Nell’era della digitalizzazione e della globalizzazione, il campo di battaglia si è notevolmente evoluto, passando dai tradizionali teatri di guerra a uno spazio virtuale sempre più pervasivo. L’articolo esamina questo fenomeno emergente, analizzando come gli hacker stiano assumendo un ruolo cruciale nella definizione delle dinamiche dei conflitti contemporanei. Con una crescente dipendenza dalla tecnologia e dalle infrastrutture digitali, gli attacchi informatici rappresentano una nuova forma di guerra, capace di destabilizzare nazioni e influenzare gli equilibri geopolitici.

Questo articolo approfondisce le sfide e le implicazioni di questa realtà in continua evoluzione, mettendo in luce le strategie adottate dagli attori statali e non statali e le possibili soluzioni per contrastare l’ascesa di questa minaccia globale.

guerra online
  1. Diffusione del concetto di guerra ibrida
  2. Guerra cibernetica, che cos’è
  3. Come e da chi vengono effettuati gli attacchi informatici in guerra?
  4. Gli attacchi informatici come arma offensiva ma anche difensiva: esempi dal conflitto russo-ucraino
  5. I limiti dell’attuale diritto internazionale

Una guerra ibrida

Il tradizionale combattimento, che si limitava ai campi aperti o trincee, è ormai un ricordo del passato.
Anche quando c’è una vittoria netta e decisiva sul campo di battaglia, questa a volte è insufficiente per porre fine al conflitto. Ancora più frequentemente, la battaglia si traduce in una distruzione di un’area così estesa che la vittoria stessa è inutile poiché il vincitore si ritrova ad avere il controllo del “nulla”.

A causa di questi fattori, si pensa che la guerra debba ora ibridarsi, o meglio includere nuove strategie che potrebbero rendere inabili gli avversari: senza necessariamente causare morti dirette e devastazioni di edifici. In questo senso si parla di guerra “ibrida”.
Le guerre ibride in informatica si riferiscono a un approccio combinato e multidimensionale alla guerra moderna, che integra elementi di conflitto tradizionale, azioni di cyber guerra e attività di disinformazione. In questo contesto, gli attori statali e non statali cercano di sfruttare le vulnerabilità dei sistemi di informazione e delle infrastrutture critiche dei loro avversari per ottenere vantaggi strategici e destabilizzarne la stabilità statale interna.

Le guerre ibride possono includere una serie di tattiche, come:

Attacchi informatici mirati

gli hacker possono violare sistemi e infrastrutture critiche, come reti energetiche, di trasporto o finanziarie, per causare interruzioni e danni significativi. Un esempio potrebbe essere l’attacco informatico Stuxnet del 2009.

Spionaggio cibernetico

gli attori possono intrufolarsi nei sistemi informatici per rubare informazioni sensibili, come segreti industriali, dati militari o informazioni private. Le attività di dumpster diving sono esemplificative di questo genere di processi.

Disinformazione e propaganda

attraverso l’uso di social media e altre piattaforme digitali, gli attori possono diffondere false notizie, teorie del complotto o manipolare l’opinione pubblica per indebolire la coesione sociale e seminare discordia.

Attacchi DDoS (Distributed Denial of Service)

gli aggressori possono saturare i siti web e i servizi online con una mole di richieste, rendendoli inaccessibili agli utenti legittimi.

Le guerre ibride in informatica rappresentano una sfida crescente per la sicurezza globale, poiché gli attori statali e non statali diventano sempre più sofisticati nel loro approccio. Combattere questa minaccia richiede un’azione coordinata da parte dei governi, delle istituzioni internazionali e del settore privato per rafforzare la resilienza dei sistemi informatici e promuovere la consapevolezza delle tattiche e delle strategie impiegate.

Guerra cibernetica, che cos’è?

Secondo la definizione di guerra cibernetica fornita dal nostro ordinamento, essa è

“l’utilizzo di tecniche incisive d’intrusione o sabotaggio delle risorse informatiche e fisiche di un paese avversario, effettuate in un contesto di guerra, mediante l’uso di computer e reti informatiche di telecomunicazione, con l’obiettivo di compromettere le difese, il funzionamento e la stabilità economica e sociopolitica”.

La guerra cibernetica è un tipo di conflitto che si svolge nel dominio digitale, in cui gli attori statali e non statali utilizzano tecniche informatiche avanzate per attaccare, difendere o manipolare le infrastrutture e i sistemi di informazione degli avversari. Essa comprende una serie di tattiche, come attacchi informatici, spionaggio cibernetico e disinformazione, mirate a ottenere vantaggi strategici, destabilizzare governi e influenzare gli equilibri geopolitici. In questo modo la nazione assalitrice ottiene un notevole vantaggio tattico poiché non solo riesce a distruggere i sistemi nemici ma si intrufola anche nel sistema avversario e, se non trovata in tempo, ne prende il controllo, influenzando l’esito del conflitto.

Come e da chi vengono effettuati gli attacchi informatici in guerra?

Gli attacchi informatici in guerra sono condotti da una vasta gamma di attori, tra cui:

  • governi
  • gruppi di hacker sponsorizzati da stati
  • organizzazioni terroristiche
  • criminali informatici.

Questi aggressori utilizzano metodi sofisticati e in continua evoluzione per violare i sistemi di informazione e le infrastrutture critiche degli avversari, causando danni significativi e ottenendo vantaggi strategici. Le forze armate e le agenzie di intelligence di molte nazioni hanno unità specializzate per condurre operazioni di cyber guerra, mentre gruppi di hacker sponsorizzati da stati agiscono spesso in modo indipendente, ma con il sostegno e l’approvazione tacita dei governi. La crescente minaccia degli attacchi informatici in guerra richiede una solida strategia di sicurezza cibernetica, collaborazione internazionale e un costante aggiornamento delle competenze per difendere le reti e le infrastrutture vulnerabili e contrastare gli attacchi perpetrati dai diversi attori coinvolti.

Quali sono gli obiettivi strategici nelle operazioni di cyberwar

Non tutti gli attacchi informatici sono uguali in termini di potenza e potenziale distruttivo. In generale, possono essere utilizzati per:

  • Rendere inutilizzabili le tecnologie

Per rendere inutilizzabile una tecnologia critica, è sufficiente attivare quello che è noto come Buffer Overflow. Un dato, o un’informazione del computer, che il server attaccato non è in grado di gestire, viene inserito nel server ostile. In breve, si è fatto ingerire al server nemico dati che non poteva processare: il server attaccato tenterà tutto il possibile per analizzare i dati e smetterà di fare qualsiasi altra cosa, causando la paralisi del sistema.

Come se fossero mercenari di guerra informatica, le nazioni si affidano spesso a bande di hacker per difendersi dagli attacchi informatici. Di seguito un panorama più ravvicinato.

  • L’organizzazione di hacking Killnet, che ha recentemente preso di mira i servizi di Trenitalia, del Senato italiano e del Parlamento europeo, è senza dubbio responsabile della maggior parte degli attacchi informatici russi.
  • La Cina si sta evolvendo in questo senso, ed è stata accusata dagli Stati Uniti di essere responsabile dell’hack del 2020 su Google, anche se ha negato ogni ruolo.
  • Il famigerato gruppo Anonymous ha spesso agito a sostegno della politica estera americana. Tuttavia, va notato che Anonymous si è spesso schierato contro gli Stati Uniti in tempo di pace, quindi è impossibile sovrapporre le azioni del collettivo su quelle del governo americano.

Esempi presi dal conflitto russo-ucraino

La natura ibrida e asimmetrica della guerra è emersa fin dall’inizio dell’invasione russa dell’Ucraina, con il dispiegamento simultaneo di armi convenzionali, armi cibernetiche e campagne di disinformazione.

La Russia possiede un vasto esercito di hacker altamente qualificati e non è novizia al concetto di guerra cibernetica, come evidenziato dagli attacchi informatici contro l’Estonia e la Georgia nel 2007 e nel 2008. I sistemi finanziari e dei media sono crollati a seguito di un attacco DDoS (Distributed Denial of Service) contro l’Estonia, che ha anche danneggiato gravemente sia i servizi pubblici che le attività commerciali sovraccaricando i server d’input. Nel caso della Repubblica georgiana, invece, l’attacco informatico è stato concomitante e collegato a un tradizionale attacco militare russo, consentendo alla Russia d’isolare totalmente e dominare il paese attaccato.

Nell’attuale contesto del conflitto russo-ucraino, la prima incursione informatica contro l’Ucraina si è verificata il 13 gennaio 2022, quando un malware con potenziale distruttivo chiamato WhisperGate è stato rilasciato nei sistemi del governo ucraino e delle organizzazioni, rendendo non disponibili le informazioni crittografate.

Nei giorni successivi sono stati lanciati numerosi attacchi DDoS contro i siti web dell’Esercito, del Governo e delle banche operanti sul suolo ucraino.
Inoltre, è stata lanciata una campagna di disinformazione tramite SMS su disservizi fittizi della rete ATM. Tuttavia, il 23 febbraio, il giorno prima che le forze russe invadessero l’Ucraina, è iniziata la vera e propria guerriglia nel cyberspazio. I siti web dei ministeri degli affari interni, degli affari esteri e della difesa, così come quelli d’istituzioni finanziarie come la Cassa di risparmio statale dell’Ucraina, sono stati l’obiettivo di una serie di attacchi DDoS lanciati dalla Russia quel giorno. Gli impatti di questi attacchi sono durati per giorni. Inoltre, le reti delle agenzie governative ucraine e delle aziende coinvolte nei settori della difesa, delle banche e dell’IT sono state compromesse da malware potenti come HermeticWiper e IsaacWiper.

Inoltre, sono stati individuati alcuni attacchi di phishing e altri attacchi volti a prendere il controllo del dispositivo colpito, nonché attacchi informatici contro società di telecomunicazioni e ONG operanti nell’area per ostacolare il flusso di aiuti umanitari.

A oggi, la guerra cibernetica tra Russia e Ucraina continua e ha esteso i suoi effetti oltre i confini dei due paesi, come testimoniano i recenti attacchi informatici a diversi paesi europei, tra cui l’Italia, da parte di un gruppo di hacker russi perché ritenuta colpevole di schierarsi con l’Ucraina e di fornendogli aiuti.

I limiti dell’attuale diritto internazionale in materia di cyberwar

Le due fondamenta del diritto internazionale relativo ai conflitti armati sono ius ad bellum e ius in bello, che presuppongono entrambe l’esistenza di due (o più) nazioni combattenti, con armi e corpi proprietari schierati sul campo di battaglia. Individui, imprese, collettivi e volontari stanno irrompendo nell’attuale scenario di conflitto. Inoltre, entità russe hanno intrapreso attacchi informatici contro nazioni non in conflitto.

La prima questione di sfida è se un ipotetico attacco informatico su un paese terzo membro dell’Alleanza Atlantica possa essere qualificato come attacco militare, tale da attivare l’articolo 5 del trattato NATO e quindi legittimare il diritto alla difesa, sulla base dell’articolo 51 della Carta delle Nazioni Unite.

Di fatto, non c’è consenso sull’assimilazione di un attacco informatico a un attacco armato.
Consideriamo gli attacchi DDoS, che interrompono ma non distruggono i sistemi.

La realtà rimane che un attacco informatico è considerato armato se viene condotto contro un’infrastruttura chiave e la distrugge, con conseguenti impatti cinetici. Dal punto di vista del diritto internazionale, le preoccupazioni sollevate da questa situazione includono quelle di proporzionalità e la precisa attribuzione della condotta informatica allo stato in guerra. Un ulteriore considerazione andrebbe alla cyber-resistenza attraverso hacker volontari: fino a poco tempo fa, il diritto internazionale prevedeva la distinzione tra militari e civili, così come tra obiettivi militari e civili.

Articoli che potrebbero interessarti: