Con l’inizio della guerra alle porte d’Europa, il tema si è fatto di stringente attualità anche se quello del cyber warfare è argomento di vecchia data. E se in Italia una consapevolezza piena di tutto ciò che riguarda il mondo “oltre lo schermo” è ancora di là dal venire, lo sa molto bene l’intelligence a stelle e strisce.

Nell’Annual threat assessment, il documento di valutazione annuale delle minacce redatto dall’U.S. Intelligence Community (il network federativo che racchiude 17 agenzie d’intelligence tra cui Cia, Nsa e Fbi), una sezione d’onore spetta al fronte cyber.

Destinato ai membri dei comitati di vigilanza sui servizi d’intelligence, nel report di febbraio 2022 (che riporta informazioni aggiornate al mese precedente, con una panoramica dell’anno appena trascorso), accanto a capitoli dedicati al cambiamento climatico, al crimine organizzato, al terrorismo globale e ai crimini finanziari, quello relativo ai Cyber crime parla di un progressivo e inesorabile incremento non solo del numero di attacchi rivolti a infrastrutture critiche e privati americani, ma soprattutto della “qualità” di questi attacchi, che diventano di giorno in giorno sempre più sofisticati.

Secondo il report, a foraggiare questa crescita esponenziale del fronte cyber è la prospettiva di un guadagno facile, di “porti sicuri” da cui operare e la “diminuzione delle barriere tecniche all’ingresso di nuovi attori”. Sempre dalla sezione dedicata, si legge che molti tra i principali gruppi di cyber criminali, nel 2021 hanno diversificato il loro “modello di business”, per esempio semplificando notevolmente i passaggi per ottenere pagamenti da parte delle vittime (con particolare riferimento ai privati che incappano in diversi tipi di truffa); specializzandosi in furti d’identità; ampliando la gamma (e la pericolosità) dei ramsonware. In particolare, recita il documento, “gli aggressori stanno innovando le loro strategie di targeting per concentrarsi sulle vittime le cui operazioni commerciali mancano di resilienza o la cui base di consumatori non è in grado di sostenere interruzioni del servizio”. Gli esempi non mancano: pensiamo al caso (che risale proprio a un anno fa) della Colonial Pipeline, quando gli Stati Uniti sono stati messi a dura prova per un attacco al sistema di oleodotti della East Coast.

In questo report annuale vengono poi presi in esame – con dei focus specifici – alcuni Paesi considerati dall’intelligence Usa degni di attenzione particolare. Per ciascuno di questi, i redattori del documento stilano (tra le altre cose) quella che potremmo definire una vera e propria classifica di pericolosità cyber. La riportiamo integralmente, dall’ultimo al primo posto:

4) Corea del Nord: secondo il report, il paese di Kim Jong-un è all’avanguardia per quanto riguarda il cyber crimine e lo spionaggio informatico. In particolare, Pyongyang sarebbe meritevole di specifica attenzione soprattutto per la capacità di sferrare attacchi a sorpresa, come dimostrano alcune azioni particolarmente audaci del passato (ma non viene specificato quali). Stando ai relatori, la Corea del Nord sarebbe in grado di causare temporanei e limitati malfunzionamenti dei network di alcune infrastrutture critiche e commerciali negli Stati Uniti, nonché di spiare giornalisti, accademici, organizzazioni governative e di difesa di diversi Stati.

3) Iran: sul gradino più basso del podio la Repubblica islamica guidata da Ebrahim Raisi. Nel documento si legge che l’expertise dell’Iran in campo cyber sta crescendo velocemente, consentendogli di essere una minaccia concreta non solo per gli Usa, ma anche per i paesi alleati. Stando al report, quello dell’Iran verso il cyber crimine è un “approccio opportunistico”, dunque particolarmente insidioso. Non viene specificato bene cosa s’intenda per “opportunistico”, ma stando a testimonianze dirette raccolte qui in Italia, potrebbe trattarsi dell’attitudine iraniana di arrivare ai sistemi critici di organizzazioni, infrastrutture o simili attraverso il miglior cavallo di Troia esistente: l’uomo.

Inoltre, il documento cita gli attacchi sferrati nel 2020 da Tehran verso il sistema idrico israeliano. Questo a dimostrazione di come l’Iran sia “più disposto di prima a prendere di mira paesi con capacità di difesa più forti”. Insomma, per citare De Gregori “il ragazzo si farà”.

2) Cina: dobbiamo dirlo, è un secondo posto che vale quasi quanto il primo. La sezione dedicata al paese di Xi Jinping è decisamente ampia e dettagliata e mostra senza ombra di dubbio quanto gli Stati Uniti guardino con preoccupazione al gigante asiatico. Nell’introduzione alla sezione cyber si legge: “Valutiamo che la Cina rappresenti la minaccia di spionaggio informatico più ampia, più attiva e persistente per il governo degli Stati Uniti e le reti del settore privato. Le attività informatiche cinesi e l’esportazione delle relative tecnologie aumentano le minacce di attacchi contro gli Stati Uniti, la soppressione dei contenuti web statunitensi che Pechino considera minacciosi per il suo controllo e l’espansione dell’autoritarismo guidato dalla tecnologia a livello globale”. Il documento continua sostenendo che “quasi sicuramente” la Cina dispone della capacità di lanciare attacchi cyber in grado di mettere in ginocchio infrastrutture critiche e di servizi, con particolare riferimento alle reti di oleodotti, di gas e al sistema ferroviario. Inoltre, secondo gli analisti Usa, la Cina sarebbe all’avanguardia nei sistemi di spionaggio, censura, sorveglianza della popolazione e dei dissidenti (ovviamente ben oltre i confini nazionali). La sua capacità più pericolosa, però, è quella di penetrare all’interno di sistemi particolarmente sensibili per la sicurezza nazionale, non solo con l’obiettivo di esfiltrare dati, ma anche con quello di “influenzare” le operazioni. Insomma, il Grande fratello sembra avere gli occhi a mandorla.

1) Russia: al primo posto non poteva che esserci l’eterna nemesi Usa. Nell’introduzione il quadro è molto chiaro: “Valutiamo che la Russia rimarrà una delle principali minacce informatiche, poiché perfeziona e utilizza le sue capacità di spionaggio, influenza e attacco. Valutiamo che la Russia consideri l’interruzione informatica come una leva politica estera per plasmare le decisioni di altri paesi, nonché uno strumento militare e deterrente”.

Secondo il report, il paese guidato da Putin (ricordiamo che al momento della pubblicazione di questo documento non era ancora partita l’invasione dell’Ucraina) ha una particolare attrazione per i cavi subacquei e i sistemi di controllo industriale, con specifico riferimento agli Usa ma anche ai suoi alleati o partner diplomatico/commerciali. Questo – sempre stando alle valutazioni degli analisti americani – perché la capacità di compromettere certe infrastrutture (soprattutto nei periodi di crisi – e il riferimento sembra proprio alla Colonial Pipeline, presa di mira dal collettivo russo Dark Side) sarebbe una vera e propria dimostrazione di forza. Praticamente un mostrare i muscoli.

Come se non bastasse, il Cremlino utilizzerebbe sofisticati attacchi cyber per piegare qualunque tipo di minaccia (o presunta tale) in grado di interferire con gli interessi russi, di qualsiasi genere. In particolare, la Russia avrebbe una certa propensione ad hackerare i dispositivi dei giornalisti non allineati. Che siano russi o di un’altra nazione, poco importa.

In conclusione, abbiamo chiesto un parere a uno dei maggiori esperti italiani di cyber security, Alessandro Curioni, che con il suo romanzo Il giorno del bianconiglio, pubblicato un anno fa proprio nei giorni in cui la Colonial pipeline americana finiva sotto attacco, sembra aver anticipato i tempi:

“Il quadro, dal punto di vista degli Stati Uniti, ma anche in generale, è abbastanza chiaro” commenta Curioni “sicuramente questa classifica mostra le quattro realtà che rappresentano, per ragioni diverse, i paesi con le maggiori capacità offensive dal punto di vista cyber e che, in qualche modo, rappresentano una minaccia per l’Occidente in generale. Questa è una classifica storica, sono ormai diversi anni che gli Stati Uniti guardano alla situazione in questo modo. Sicuramente la preoccupazione cresce a causa di quella che chiamiamo digital transformation, il progressivo passaggio di tutti i sistemi di gestione delle infrastrutture – critiche e non – al digitale”.

“Avete citato la Colonial Pipeline, ma di casi ce ne sono stati tanti – aggiunge Alessandro Curioni, fondatore e presidente della Digi Academy – in particolare, il tema dei potenziali attacchi alle risorse idriche è stato indicato già l’anno scorso dal Dipartimento di Stato Usa come quello che potrebbe essere il malware del futuro, definito per l’occasione killerware. Questo sulla base di un fatto accaduto nella cittadina di Oldsmar, in Florida, in cui mentre un operatore guardava il monitor del suo computer all’interno di un impianto di trattamento delle acque, si è accorto che il sistema di potabilizzazione dell’acqua era stato compromesso. Qual è il problema generale? Quello che se da un lato ci sono paesi che riescono a fare information sharing, che cioè condividono con le altre nazioni le conoscenze riguardo le nuove frontiere dei pericoli cyber, ci sono altri paesi in cui l’esistenza di un condivisione delle informazioni in merito agli attacchi cyber e alle loro modalità funziona poco e male. Quindi diventa difficile non solo prevenire, ma anche affrontare in modo efficace le tecniche di attacco che si evolvono di giorno in giorno”.

Se questa mancanza di informazione sia per una sorta di pudore reputazionale o per incapacità, non è dato saperlo, ma c’è una terza opzione: “Nel report statunitense si nota la completa mancanza di informazioni precise. È vero, si parla di molti attacchi, ma non si dice quali, dove, né quando sarebbero avvenuti. Questo mi fa pensare a una strategia precisa, quella di non far sapere al nemico quello che si sa di lui e sulle sue capacità”.

Per concludere, un commento generale sulla validità di questa panoramica delineata all’interno del documento. “Certamente il quadro proposto è verosimile. Tanto per dire, in Israele hanno già rilevato che rispetto al primo trimestre 2021, nel primo trimestre 2022 gli attacchi sono fondamentalmente raddoppiati. E venivano da un anno – il 2020 – in cui gli attacchi erano già raddoppiati. E senza andare troppo lontani, se guardiamo l’inizio di questo secondo trimestre qui in Italia c’è stato l’attacco ad Abi (Associazione bancaria italiana) e, proprio ieri, l’attacco al Fatebenefratelli Sacco di Milano. Dal punto di vista degli Stati Uniti, c’è uno scenario bellico che è rappresentato da tutto l’universo cyber”. E come dargli torto, viene da aggiungere.