Guerra cibernetica tra stati: I casi più famosi di Cyberwarfare
Web

Guerra cibernetica tra stati: I casi più famosi di Cyberwarfare

Sara Proietti

Guerra cibernetica tra stati: I casi più famosi di Cyberwarfare

La guerra nel terzo millennio si svolge ormai anche nel Cyberspazio, che rappresenta il quinto spazio di conflitto. Gli stati, sempre più consapevoli dell’importanza delle infrastrutture strategiche, ricorrono con crescente frequenza all‘utilizzo di armi cibernetiche per colpire i sistemi avversari.

Dove viene combattuta

La Russia ha effettuato un attacco contro l’Ucraina che ha suscitato l’interesse mondiale sulla Cyberwarfare, ovvero la guerra cibernetica tra nazioni.

In effetti, questi attacchi sono stati registrati per anni e in alcuni casi non ne siamo nemmeno a conoscenza. Ciò è dovuto al fatto che la cyberwarfare ha la prerogativa di rendere difficile l’attribuzione dell’attacco, poiché l’attaccante può facilmente nascondere le sue tracce.

Questa guerra, chiamata “cyberwarfare”, viene combattuta in modo non dichiarato e sotterraneo, ma è portata avanti dagli stati stessi attraverso gruppi appositamente costituiti. Questi gruppi sono stati creati da molti dei maggiori stati del mondo, in aggiunta ai loro eserciti convenzionali, e il combattimento avviene nel “cyberspazio” invece dei tradizionali spazi di guerra come terra, mare e cielo.

Abbiamo discusso dei gruppi di hacker noti come “state-sponsored”, ovvero quelli collegati – in modo più o meno diretto – a stati e governi, nel nostro articolo.

In cosa consiste la Cyberwarfare

Prima di esporre alcuni casi di notorietà riguardanti la cyberwarfare, è fondamentale acquisire una chiara comprensione di cosa essa sia e quali sono i fattori che ne giustificano la convenienza. Si tratta, infatti, di una forma di guerra che si svolge a livello digitale, mediante l’utilizzo di tecnologie informatiche avanzate, al fine di compromettere e danneggiare sistemi informatici, reti e infrastrutture critiche di un paese o di un’organizzazione. La cyberwarfare può essere motivata da ragioni geopolitiche, economiche o ideologiche, ma anche da obiettivi di spionaggio industriale o militare. In ogni caso, le conseguenze di un attacco di questo tipo possono essere devastanti, con ripercussioni a livello economico, politico e sociale.

La definizione di cyberwarfare, come riportata nel “Glossario Intelligence” del Sistema di Informazioni per la Sicurezza della Repubblica (SISR), può essere riformulata in linguaggio professionale come segue:

“L’insieme delle operazioni militari condotte nel e tramite il cyberspazio per infliggere danni all’avversario, statuale o non, consistenti – tra l’altro – nell’impedirgli l’utilizzo efficace di sistemi, armi e strumenti informatici e comunque di infrastrutture e processi da questi controllati. Il significato include anche attività di difesa e capacitanti (volte cioè a garantirsi la disponibilità e l’uso del cyberspace)”.

Si raccomanda di fare riferimento al Manuale di TALLIN (aggiornato alla versione 3.0 nel 2021) del Cooperative Cyber Defence Centre of Excellence (CCDCOE) della NATO per ulteriori informazioni in merito. Questa risorsa è altamente raccomandata per coloro che desiderano approfondire la propria conoscenza in materia di difesa cibernetica e mantenere un alto livello di professionalità.

Il Tallinn Manual originale, pubblicato nel 2013 dalla Cambridge University Press, esamina la fattibilità dell’applicazione dei principi del diritto internazionale al contesto del cyberspazio, sia in periodi di pace che in situazioni di conflitto. Tale trattazione si caratterizza per un approccio professionale e rigoroso, finalizzato a fornire un quadro completo e preciso delle problematiche giuridiche connesse all’utilizzo delle tecnologie digitali.

In merito all’interpretazione e all’applicazione del diritto internazionale nel contesto informatico, si evidenzia la necessità di adottare un approccio professionale e rigoroso. Tale contesto richiede una valutazione attenta e accurata delle normative internazionali al fine di garantire la corretta applicazione delle leggi in materia di sicurezza informatica, privacy e protezione dei dati. 

Inoltre, è importante considerare le implicazioni legali transfrontaliere e le sfide che emergono dallo sviluppo tecnologico e dall’evoluzione delle normative internazionali. Pertanto, è necessario un costante aggiornamento e una collaborazione tra gli esperti di diritto e gli specialisti informatici per garantire una corretta applicazione del diritto internazionale nel contesto informatico.

Vengono esposte le normative del diritto internazionale che disciplinano gli eventi di natura informatica che gli stati si trovano ad affrontare, ma che non raggiungono il livello dell’impiego della forza o del conflitto armato.

Le armi cibernetiche stanno diventando sempre più diffuse in quanto dimostrano di essere efficaci e convenienti per coloro che le utilizzano.

In contrasto con le loro controparti di guerra convenzionale, cioè le forme di guerra tradizionali:

  • Non compromettono la propria capacità fisica.
  • Producono meno danni collaterali,
  • Le tattiche di attacco possono essere impiegate in maniera occulta e persino camuffando le proprie azioni offensive: ciò rende ardua l’individuazione della responsabilità dell’aggressione.
  • Sono meno costose.

Esamineremo adesso alcuni casi di attacchi di cyberwarfare di cui siamo a conoscenza (tuttavia, non sempre è possibile disporre di tali informazioni a causa di varie ragioni, come già spiegato in precedenza).

L’attacco Stuxnet

Stuxnet ha costituito un punto di svolta fondamentale nel campo del cyberwarfare.

Risalente al 2010, ma ancora oggi ritenuto un esempio virtuoso “da manuale”, il caso in questione si distingue per le modalità di realizzazione adottate, nonché per gli effetti dirompenti che ha innescato nella sfera della cyberwarfare a livello internazionale.

Stuxnet rappresenta un paradosso nella storia della sicurezza informatica, in quanto il suo scopo originale era quello di prevenire la proliferazione nucleare, ma invece ha aperto la strada alla diffusione incontrollabile della tecnologia delle armi informatiche. Questo evento ha evidenziato le sfide complesse e le conseguenze imprevedibili che possono derivare dall’uso di tali tecnologie avanzate.

Nel mese di gennaio del 2010, si verificò un grave incidente presso l’impianto di Natanz, in Iran, dedicato all’arricchimento dell’uranio. Le centrifughe destinate all’arricchimento dell’Uranio-235, improvvisamente, persero il controllo eccessivamente accelerando da 1.064 a 1.410 giri/minuto, causando la loro esplosione. Tale evento causò la disattivazione di almeno 1.000 delle 5.000 centrifughe presenti, generando un ritardo significativo nel programma nucleare iraniano.

Cosa era successo?

Retrocediamo al 2006, quando il programma nucleare iraniano già suscitava preoccupazione negli Stati Uniti e in Israele. In tale contesto, il presidente Bush impartì un ordine segreto per preparare un attacco cibernetico contro le centrali iraniane, al fine di danneggiare il programma atomico del paese senza scatenare una guerra convenzionale. Questa operazione, nota come “Olympic Games“, fu poi portata avanti e conclusa durante la presidenza di Barack Obama.

L’operazione di attacco fu assegnata a rinomati specialisti statunitensi della National Security Agency (NSA), in stretta collaborazione con esperti informatici israeliani, appartenenti alla prestigiosa Unità 8200 dell’IDF, ovvero l’Israel Defense Force.

Fu sviluppato un pericoloso malware, noto come Stuxnet, che aveva la capacità di interagire con i controllori programmabili Siemens Simatic S7-300, impiegati per regolare le centrifughe utilizzate per il processo di arricchimento dell’uranio.

Le centrifughe presenti nell’impianto di Natanz sono del tipo P-1 e si basano su progetti obsoleti acquisiti dal governo iraniano dal Pakistan. Tali centrifughe operano con l’esafluoruro di uranio in forma gassosa, separando l’isotopo U-235 (utilizzabile per la fissione nucleare e, di conseguenza, per la costruzione di armi atomiche) dall’isotopo U-238 (più diffuso in natura, ma meno efficace). 

L’arricchimento dell’uranio ha lo scopo di aumentare la concentrazione di U-235, con un basso arricchimento (20%) che consente l’utilizzo dell’uranio come combustibile per reattori nucleari, mentre per la creazione di una bomba atomica è necessario raggiungere una concentrazione di U-235 di almeno 85%.

La versione iniziale del software Stuxnet pare essere stata sviluppata – secondo Kaspersky – nel mese di giugno del 2009, tuttavia non ha ottenuto i risultati sperati. L’attacco finale, che ha portato alla piena efficacia del malware, è stato messo in atto grazie alla versione 2.0 di Stuxnet nei primi mesi del 2010.

Come è entrato Stuxnet nella centrale di Natanz?

È evidente che i cittadini iraniani non hanno commesso l’errore di esporre la loro centrale online.

In effetti, la comunità iraniana è dotata di una notevole saggezza e consapevolezza in merito alla protezione dei propri asset e delle informazioni sensibili. Pertanto, è altamente improbabile che abbiano mai commesso un tale errore di valutazione.

Il sistema era dotato di un isolamento di tipo “air gapped”, ovvero privo di connessioni alla rete.

La difficoltà per gli aggressori consisteva nell’infiltrare il malware all’interno di Natanz.

È ormai ampiamente accertato che l’origine dell’infezione da Stuxnet ha avuto luogo all’interno della centrale stessa, attraverso l’utilizzo di una o più chiavette USB.

Si presume con una buona dose di certezza che l’infezione di Stuxnet abbia avuto origine da cinque fornitori iraniani, che sono stati utilizzati come canali di attacco, mediante l’impiego di una tecnica nota come Supply Chain Attack, la quale sta diventando sempre più comune.

Le imprese coinvolte non erano a conoscenza dell’attacco subito e, una volta infettate, è stato solo questione di tempo prima che la centrale di Natanz fosse colpita. L’infezione si è propagata attraverso l’utilizzo di una chiavetta USB inserita in vari computer all’interno della struttura, diffondendosi dai sistemi operativi Windows al software industriale Step7, prodotto da Siemens, che controllava i PLC della centrale e ha alterato il codice di controllo.

Successivamente, si potrà constatare che tale risultato è stato ottenuto grazie all’utilizzo di una serie di vulnerabilità zero-day sfruttate da Stuxnet mediante l’impiego di tecniche di “exploitation”.

Gli esperti che hanno esaminato attentamente Stuxnet, analizzando una vasta gamma di file, sono giunti alla conclusione di aver individuato le cinque aziende iraniane che sono state infettate dal virus. Tali infezioni, avvenute in momenti successivi a partire dal giugno 2009, hanno consentito la diffusione di Stuxnet all’interno del complesso di Natanz. Questa scoperta rappresenta un importante traguardo per l’indagine in corso e getta nuova luce sull’origine e la diffusione del virus.

Nel corso del 2010, ulteriori iterazioni di Stuxnet hanno preso di mira cinque organizzazioni iraniane con l’intento di monitorare e compromettere la produzione di uranio arricchito del paese. Va notato che oltre il 60% dei sistemi informatici infettati da Stuxnet nel 2010 erano localizzati in Iran. Questi dati confermano l’efficacia dell’attacco e la sua portata significativa.

In seguito all’epidemia del virus che ha colpito la centrale di Natanz, Stuxnet ha esteso la sua diffusione al di fuori delle strutture iraniane coinvolte.

Pare che Israele abbia intenzionalmente aumentato il livello di pericolosità del virus, conferendogli una maggiore capacità di propagazione, nella versione 2.0.

Potrebbe essere possibile che il virus informatico Stuxnet abbia causato danni significativi a reti di PLC Siemens Simatic non previste come obiettivo, a causa di un computer portatile infetto nella centrale di Natanz. È stato segnalato che il malware avrebbe superato i confini della struttura, causando la diffusione incontrollata su Internet. 

Questo evento ha causato preoccupazione al presidente Obama e al suo team, che hanno riferito di aver perso il controllo del virus. È importante notare che il virus non avrebbe mai dovuto lasciare la struttura di Natanz e la sua diffusione incontrollata ha avuto conseguenze impreviste.

Stuxnet, un malware che è stato scoperto, rilevato e analizzato dalle principali società di cybersicurezza come Kaspersky, F-Secure e Symantec nel rapporto “W32.Stuxnet Dossier Version 1.4 February 2011”, è stato immediatamente considerato anomalo a causa del suo elevato livello di sofisticazione. È stato ritenuto troppo avanzato per essere stato creato da normali hacker.

Effettivamente, l’attacco ha sfruttato non uno, ma ben quattro exploit relativi a vulnerabilità “zero-day”, ovvero falle di sicurezza non ancora note alle società specializzate. Gli exploit zero-day rappresentano una sfida notevole per gli esperti del settore e presentano un elevato costo sul mercato delle vulnerabilità.

In quel periodo, non si era mai riscontrato l’utilizzo di più di un exploit zero-day all’interno di un singolo malware. Tuttavia, Stuxnet ha fatto uso di ben quattro di essi, rappresentando un caso senza precedenti.

Solo uno Stato avrebbe potuto sviluppare un’arma cibernetica di tale portata…

Le supposizioni si sono immediatamente focalizzate sui servizi di intelligence statunitensi e israeliani, i soli capaci di sviluppare un software con tali peculiarità. In tal senso, si è ipotizzato che tali organizzazioni potessero essere coinvolte nell’evento.

Secondo quanto rivelato da Edward Snowden nel luglio del 2013, il noto malware Stuxnet è stato concepito dalla National Security Agency (NSA) in collaborazione con l’intelligence israeliana, tramite un’unità speciale denominata Foreign Affairs Directorate. Tale informazione è stata confermata attraverso fonti attendibili e rappresenta un importante contributo alla comprensione dei meccanismi di azione dei servizi segreti coinvolti nella creazione di questo sofisticato strumento informatico.

Non vi è mai stata alcuna rivendicazione o firma ufficiale dell’attacco perpetrato da Stuxnet. Tuttavia, potrebbe esistere una firma digitale che possa essere associata all’autore dell’attacco.

Durante l’analisi del codice di Stuxnet, gli esperti hanno individuato diverse funzioni, tra cui la funzione numero 16 che presenta una variabile con valore 19790509. Tale variabile, sebbene destinata ad un puro controllo, avrebbe potuto assumere qualsiasi valore. Pertanto, sorge spontanea la domanda: perché proprio quel numero?

È stato riscontrato che la sequenza numerica “19790509” corrisponde alla data del 9 maggio 1979, la quale riveste un’importanza significativa sia per l’Iran che per Israele. In tale data, infatti, nella piazza di Teheran venne eseguita la condanna a morte di Habib Elghanian, leader della comunità ebraica iraniana. Tale avvenimento rappresentò una delle prime esecuzioni di ebrei da parte del nuovo regime khomeinista iraniano.

In quel periodo, si verificò la presenza di alcune centrifughe del tipo P-1, analoghe a quelle impiegate nella centrale iraniana di Natanz, presso la struttura nucleare israeliana di Dimona, situata nel deserto del Negev. Tali apparecchiature erano destinate principalmente a scopi di sperimentazione in un ambiente pilota, ma il loro utilizzo suscitò notevole attenzione e preoccupazione a livello internazionale. Non va infatti trascurato il fatto che queste centrifughe fossero state fornite a Israele dagli Stati Uniti, che le avevano acquisite dal programma nucleare libico.

Questa vicenda, sebbene già oggetto di un’attenta analisi, presenta ancora numerosi aspetti poco noti che la rendono simile ad un inquietante film di guerra o spionaggio.

Effettivamente, il film in questione rappresenta una realtà tangibile: l’attacco Stuxnet è stato oggetto di un documentario cinematografico intitolato “Zero Days” (2016), diretto dal premio Oscar Alex Gibney.

2012: Shamoon contro Saudi Aramco

Saudi Aramco rappresenta la principale società statale saudita attiva nella produzione di petrolio, la cui portata a livello globale risulta senza eguali.

In agosto 2012, in un momento esattamente alle ore 11:08 del 15 agosto, i membri del personale della società hanno notato che alcuni file sui loro computer sono stati cancellati di fronte ai loro occhi. Questo evento ha suscitato preoccupazione e ha richiesto un’azione immediata per proteggere i dati della società.

Entro un breve lasso di tempo, Saudi Aramco non risulta più presente sulla rete. Si è verificata una disconnessione della società dal sistema informatico.

Le conseguenze dell’interruzione della rete sono estremamente gravi, soprattutto per quanto riguarda i pagamenti, per i quali la connessione internet è ormai essenziale. Si registrano ingenti perdite economiche a causa della sospensione delle attività di trasporto del petrolio, poiché non è possibile emettere fatture per il contenuto dei camion-cisterna. Solo i sistemi di estrazione, completamente automatizzati e indipendenti dalla rete, continuano a funzionare. 

Si tratta di una situazione altamente critica che richiede un intervento immediato per ripristinare la connessione internet e limitare i danni economici.

La causa del problema è stata individuata da Seculert: il malware è stato identificato inizialmente come Disttrack, ma successivamente è stato rinominato Shamoon.

Ancora una volta si è verificata un’incursione tramite sofisticate e-mail di spear phishing, che hanno introdotto il nuovo malware.

Shamoon presentava un elevato livello di replicazione e diffusione, nonché la capacità di trasferire file dal computer della vittima a quello dell’attaccante, con conseguente cancellazione dei dati nel sistema originale. Come tipico malware, era composto da tre moduli modulari:

  • Il Shamoon Dropper è il modulo impiegato per accedere al sistema bersaglio e distribuire (drop) gli altri due componenti. Tale procedura viene eseguita con estrema precisione e professionalità, allo scopo di garantire un’efficace penetrazione nel sistema e una diffusione capillare dei codici dannosi. Grazie alla sua sofisticata tecnologia, il Shamoon Dropper rappresenta uno strumento di grande potenza e versatilità, utilizzato dai più abili e temibili hacker del panorama informatico mondiale.
  • Il Shamoon Wiper è un componente altamente distruttivo che, mediante l’installazione di un driver, sovrascrive i dati del computer, inclusi quelli contenuti nel Master Boot Record (MBR), causando la completa inutilizzabilità del sistema. La sua azione è di tale portata da poter causare gravi danni alle attività e ai processi aziendali.
  • Il Shamoon Reporter era un software che consentiva all’attaccante di ottenere informazioni sui file sovrascritti durante l’attacco. Essenzialmente, fungeva da strumento di monitoraggio e di feedback per il responsabile dell’attacco informatico.

Saudi Aramco ha impiegato un periodo di 10 giorni, fino al 25 agosto, per ripristinare più di 30.000 sistemi basati su Windows che erano stati compromessi dal malware Shamoon. Tale processo di ripristino è stato portato avanti con professionalità e competenza, garantendo la piena funzionalità dei sistemi interessati.

Chi è stato l’autore?

Il gruppo di hacker islamici noto come “Cutting Sword of Justice” ha rivendicato la responsabilità per l’attacco informatico contro Saudi Aramco, sostenendo di aver agito per richiedere migliori condizioni di lavoro per i dipendenti dell’azienda. Tale azione rappresenta una violazione della sicurezza informatica e richiede una risposta adeguata da parte delle autorità competenti.

Nonostante la mancanza di prove concrete, è plausibile che gli attacchi contro gli impianti petroliferi sauditi siano stati perpetrati dai cyber criminali di stato iraniani, in particolare dal gruppo Elfin (noto anche come APT33 o HOLMIUM). Questo gruppo ha dimostrato di avere un particolare interesse nei confronti dei settori dell’aviazione e dell’energia, con un focus specifico sugli impianti petroliferi, e ha già attaccato organizzazioni in diversi paesi, tra cui Stati Uniti, Arabia Saudita e Corea del Sud.

L’evento in questione è stato un attacco cibernetico impeccabile sia in termini di tecnica che di capacità di colpire una risorsa economica globale di primaria importanza: il petrolio. Tale circostanza conferma la tendenza degli attacchi ai sistemi industriali a prediligere il settore energetico.

Secondo quanto riportato da Symantec, Shamoon ha fatto la sua inaspettata riapparizione nel novembre del 2016 ed è stato nuovamente utilizzato in un attacco il 23 gennaio 2017, denominato Shamoon 2.

Russia e Ucraina

Da tempo immemorabile, la Russia ha designato l’Ucraina come bersaglio privilegiato dei propri attacchi informatici.

Non prenderemo in considerazione gli avvenimenti attuali relativi all’invasione militare della Russia, poiché le informazioni sui recenti attacchi non sono ancora del tutto chiare.

Si tratterà invece di casi di cyberwarfare che sono ormai diventati storici e che gli esperti hanno investigato approfonditamente per acquisire informazioni di valore.

BlackEnergy in Ucraina

Nonostante non abbia causato danni significativi, l’attacco in questione si è caratterizzato per la sua conformità ai canoni del manuale d’istruzione.

Il 23 dicembre 2015 alle ore 15:35, la società Ukrainian Kyivoblenergo, che si occupa della distribuzione regionale di energia elettrica, ha subito un attacco informatico. Successivamente, almeno tre operatori elettrici regionali sono stati colpiti dal medesimo attacco in tempi brevi. Si tratta di un evento di natura estremamente preoccupante, il quale richiede una pronta e accurata gestione da parte degli esperti del settore.

Sette sottostazioni con una capacità di 110 kV e ventitré con una capacità di 35 kV sono state disconnesse per un periodo di oltre tre ore. Ciò ha causato un impatto significativo sulla fornitura di energia elettrica, con la metà delle abitazioni nella regione di Ivano-Frankivsk, situata nell’ovest dell’Ucraina, rimaste senza corrente. Si stima che circa 225.000 individui siano stati colpiti da questa interruzione di servizio.

Un attacco proveniente da una nazione estera ha compromesso i sistemi SCADA (Supervisory Control and Data Acquisition) delle centrali energetiche, assumendo il controllo a distanza degli stessi. Per ripristinare il servizio, i gestori hanno dovuto effettuare una transizione al controllo manuale degli impianti. Tale azione è stata necessaria per garantire la continuità del servizio e preservare la sicurezza degli impianti energetici.

Il mezzo impiegato per perpetrare l’attacco è stato il noto trojan BlackEnergy, dotato di sofisticate funzionalità backdoor. Si tratta di un malware modulare in grado di scaricare e installare diverse componenti per eseguire specifiche attività. Nel 2014, questo strumento è stato utilizzato per una serie di attacchi di spionaggio informatico nei confronti di obiettivi di alto profilo associati al governo ucraino.

In base al rapporto esaustivo stilato da E-ISAC e SANS “Analysis of the Cyber Attack on the Ukrainian Power Grid” (18 marzo 2016), gli aggressori hanno dimostrato una conoscenza approfondita e una capacità di sfruttare una vasta gamma di tecniche per portare a termine l’attacco:

  • L’attacco di spear phishing tramite e-mail è stato utilizzato per infiltrarsi nelle reti aziendali dei tre gestori (in cui, come in ogni attacco, l’errore umano è stato un fattore determinante). Si ritiene che l’e-mail di attacco contenesse un allegato in formato Office che era stato programmato con una macro per attivare il malware.
  • L’evento che ha portato all’attacco informatico consiste nell’inserimento della variante BlackEnergy 3 all’interno dei sistemi dei gestori coinvolti, utilizzata in sinergia con il nuovo plug-in KillDisk (Win32/KillDisk) dotato di funzionalità distruttive, in grado di sovrascrivere oltre 4.000 tipologie di file e di conseguenza bloccare l’intero sistema operativo. Tale azione ha comportato gravi conseguenze sulla sicurezza informatica dei soggetti colpiti.
  • Il furto di credenziali dalle reti aziendali rappresenta una minaccia seria per la sicurezza informatica delle organizzazioni. Tale fenomeno consiste nell’acquisizione illecita di username e password da parte di soggetti malintenzionati, al fine di accedere ai sistemi informatici dell’azienda e sottrarre informazioni sensibili o causare danni. Si tratta di una pratica illecita che richiede un’azione tempestiva e incisiva da parte dei responsabili della sicurezza informatica, al fine di proteggere l’integrità dei dati e garantire la continuità operativa dell’azienda.
  • L’utilizzo di reti private virtuali (VPN) per accedere alla rete ICS rappresenta una pratica altamente consigliata nell’ambito della sicurezza informatica. Tale soluzione consente di garantire un elevato livello di protezione dei dati scambiati tra i dispositivi connessi alla rete, prevenendo eventuali attacchi esterni da parte di soggetti non autorizzati. Pertanto, l’adozione di questa tecnologia rappresenta una scelta strategica per garantire la sicurezza delle infrastrutture critiche e preservare la continuità operativa delle attività aziendali.
  • La manomissione dei documenti di Microsoft Office, che ospitavano il malware con l’intento di infiltrarsi nelle reti IT delle aziende elettriche, rappresenta una pratica altamente preoccupante che richiede l’adozione di misure di sicurezza adeguate per prevenire eventuali attacchi informatici.
  • La competenza di assumere il comando dei sistemi UPS per causare un’interruzione del servizio è stata evidenziata in uno dei gestori colpiti, dove gli aggressori hanno individuato una rete connessa ad un UPS e l’hanno riconfigurata in modo tale che, al momento dell’interruzione di corrente, si è verificata anche la disconnessione dell’alimentazione degli edifici o dei centri dati/armadi dell’azienda energetica.

L’evento è stato un’operazione coordinata e attentamente pianificata, eseguita da esperti nel settore.

Le autorità dei servizi segreti ucraini hanno attribuito la responsabilità dell’incidente alla Russia, in ragione delle tensioni esistenti tra i due paesi, aggravate dalla recente annessione della Crimea da parte della Russia.

Si presume che l’attacco sia stato perpetrato dal Sandworm Team, anche noto come Unità 74455, un’unità cibermilitare russa affiliata al GRU, il servizio di intelligence delle Forze Armate russe.

Esiste un fondato sospetto che Sandworm sia il responsabile degli attacchi informatici del 2017 contro l’Ucraina mediante l’utilizzo di NotPetya, nonché dell’attacco informatico perpetrato durante la cerimonia di apertura delle Olimpiadi invernali in Corea del Sud nel 2018. Tale supposizione si basa su elementi di prova concreti e affidabili.

Nel mese di dicembre del 2016, si è verificato un ulteriore attacco che, sebbene meno impattante rispetto a quello dell’anno precedente, ha causato un blackout della durata di circa un’ora. Pare che gli autori di tale gesto siano gli stessi del precedente episodio, tuttavia non sembrerebbero aver agito con l’obiettivo di causare danni, ma piuttosto come test per future azioni.

27 giugno 2017: attacco NotPetya

Il noto attacco informatico NotPetya è stato responsabile di gravi danni a livello globale, con un impatto stimato di circa 10 miliardi di dollari sulle organizzazioni colpite. Questo evento è considerato uno dei più distruttivi e costosi nella storia della sicurezza informatica, richiedendo un’azione immediata e decisa per mitigare le conseguenze e prevenire futuri attacchi simili.

Si tratta di un attacco di tipo Supply Chain che ha preso di mira un’azienda ucraina specializzata nella produzione di software gestionali, denominata M.E.doc. Attraverso questa, numerose aziende ucraine sono state colpite in modo massiccio, tanto da causare la cancellazione del 10% di tutti i computer presenti nel territorio in sole 24 ore. Tale attacco è da considerarsi un classico esempio di cyber-criminalità che evidenzia la necessità di adottare misure di sicurezza adeguate per proteggere le aziende e i dati sensibili in loro possesso.

Per la prima volta in tre decenni, i dispositivi di rilevamento delle radiazioni a Chernobyl hanno cessato di funzionare, obbligando il personale a monitorare i livelli di radiazione manualmente.

Il virus informatico NotPetya originatosi in Ucraina si è diffuso a livello globale, causando ingenti danni a numerose aziende di rilievo. Tra queste, si annoverano importanti realtà imprenditoriali che hanno subito gravi conseguenze a livello operativo ed economico:

  • La società Moller-Maersk ha subito danni economici pari a 300 milioni di dollari, in seguito all’attacco informatico subito. L’azienda ha dovuto procedere alla reinstallazione di ben 4.000 server e 45.000 PC, con conseguente impatto negativo sulla produttività e sui costi operativi.
  • Il gruppo TNT Express (di proprietà di FedEx) ha riportato danni per un valore di 300 milioni di dollari.
  • Mondelēz International ha subito un grave danno finanziario di 84 milioni di dollari a causa del blocco di 1.700 server e 24.000 computer. Nel frattempo, la società farmaceutica Merck ha dovuto interrompere le proprie operazioni a livello mondiale. 
  • Gruppo Saint Gobain.
  • Reckitt Benckiser ha registrato una diminuzione delle vendite di circa 110 milioni di sterline, rappresentando un impatto significativo sulle attività dell’azienda.
  • L’Italia ha subito uno dei maggiori impatti tra i paesi interessati dalla situazione attuale.

Tali inconvenienti hanno causato notevoli perdite economiche e rappresentano una chiara dimostrazione dell’importanza della sicurezza informatica e della necessità di adottare misure adeguate per proteggere le infrastrutture tecnologiche delle aziende.

NotPetya è stato un tipo di malware noto come ransomware, che prevedeva un pagamento di 300 $ (0,138 bitcoin) per il ripristino dei dati crittografati. Tuttavia, è stato scoperto che in realtà si trattava di un wiper, ovvero un programma distruttivo che non consentiva in alcun modo il recupero dei file. Questo tipo di attacco informatico ha causato danni significativi e ha evidenziato la necessità di adottare misure di sicurezza adeguate per proteggere i sistemi informatici dalle minacce online.

Il malware in questione si avvaleva dell’exploit denominato Eternalblue, sviluppato dalla NSA, al fine di diffondersi all’interno delle reti aziendali. Tale exploit era già stato impiegato, un mese prima, per l’attacco altrettanto noto di WannaCry, divenuto oggetto di grande attenzione mediatica.

Gli Stati Uniti e il Regno Unito hanno emesso una dichiarazione ufficiale attribuendo l’attacco NotPetya alla Russia. Si ritiene che il Sandworm Team, che è collegato al GRU, i servizi segreti militari russi, abbia eseguito l’attacco. Tale attribuzione è stata effettuata con grande cautela e basata su una serie di prove concrete e affidabili.

Uso delle pareti mobili direzionali per un grande effetto Previous post Uso delle pareti mobili direzionali per un grande effetto
Climatizzatore guasto ecco come richiedere un'assistenza a Milano Next post Climatizzatore guasto: ecco come richiedere un’assistenza a Milano

More Stories