Il ruolo dell’hacking nel conflitto Russia-Ucraina

1. L’hacking prima del conflitto Russia-Ucraina
2. Cosa significa attaccare un popolo virtualmente
3. Hacker filo-russi su Telegram
4. Come si difendono gli hacker ucraini e i loro alleati
5. L’armata di Budorin

Nel conflitto Russia-Ucraina, i due eserciti schierati non si trovano solo sul campo di battaglia, ma anche in rete.
Si tratta di una guerra non solo “umana ed economica”, ma bensì un conflitto che ci combatte anche all’interno della rete, con lo scopo principale di minare, tramite l’uso di azioni offensive nel cyberspazio.

Il conflitto cibernetico genera eventi dannosi quali il mancato funzionamento di reti e sistemi informatici attraverso:

• L’intercettazione di dati;
• La compromissione delle infrastrutture destinate alla produzione e alla distribuzione delle risorse, come gas, luce e acqua;
• Paralizzando le reti finanziarie e commerciali, per esempio quello dei trasporti.

Pur non essendo il primo conflitto tenente azioni offensive o difensive cibernetiche, non possiamo ignorare l’importanza dell’uso dell’hacking nel conflitto russo-ucraino.

La comunità hacker si sta schierando nella guerra ibrida (in-real-life e cyber) lanciata dalla Russia nei confronti dell’Ucraina, dove hanno preso velocemente posizione nel conflitto numerosissimi gruppi di cyber criminali e collettivi di hacktivisti, come Anonymous.

Le radici dell’hacking si sono sviluppate negli anni precedenti dello scoppio del conflitto.
Nell’anno 2013 il Cremlino inizia una serrata campagna hacking chiamata “Armageddon“, in risposta all’enorme movimento di protesta Euromaidan sviluppatosi in Ucraina per avvicinarsi maggiormente all’Europa e all’Occidente, “Euromaid”.
Successivamente, la campagna hacking diventa sempre più aggressiva, con attacchi finanziati dai potenti e dallo Stato. Per esempio, durante la guerra in Crimea, la rete elettrica ucraina è stata attaccata da numerosi DDoS, provocando black-out nel Paese fino allo sfinimento.

Il clima era decisamente teso.
Prima degli eventi catastrofici che da mesi conosciamo, nella notte tra il 13 e il 14 gennaio 2022 gli hacker russi presero d’assalto più di 70 siti Internet del governo ucraino. Rimasero offline per alcune ore siti istituzionali come quello del Ministero degli Affari Esteri, della Difesa e dell’Educazione. Su tutti i siti un messaggio in lingue russo, polacco e ucraino recita: “Cittadini ucraini! Tutte le informazioni su di voi sono diventate pubbliche, abbiate paura e aspettatevi il peggio”.

Ben prima dell’arrivo dei militari in suolo ucraino, gli hacker filo-russi, in maniera indipendente o pagati dal Cremlino, hanno seminato confusione nella vita dei cittadini ucraini.

Infatti, sono attaccati i siti istituzionali delle Nazioni che stanno sostenendo lo Stato ucraino.
A loro sono attribuiti innumerevoli attacchi DDoS, che hanno reso irraggiungibili siti governativi, militari e bancari, ma anche contro l’informazione e la cultura. In precedenza, questi attacchi erano stati attribuiti all’intelligence russa.

Questo è l’elenco, imparziale, delle azioni più rivelanti degli hacker filo-russi:

• Kyiv Post, il maggiore quotidiano in lingua inglese in Ucraina, ha dichiarato di trovarsi sotto costante attacco informatico, fin dal lancio dell’offensiva militare.
• I ricercatori del sito host per le università ucraine, Wordfence, hanno riferito di aver subito un importante cyberattacco, identificando come colpevole il gruppo hacker pro-Russia theMox0nday.
• Operazioni di cyber spionaggio ad opera del gruppo Gamaredon, Shuckworm o PrimitiveBear, vengono individuate il 31 Gennaio dai ricercatori di Symantec.
  Si ritiene che a muovere i fili sia il Servizio federale per la sicurezza russo.
• A fine febbraio la connessione Internet a Kharkiv, (seconda città ucraina per popolazione, una delle più colpite), venneinterrotta, il fatto fu dichiarato gravissimo da NetBlocks.
• Il gruppo Meta ha riportato un aumento nei tentativi di violazione di alcuni profili di celebrità e politici ucraini, oltre che chiudere diverse pagine di fake news che supportano le azioni militari di Putin. Questi attacchi sono stati ricondotti al gruppo Ghostwriter.
• Falsi SMS, che annunciavano chiusure di ATM, furono inviati ai cittadini ucraini, con l’obiettivo di creare panico nella popolazione. Messaggi minacciosi sono stati inviati anche alle truppe del paese.
• Il 24 febbraio un account nominato “FreeCivilian” all’interno di RaidForums ha affermato di essere in possesso di dati sensibili personali di oltre due milioni di cittadini ucraini, ottenuti hackerando il portale del Ministero della Trasformazione Digitale ucraino. La notizia fu smentita dalle fonti ufficiali, con l’affermazione che si tratti dell’ennesimo tentativo di minare la credibilità del governo ucraino.

Secondo gli analisti, gli attacchi erano stati lanciati già a luglio 2021, tramite operazioni di spear phishing via email con allegati in formato Word.
Una volta aperti, i file installano sui dispositivi Pteranodon, backdoor già conosciuta e utilizzata dal gruppo Gamaredon da oltre 7 anni.

We Are Killnet è il canale Telegram più famoso all’interno del quale gli hacker filo-russi trovano la loro base, con oltre 80 mila utenti iscritti.

Cosa succede su questo canale?

• Sono diffusi, in inglese e in russo, i messaggi relativi alle campagne, le dichiarazioni contro Paesi o altri gruppi hacker.
• Vengono pubblicati gli articoli o riprese dei telegiornali che parlano degli hacker.
• Oltre a parlare di cyberattacchi, la propaganda russa la fa da padrone.
• Vignette, meme e fotomontaggi contro i leader europei sono pubblicate quotidianamente, per “stemperare” il tono serio del gruppo.

Su Telegram sono presenti tre canali attualmente, due “copiati”, e si può accedere al vero gruppo privato tramite link d’invito.

Killnet ha ufficialmente dichiarato guerra ad Anonymous, oscurato il sito del Senato italiano, quello del governo polacco e reso inaccessibili per diverse ore anche i portali dei principali aeroporti della Lombardia. Questi attacchi hanno in comune due fattori: tutti sono stati fatti contro bersagli che si sono opposti all’avanzata della Russia in Ucraina e tutti sono stati di tipo DDoS.

Oltre a questi due elementi, però, si conosce ancora poco sulle origini e sugli obiettivi di Killnet.

Di tutta risposta, gli hacker ucraini difendono il loro Paese dai cyberattacchi e li mandano di conseguenza, aiutati da numerosi sostenitori.
L’esercito di hacker ucraino, costituito in maggioranza da volontari, ha anch’esso il proprio canale Telegram, con numerosi obiettivi di difesa e attacco.

Gli hacker ucraini non combattono da soli, ma al loro fianco ci sono hacktivisti, forze ucraine e volontari da tutto il mondo.

Fin dall’inizio della guerra, il gruppo utilizza la stessa arma del nemico, ovvero gli attacchi DDoS. Viene consigliato agli utenti di utilizzare VPN per schermare la propria posizione e aggirare le protezioni dei loro obiettivi dagli attacchi DDoS. Verso la fine di aprile 2022, il gruppo ha inaugurato il proprio sito web, dove sono messe guide tecniche in disposizione e la lista di attacchi riusciti e in corso.

Questo gruppo rende fuori uso i siti russi, facendo crollare di conseguenza le richieste di traffico rendendole inaccessibili.
L’obiettivo è prendere di mira non solo la Russia, ma anche le sue aziende e creare disagi nella vita quotidiana.

I cittadini russi riscontrano problemi, come:

• Servizi di pagamento online;
• Compagnie di trasporto;
• Servizi di consegna e asporto di cibo.

La Federazione russa, da principale attaccante, è diventata il bersaglio di una raffica di attacchi informatici.

Gli attacchi DDoS costituiscono la maggioranza, ma sono stati progettati anche dei ransomware per colpire la Russia e andare alla ricerca di bug nei sistemi, che potrebbero essere un incipit per raffinare gli attacchi.

Anche le aziende tecnologiche di base ucraina prendono la loro parte: il gioco 2048, un puzzle creato da uno sviluppatore italiano nel 2014, fu modificato per il lancio di attacchi DDoS, aggiungendo strumenti che consentono anche al più inesperto in materia di partecipare.

Uno dei protagonisti di questa cyber guerra è senz’altro Dyma Budorin: co-fondatore e CEO di Hacken, una società di consulenza sulla sicurezza informatica ucraina, diventato cyber soldato.

Attualmente ha trasferito la sede dell’azienda in Spagna, dopo aver lasciato il suo Paese pochi giorni prima dell’inizio dell’invasione russa, portandosi dietro i suoi 70 dipendenti.
Il team di Hacken sta ancora gestendo le loro operazioni quotidiane con i clienti. Il resto del loro tempo lo trascorrono in cyber-combattimenti.

Budorin ha modificato le sue tecnologie aziendali per sferrare attacchi DDoS.
Per ricompensare le persone che riescono a scovare e segnalare falle di sicurezza nei sistemi russi ha creato il programma bug bounty.
Sono arrivate più di tremila segnalazioni con oggetto:

• Dettagli su database che sono stati oggetto di leak;
• Credenziali per il login;
• Codici che può essere eseguito da remoto sui sistemi russi.

“Ogni membro del team sta combattendo nel cyberspazio contro la Federazione Russa”, ha affermato Budorin.

Dice che attivisti e hacker internazionali hanno aiutato l’Ucraina a prendere di mira la catena di approvvigionamento, le comunicazioni e i sistemi di trasporto dell’esercito russo.