Grazie a un recente rapporto pubblicato dal Servizio di Stato per le Comunicazioni Speciali e la Protezione delle Informazioni dell’Ucraina (SSSCIP) intitolato Russia’s Cyber Tactics: Lessons Learned in 2022 — SSSCIP analytical report on the year of Russia’s full-scale cyberwar against Ukraine, si può ottenere una panoramica a 360 gradi di ciò che comporta l’attuale guerra cibernetica dal punto di vista ucraino. Il report dell’SSSCIP evidenzia infatti i principali obiettivi, il coordinamento tra i gruppi governativi di minacce avanzate persistenti e gli “hacktivisti”, le operazioni di spionaggio e le operazioni di influenza, nonché le analisi e le scoperte ucraine.

Il vicepresidente dell’SSSCIP Victor Zhora sottolinea nella sua introduzione che l’Ucraina è stata sia il terreno di prova attivo, sia l’obiettivo prescelto per gli sforzi informatici della Russia dal 2014. Zhora osserva che la Russia ha avuto qualche successo isolato, ma non nel complesso e questo grazie sia alla resilienza delle metodologie difensive ucraine, sia all’assistenza dei numerosi partner nella difesa del panorama informatico ucraino.

Una lezione che i CISO dovrebbero imparare

Due di questi partner, che hanno investito molto sia in termini monetari che tecnologici, sono Microsoft e Google. Entrambi hanno recentemente pubblicato articoli che forniscono informazioni sulla guerra informatica russa contro l’Ucraina, leggendo i quali i CISO (e il suo staff) dovrebbero cercare di capire meglio le ramificazioni di eventuali ricadute informatiche del conflitto tra Russia e Ucraina.

Il rapporto rileva che la guerra informatica russa procede di pari passo con gli sforzi diretti contro il settore energetico ucraino, un cambiamento di strategia avvenuto nell’ottobre 2022. Il rapporto indica inoltre che anche gli scopi degli hacker russi sono cambiati, passando da un gran numero di attacchi mirati all’interruzione dell’attività a un più preciso spionaggio e furto di dati. Su 10 attacchi, infatti, solo due o tre sono incentrati sulla distruzione di informazioni e capacità, mentre i restanti sono focalizzati sull’acquisizione di informazioni utilizzando lo spear-phishing come strumento di scelta per ottenere i punti di appoggio necessari.

Il gruppo Gamaredon del servizio di sicurezza russo FSB è particolarmente attivo e di successo nel condurre incursioni operative nelle entità ucraine e nell’esfiltrare una buona quantità di informazioni, il tutto sotto l’ombrello dello “spionaggio”. Allo stesso modo, il gruppo GRU Unit-74455 è stato attivamente impegnato in attacchi di tipo “wiper” che hanno distrutto dati e capacità. È interessante notare che il rilevamento avviene prevalentemente a livello di endpoint (EDR) rispetto ai server di rete o di posta elettronica.

Gli attacchi della Russia si sono concentrati soprattutto sulle infrastrutture

Il settore più attaccato in termini di cyber-spionaggio e operazioni aggressive da parte degli avversari rimane quello dell’infrastruttura civile dell’Ucraina, comprese le istituzioni governative e le infrastrutture critiche (aziende energetiche, organizzazioni commerciali, aziende logistiche) e vari ministeri governativi. Inoltre, anche le organizzazioni della difesa sono state prese di mira. L’obiettivo, come si legge nel report, è “l’acquisizione di credenziali per ottenere un accesso impersonale e legittimo tramite e-mail o VPN senza 2FA per raccogliere dati”.

Russia

Per tutta la seconda metà del 2022, la Russia ha preso di mira il personale del Servizio di Sicurezza dell’Ucraina (SBU), “per compromettere gli account di messaggeria Signal e far trapelare dati e impersonare utenti legittimi”. Allo stesso modo, è stato attaccato il sistema Shliakh utilizzato dalle guardie di frontiera ucraine. Questo sistema permette alle guardie di frontiera di controllare l’identità delle persone che entrano in Ucraina.

Gli obiettivi comuni delle attività russe, anche se non hanno agito in modo coordinato, “sono stati principalmente la penetrazione nel segmento dell’energia e la raccolta di informazioni e l’esfiltrazione di dati”. Bloccare la capacità degli ucraini di comunicare e favorire “la disorganizzazione e il panico nella popolazione civile” è l’obiettivo della Russia nel colpire il settore delle telecomunicazioni. Senza la possibilità di comunicare o di accedere a internet, “i civili, così come il personale militare e gli agenti dell’intelligence, non possono coordinarsi per agire o chiedere aiuto”.

I rifugiati sono un altro obiettivo della Russia

Microsoft nel suo post ha sottolineato che le operazioni di influenza russa stanno prendendo di mira i rifugiati ucraini e che “la macchina della propaganda di Mosca ha recentemente preso di mira le popolazioni di rifugiati ucraini in tutta Europa, cercando di convincerli che potrebbero essere deportati e arruolati nell’esercito ucraino”.

Google ha inoltre notato che gli attacchi ai paesi della NATO “sono aumentati di oltre il 300%, anche se gli aggressori sostenuti dal governo russo hanno preso di mira gli utenti dell’Ucraina più di ogni altro paese. Se da un lato vediamo che questi aggressori si concentrano pesantemente sulle entità governative e militari ucraine, dall’altro le campagne che abbiamo interrotto mostrano una forte attenzione alle infrastrutture critiche, alle utility, ai servizi pubblici, ai media e allo spazio informativo”.

Spunti per i CISO per rivedere la propria sicurezza

L’SSSCIP fornisce alcune raccomandazioni basate sulle sue esperienze per aiutare i CISO di tutto il mondo a contrastare e sopravvivere alle guerre informatiche:

  • Ridurre al minimo il furto di credenziali e proteggere le identità degli utenti. L’autenticazione a più fattori dovrebbe essere “ovunque” e le organizzazioni dovrebbero intraprendere “il rafforzamento di Active Directory o la migrazione dei controller di dominio ad Azure AD”.
  • Istituire l’accesso meno privilegiato. “Proteggere l’accesso agli account e ai sistemi più sensibili e privilegiati”.
  • Isolare i sistemi legacy in modo che non possano essere utilizzati come punto di accesso. Per l’accesso remoto, l’autenticazione multifattoriale è d’obbligo. “Rimuovete o limitate l’accesso in uscita, ove possibile, per mitigare le kill-chains basate sull’uscita. Proteggete i sistemi rivolti a internet e le soluzioni di accesso remoto”.
  • Persone preparate e capaci, insieme a soluzioni di sicurezza con difesa approfondita, “possono consentire alla vostra organizzazione di identificare, rilevare e prevenire le intrusioni. L’abilitazione della protezione dei carichi di lavoro cloud nativi consente di identificare e mitigare le minacce note e nuove alla rete su scala.”