In evidenza
Sezioni
Magazine
Annunci
Quotidiani GNN
Comuni

L’occhio di Google vede i rapporti tra il Cremlino e gli hacker

La società di cybersicurezza Mandiant ha rilevato in 4 occasioni un collegamento tra intelligence russa, hacker e utenti online negli attacchi informatici ad aziende e istituzioni

Nicolò Guelfi
Aggiornato alle 3 minuti di lettura

Creato da

La guerra contemporanea è sempre meno fisica e più digitale. Il Cremlino lo sa bene e minaccia le difese strategiche dei Paesi occidentali. A sostenerlo è la stessa Google, come riporta il Wall Street Journal, la quale, attraverso la sua divisione di cybersicurezza Mandiant ha rilevato relazioni sospette tra i servizi segreti russi e attacchi hacker in giro per il mondo.

«Non abbiamo mai osservato in precedenza un tale volume di attacchi informatici, una varietà di attori della minaccia e un tale coordinamento degli sforzi – si legge nel rapporto pubblicato da Mandiant –. Alcune istituzioni statunitensi sono state prese di mira»

Secondo i ricercatori di Google, un numero crescente di prove suggerisce esista un filo rosso che collega attivisti online pro Putin, hacker e i servizi segreti del Cremlino.

La notizia non è una novità assoluta: i sospetti di incursioni russe nelle attività e nei servizi informatici di Paesi stranieri è un tema sotto gli occhi di tutti da diversi anni. Ciò che interessa particolarmente è capire come il Cremlino si muove su questo fronte per capire come sarà la sua politica estera, visto che sull’altro fronte (quello della guerra in Ucraina) le cose vanno così male che il presidente Putin è arrivato a chiedere la mobilitazione parziale dei riservisti per superare lo stallo.

Funzionari degli Stati Uniti ed europei hanno avvertito per tutta la durata della guerra che gli hacker russi avrebbero potuto scagliarsi contro gli alleati dell’Ucraina, prendendo di mira le infrastrutture chiave e addirittura gli stessi i governi con attacchi informatici, ma fino a ora non ne avevamo avvertito l’effetto.

Mandiant ha osservato un apparente coordinamento tra gruppi di hacker filorussi e violazioni informatiche da parte dell’agenzia di intelligence militare russa, la Glavnoe razvedyvatel'noe upravlenie. In quattro occasioni distinte, Mandiant afferma di aver osservato attività di hacking legata alla Gru in cui è stato installato un software «wiper» dannoso sulla rete della vittima.

Dopo l’installazione del software sono intervenuti gli utenti che, entro 24 ore, hanno pubblicato i dati delle organizzazioni colpite che avevano subito un data breach.

Secondo Mandiant, acquisita da Google a inizio settembre per 5,4 miliardi, sono coinvolti tre gruppi di utenti filorussi, noti come XakNet Team, Infoccentr e CyberArmyofRussia_Reborn.

«Non abbiamo mai osservato in precedenza un tale volume di cyberattacchi, una tale varietà di attori delle minacce e un tale coordinamento degli sforzi nell'arco degli stessi mesi», si legge nel rapporto pubblicato oggi sul loro sito.

Un rappresentante dell’ambasciata russa a Washington non ha risposto alle richieste di commento, mentre la Russia ha negato espressamente di essere coinvolta in attività di hacking.

L’utilizzo di hacker e utenti esterni slegati dalla Gru è utile perché permette alla Russia di allontanare ogni responsabilità. Una guerra per procura (o tramite mercenari) da cui il Cremlino può discolparsi più facilmente.

John Hultquist, vicepresidente dell’analisi di intelligence di Mandiant, ha affermato che ora che XakNet si è affermato come gruppo hacker, potrebbe essere usato come copertura per un’operazione informatica più seria diretta dall’intelligence russa. «Questi attori non possono essere presi alla leggera – ha detto Hultquist riferendosi al Gru –. Sono in grado di spegnere le luci». Va detto che le prove non sono schiaccianti ma la serie di indizi suggerisce una correlazione non casuale.

La scorsa primavera, il Dipartimento per la Sicurezza Nazionale ha emesso un allarme che indicava XakNet (pronunciato hack-net) e un altro gruppo noto come Killnet come possibili minacce alle infrastrutture statunitensi. Ha anche avvertito che la guerra in Ucraina potrebbe provocare un aumento degli attacchi da parte di gruppi criminali. Killnet ha attaccato una serie di enti, tra cui obiettivi in Giappone, Italia, Norvegia, Estonia e Lituania, con attacchi DDoS (Distributed Denial of Service) che miurano a sovraccaricare di traffico i server, secondo i ricercatori di sicurezza.

Negli ultimi mesi Killnet ha concesso interviste ai media russi e i ricercatori sostengono che l’attenzione dei media, che rafforza l’idea che la guerra della Russia abbia ottenuto un sostegno popolare, potrebbe essere un obiettivo più importante di qualsiasi disturbo informatico.

A luglio, Congress.gov, il fornitore ufficiale di informazioni sulla legislazione del Congresso americano, è stato messo offline per circa due ore da un attacco DDoS, secondo quanto dichiarato da un portavoce della Library of Congress, che gestisce il sito web. «La rete della Biblioteca non è stata compromessa e nessun dato è andato perso a causa dell’attacco», ha dichiarato il portavoce.

In agosto, Killnet ha dichiarato che stava lanciando un attacco contro l’appaltatore della difesa statunitense Lockheed Martin Corp. (nota in Italia per il famoso scandalo che negli anni ‘70 investì addirittura il presidente della Repubblica Giovanni Leone) e, più o meno nello stesso periodo, ha scaricato documenti che diceva essere stati presi da Gorilla Circuits, un appaltatore dell’industria della difesa con sede a San Jose, in California, che produce circuiti stampati.

Un portavoce della Lockheed Martin ha affermato: «Affrontiamo ogni giorno minacce da parte di avversari sofisticati in tutto il mondo e adottiamo regolarmente azioni per aumentare la sicurezza dei nostri sistemi e per proteggere i dati dei nostri dipendenti, clienti e programmi».

Jonas Skardinskas, direttore della gestione della sicurezza informatica presso l’agenzia informatica nazionale lituana, ha dichiarato che la Lituania ha subito almeno due ondate di denial of service contro i siti web delle agenzie governative, iniziate nel giugno di quest'anno. Ma gli attacchi - di cui Killnet ha rivendicato la responsabilità del lancio - erano insoliti perché non erano mirati e non hanno mai raggiunto un livello paralizzante, ma sono durati a lungo.

Se questi collegamenti dovessero essere effettivamente confermati il rischio per la sicurezza diventerebbe effettivamente mondiale e potenzialmente potrebbe coinvolgere tutti i Paesi. In Italia il livello di cybersicurezza è certamente più basso rispetto agli Usa e una corsa ai ripari potrebbe essere necessaria prima che accadano episodi dannosi.

I commenti dei lettori