La guerra in Ucraina è anche sul web: allarme per un virus che cancella la memoria dei computer

La guerra in Ucraina è anche sul web: allarme per un virus che cancella la memoria dei computer
(afp)
Dopo centinaia di attacchi a siti web di ministeri e banche, si è improvvisamente diffuso un wiper molto potente, KillDisk. E nei forum underground di lingua russa si invita ad attaccare target ucraini
 
3 minuti di lettura

L’Ucraina è sotto attacco informatico da giorni. L’aggressione verso le infrastrutture digitali del Paese si è però intensificata quando il parlamento ucraino ha iniziato a discutere lo stato di emergenza per contrastare la minaccia militare russa. Gli attacchi DDoS, attacchi che impediscono di accedere ai siti web colpiti, hanno preso di mira i siti dei ministeri della Difesa, degli Esteri e degli Interni rendendoli irraggiungibili per molte ore fino ad oggi. Anche PrivatBank, la più grande banca commerciale in Ucraina, e Oschadbank, la Cassa di risparmio statale dell'Ucraina, sono state bersagliate. Gli attacchi hanno fatto seguito a DDoS e defacement di oltre 70 siti web del governo ucraino a gennaio.

Cloudflare, azienda che protegge con la sua tecnologia i siti web proprio da questo tipo di attacchi ha affermato attraverso un portavoce che “Questa settimana abbiamo assistito a più attività DDoS rispetto alla scorsa settimana, ma meno di un mese fa. Ci sono stati attacchi contro singoli siti Web in Ucraina che sono stati dirompenti".

I ricercatori di Eset a Bratislava e altre aziende di cybersecurity come Symantec però hanno minimizzato gli attacchi avvenuti la notte scorsa ritenendo che quelli precedentemente subiti erano stati ancora più vasti, e che il vero pericolo adesso viene da un malware di tipo wiper che avrebbe infettato centinaia di computer in tutta l’area geografica intorno all’Ucraina, Lettonia e Lituania comprese. Il malware sarebbe in grado di cancellare l’intera memoria dei computer infetti con tutti i dati contenuti, arrivando a danneggiarne il firmware e quindi rendendoli inservibili. Denominato "KillDisk", il wiper distrugge il Master Boot Record dei dischi fisici connessi alle macchine, condizione che richiede la reinstallazione da zero.

Per Jean-Ian Boutin, capo della ricerca ESET molte diverse organizzazioni sarebbero state colpite in maniera mirata questo wiper: soprattutto appaltatori governativi e almeno un istituto finanziario ucraino. Nelle settimane precedenti, secondo la stampa ucraina, ci sarebbero stati anche diversi tentativi di intrusione nella posta elettronica del presidente del Parlamento Ucraino e della sua famiglia, mentre nell’underground criminale dei gruppi ransomware è stato dato il via libera ad attaccare con software estorsivi le realtà economiche ucraine.

La guerra ibrida

Tutti gli osservatori internazionali si aspettavano questo tipo di aggressione ibrida conoscendo l’abilità russa nell’utilizzare l’armamentario cyber per conseguire i suoi obiettivi politici e militari, e alla fine l'intelligence inglese e americana l’hanno confermato. Anne Neuberger, vice consigliere per la sicurezza nazionale degli Stati Uniti, ha dichiarato alla stampa di disporre di informazioni tecniche che dimostrano che "l'infrastruttura del Gru (servizi segreti militari russi, nda) è stata vista trasmettere elevati volumi di comunicazioni a indirizzi IP e domini con sede in Ucraina".

In un'analisi dettagliata degli incidenti DDoS, il computer emergency response team ucraino ha affermato che gli attacchi hanno coinvolto sia le botnet Mirai che Meris. Mirai è la botnet di computer zombie infetti che aveva bloccato tutta la comunicazione Internet della costa est degli Stati Uniti nel 2016 rendendo irraggiungibili anche i siti di Amazon, Twitter e New York Times. Il blocco dei siti governativi è stato confermato da Netblocks, un'organizzazione che tiene traccia delle interruzioni di Internet in tutto il mondo.

Secondo gli analisti questi attacchi sono progettati per aumentare l'attenzione e la pressione creando il caos tra la popolazione e gli stessi malware scatenati potrebbero raggiungere anche le infrastrutture dell’Europa Occidentale. Per Enrico Frumento del Cefriel “Il timore adesso è che, come già si è verificato in passato, ci siano malware dormienti pre-installati nelle principali infrastrutture critiche europee, scritti ad-hoc e silenti e quindi non individuati, ma pronti ad attivarsi a comando”. Proprio oggi il tema Italiano di risposta agli incidenti informatici ha pubblicato i primi Indicatori di Compromissione del Data Wiper trovato ieri e ha creato delle misure straordinarie volte alla protezione delle infrastrutture digitali.

Ma già nei giorni scorsi l’agenzia per la difesa cibernetica statunitense Cisa aveva diramato una serie di allarmi congiunti con Nsa ed Fbi, avvisando i contractor di marina, esercito e aviazione americani di alzare i livelli di guardia. L’insieme delle indicazioni per la protezione di segreti militari e industriali, per la protezione delle infrastrutture critiche e i consigli per la gestione della disinformazione hanno preso il nome di operazione Shields Up.

La disinformazione come arma

Ma adesso sono due gli aspetti da considerare: il primo è che la marca temporale del wiper è di dicembre e questo depone per l’ipotesi di una pianificazione del suo uso, la seconda è che i target sono anche estranei all’Ucraina ma presso paesi Nato come Lituania e Lettonia. Cosa accadrà?

È noto che la Russia investe da molto tempo nelle attività di guerra e guerriglia cibernetica che in maniera sistematica organizzano azioni di spionaggio e sabotaggio industriale fino a provare a interferire con elezioni e Parlamenti in tutto il mondo. Secondo gli esperti l’Ucraina potrebbe essere un campo di prova ad ampio spettro per questi gruppi e per testare le capacità di risposta cyber della Nato.

Da non sottovalutare infine il ruolo che le fake news possono giocare in questo tipo di guerra ibrida. È stata infatti individuata una campagna di disinformazione via Sms capace di raggiungere anche gli stessi soldati ucraini. Il Digital Forensic Research Lab del Consiglio Atlantico ha anche segnalato una serie di false narrative distribuite nelle scorse settimane sui social media e propagandate da giornali e televisioni pro-Cremlino. Hanno tutti lo stesso scopo, minimizzare gli effetti del conflitto sulla popolazione civile e presentare Putin come un saggio capo di governo.

Per proteggersi dalla disinformazione, l’Unione Europea ha da tempo definito delle linee guida e avviato una serie di progetti, mentre la Svezia ha creato l’Agenzia per la Difesa Psicologica contro la disinformazione mentre il network dei CSIRT europei di Trusted Introducer si sta mobilitando a seguito dell'attacco Russo in Ucraina per sospendere Russia e Bielorussia, e condividere tutte le informazioni relative agli ultimi attacchi DDoS, Malware, Ransomware, Wiper legati agli eventi in corso.