Invasione Ucraina, perché preoccuparsi di Anonymous e del crimine informatico?
Da Anonymus ai militari, quali sono i gruppi hacker attivi nel conflitto Russia-Ucraina
Dai semplici attacchi DDoS (che sovraccaricano di richieste i servizi presi di mira mandandolo in tilt) alle incursioni nelle televisioni russe, fino alle azioni che avrebbero addirittura ostacolato il trasporto ferroviario in Bielorussia. Il conflitto tra Russia e Ucraina ha una componente cyber non trascurabile, ma quali sono i gruppi che hanno preso parte a questa guerra elettronica sotterranea? Che tipo di azioni sono in grado di compiere? E come si suddividono lungo i due schieramenti? Creare una mappa degli hacker che hanno preso parte a questo conflitto digitale non è semplice: si va dai dilettanti che si organizzano attraverso seguitissimi canali Telegram e si arriva ai professionisti arruolati nell’esercito che si dedicano alle operazioni più strategiche e d’impatto.
ll fronte dei volontari anti-Russi
Nelle ultime settimane ha sicuramente tenuto banco il ritorno in grande stile e in funzione antirussa di Anonymous, il collettivo nato nei primi anni del Duemila e che ha raggiunto il massimo della celebrità a cavallo del 2010. Non si tratta però di un vero e proprio gruppo hacker: Anonymous è infatti privo di capi e di gerarchie. Chiunque partecipi alle missioni organizzate all’interno dei forum, delle chat e delle piattaforme di messaggistica diventa di fatto parte di Anonymous.
L’arma principale a disposizione del collettivo sono i già citati attacchi DDoS. È la forma più elementare di cyberattacco, attraverso la quale i siti web presi di mira vengono saturati da un numero enorme di richieste di accesso, rendendolo inaccessibile. Non è necessaria quasi nessuna esperienza per portare a compimento operazioni di questo tipo. Anzi, in rete si trovano numerosi servizi online che permettono di eseguire DDoS con quasi la stessa facilità con cui si fa un ordine su Amazon. Sono siti come come Str3ssed o CyberVM, che permettono di inserire l’indirizzo del sito preso di mira, scegliere l’intensità e la durata dell’attacco, effettuare il pagamento (ovviamente in criptovalute) e il gioco è fatto.
Un discorso molto simile si può fare per la IT Army in favore dell’Ucraina, annunciata su Twitter il 26 febbraio dal vicepremier ucraino Mykhailo Fedorov e che si organizza direttamente su Telegram, dove il canale dedicato conta oltre 300mila utenti. Anche in questo caso, sembra che le azioni riguardino principalmente attacchi DDoS. Nel momento in cui scrivo, l’ultimo messaggio visibile sul canale riporta infatti un elenco di siti web istituzionali delle regioni russe accompagnate da una scritta: “Le regioni della Federazione Russa sostengono la politica di sterminio dell’Ucraina. Assicuriamoci che nessuno veda la loro propaganda”. Si tratta quindi di un elenco di siti da attaccare tramite DDoS per renderli inaccessibili (e in effetti molti risultano già offline).
Ma se questo tipo di attacchi ha un valore principalmente simbolico (e può magari complicare la diffusione della propaganda del Cremlino), alcune operazioni rivendicate da Anonymous e dalla IT Army hanno un’efficacia maggiore. È il caso dell’incursione grazie alla quale Anonymous si sarebbe intrufolato nella televisione russa per mostrare immagini della guerra in Ucraina o degli attacchi con cui la IT Army starebbe cercando di rendere inservibili i bancomat utilizzati dai cittadini russi. È però difficile verificare oltre ogni dubbio quali di queste operazioni siano effettivamente andate a buon fine, a causa della natura informale di questi gruppi, della mancanza di riscontri dall’altra parte e della inevitabile confusione che c’è nella ridda di voci, gruppi e canali di comunicazione utilizzati.
Un altro collettivo importante sul fronte ucraino è quello dei CyberPartisans bielorussi. A differenza di Anonymous e IT Army, in questo caso si tratta di un vero e proprio gruppo di hacktivist (attivisti hacker), composto da meno di 20 persone dotate dell’esperienza necessaria per mettere a segno operazioni dall’impatto notevole. La più nota – e che è stata parzialmente confermata – è quella che in almeno due occasioni avrebbe colpito i sistemi gestionali del servizio ferroviario del paese, creando rallentamenti e altri disguidi.
Un’operazione motivata dal fatto che le ferrovie della Bielorussa contribuiscono al trasporto delle truppe russe utilizzate per invadere l’Ucraina. Per questi attacchi è stato utilizzato lo strumento dei ransomware: si tratta della forma di virus che più si è diffusa negli ultimi anni, in grado di cifrare e rendere quindi inaccessibili i documenti o i programmi presenti sui computer. Viene solitamente impiegato per chiedere riscatti (“ransom”, in inglese), ma in questa occasione ha mostrato un utilizzo molto diverso.
Il fronte che supporta il Cremlino
Il primo gruppo hacker ad annunciare invece la sua discesa in campo in favore della Russia è stato il Conti Group, che almeno dal 2019 imperversa per la rete compiendo attacchi contro aziende di ogni tipo – attraverso l’omonimo ransomware Conti – e poi chiedendo riscatti. “Un parte degli attori che operano con il ransomware Conti ha base in Russia e alcuni dei criminali che operano da qui hanno dei legami documentati con gli apparati di intelligence russi”, ha spiegato alla Reuters Kimberly Good, direttrice della società di cybersicurezza Mandiant.
Questi legami sarebbero alla base della scelta operata dal Conti Group, che ha minacciato di colpire le infrastrutture critiche di chi agirà contro la Russia. Fino a questo momento – al di là delle solite operazioni contro aziende tradizionali (che si trovano elencate direttamente sul loro sito) – non è chiaro se questo gruppo stia tenendo fede alle minacce, anche perché le azioni più complesse richiedono sicuramente tempi diversi. Quel che invece è certo, è che la scelta di schierarsi con la Russia ha già avuto conseguenze: qualcuno è infatti riuscito a intrufolarsi nei sistemi utilizzati dal gruppo Conti, diffondendo centinaia di migliaia di messaggi scambiati internamente tra i membri e pubblicando anche il codice del loro ransomware.
Ci sono parecchi ulteriori nomi, più o meno noti, in azione in questo frangente: “Si sono fatti vivi altri gruppi russi come XakNet, che si definiscono ‘patrioti russi’ e che hanno promesso vari attacchi contro obiettivi ucraini”, scrive Carola Frediani sulla newsletter Guerre di Rete. “Quasi dal nulla sembra essere sbucato Killnet, che riprende modi alla Anonymous ma contro Anonymous. Mentre gli Stormous Ransomware – un gruppo (…) con membri che parlano arabo e attivi dal 2021 – hanno annunciato la discesa in campo pro-Russia”.
La Russia è però nota da sempre per essere una delle nazioni più attive sotto il fronte degli attacchi informatici e per essere stata responsabile delle clamorose azioni – sempre rivolte contro l’Ucraina – che hanno provocato un blackout a Kiev o diffuso il famigerato virus NotPetya, che mandò in tilt il sistema informatico ucraino e poi si diffuse anche nel resto del mondo, provocando danni economici globali per 10 miliardi di dollari.
A occuparsi di azioni di questo tipo non sono certo hacker più o meno improvvisati, ma professionisti della cybersicurezza direttamente al soldo dell’esercito russo. Secondo le accuse del dipartimento della Giustizia statunitense, i reparti informatici del GRU (il servizio informazioni delle forze armate russe) sono responsabili anche degli attacchi alla campagna elettorale di Macron durante le elezioni francesi del 2017, del malware rivolto contro la cerimonia inaugurale delle Olimpiadi Invernali in Corea del Sud e parecchie altre azioni.
Le due unità più attive della GRU sono note con i nomi di Fancy Bear e Voodoo Bear e sono formate da militari che indossano l’uniforme e lavorano direttamente negli edifici governativi. Non è quidi un caso che per questo conflitto si sia utilizzato il termine di “guerra ibrida”, combattuta sia con gli strumenti tradizionali che con quelli digitali. Allo stesso tempo, non va sopravvalutata l’importanza dei cyberattacchi in questa fase: quando si passa ai missili, ai razzi e all’artiglieria, si capisce subito quali siano gli strumenti in grado di creare vera devastazione.
