a individuarla – , per il momento sappiamo che le vittime di questo attacco sono, oltre agli enti governativi, società di consulenza, tecnologia, telecomunicazioni, compagnie attive nell’industria del petrolio e del gas in Nord America, Europa, Asia e Medio Oriente. Tutte accomunate dall’essersi affidate al medesimo software di Solar Winds, chiamato Orion Platform.

Anche Microsoft nel mirino

Più si setacciano le reti alla ricerca di sistemi maligni di spionaggio più se ne trovano, e così più recentemente, veniamo a sapere di una seconda vasta campagna di attacco cibernetico. Microsoft ha rivelato di aver individuato, grazie alla società di sicurezza Volexity, un gruppo di pirati informatici riconducibili ad un’entità statuale – che la società statunitense chiama Hafnium – che è riuscito a penetrare nei server di Microsoft Exchange sfruttando una vulnerabilità sino ad oggi sconosciuta nel software che gestisce i client di posta elettronica, incluso Outlook. Gli hacker hanno così potuto leggere di nascosto gli account di posta elettronica di obiettivi di alto valore.

Il fondatore di Volexity, Steven Adair, ha riferito che l’attività di spionaggio che hanno osservato è iniziata il 6 gennaio di quest’anno. La caratteristica di questo attacco è una maggiore aggressività e pervasività, pur cercando di mantenere un basso profili per evitare di dare l’allarme.

Lo scorso fine settimana è stato osservato un netto cambiamento nel comportamento dei pirati informatici, poiché hanno iniziato a utilizzare il loro punto d’appoggio su Exchange per scavare più a fondo nelle reti delle vittime. Dietro il gruppo Hafnium ci sarebbe, secondo gli esperti del settore e della Difesa statunitense, la Cina, che non è nuova a simili attacchi volti a setacciare il web in modo quasi automatico alla ricerca di informazioni.

Lo scorso ottobre avevamo raccontato del caso Zhenhua Leaks, ovvero di come la Cina ha raccolto informazioni personali su milioni di persone nel mondo in modo da utilizzarle per quella che è ritenuta la sua guerra ibrida. In quel caso 650mila associazioni e 2,4 milioni di persone nel mondo (tra cui 4mila esponenti di spicco della società in Italia) sono stati “archiviati” in dossier che includono date di nascita, indirizzi, stato civile, fotografie, associazioni politiche, parentele e identità social. Tutti dati raccolti “spiando” account Twitter, Facebook, LinkedIn, Instagram e persino TikTok, oltre che notizie sui media, casellari giudiziari e registri di reati aziendali.

Nell’attacco a Exchange si rivede la stessa “impronta” stilistica: i bersagli non sono stati i sistemi di grandi società o agenzie di Stato, come per il caso dell’attacco di dicembre a Solar Wind, bensì account di posta elettronica di piccole e medie imprese o di singoli cittadini in cui sono state lasciate delle backdoor per poter riavere accesso in automatico se necessario. Sembra quindi essere nuovamente una sorta di “dossieraggio” generalizzato, volto a catalogare personalità e società per un uso interno non meglio specificato ma che, riteniamo con una certa sicurezza, sia funzionale al concetto di guerra ibrida cinese che, oltre ad abbracciare tutti i campi di azione (da quello militare a quello civile), ha la finalità di fornire a Pechino tutti gli strumenti per diventare la potenza globale predominante scalzando gli Stati Uniti. Avere un dossier su un’impresa, o su un singolo amministratore delegato o politico, significa “conoscere il tuo nemico”, quindi poterlo sedurre o eventualmente distruggere con strumenti ad hoc.

Perché gli attacchi sono sempre più vasti

Anche quest’ultimo attacco informatico, come quello “russo” rivelato a dicembre, ha la caratteristica principale di essere di ampia portata, di difficile individuazione e attribuzione: sarebbero più di 30mila i server “infettati” nei soli Stati Uniti, e potenzialmente si parla di centinaia di migliaia nel mondo.

Proprio la vastità dell’offensiva cibernetica “cinese”, così come per quella “russa”, implica che se ciascuno dei soggetti coinvolti non provvederà autonomamente a “ripulire” i sistemi coinvolti, ci saranno sempre delle “porte aperte” attraverso le quali potranno inserirsi i pirati informatici e continuare a diffondere “programmi spia” che possono continuare autonomamente a propagarsi.

Gli attacchi informatici sono oggi quindi uno dei principali strumenti di guerra grazie alle loro caratteristiche intrinseche: in un mondo “informaticamente fluido” e “aperto” è quasi impossibile mettere in sicurezza in modo efficace un sistema (a meno che non sia del tutto isolato) ed è parimenti molto difficile individuare la fonte di un attacco. Ecco perché gli Stati hanno cominciato a coordinare gli attacchi cibernetici attraverso squadre di pirati informatici che operano in modo autonomo, alle dipendenze di un governo, ma in modo tale da non essere riconducibili allo stesso.

Gli attacchi quindi sono sistematici, sempre più su vasta scala e sempre più effettuati in modo “silenzioso” e approfondito, per essere pervasivi. Il “cavaliere solitario” che viola il sito della Nasa o del dipartimento della Difesa è ormai relegato all’ambito letterario: la guerra cibernetica è una vera guerra, che miete vittime e che è funzionale agli interessi di uno Stato, e mentre prima dell’avvento dell’era di internet era possibile catturare una spia, smantellarne la rete, ora è molto difficile colpire associazioni di hacker che si trovano comodamente seduti dietro a un Pc in patria, ed è altrettanto difficile, quasi impossibile, ergere barriere telematiche invalicabili.