Tra Russia e Ucraina infuriano due guerre. Una occupa quasi totalmente il palinsesto delle notizie su ogni possibile media (tv, web, radio, giornali): è quella convenzionale, fatta di missili, aerei, carri armati, soldati e - soprattutto e purtroppo - di vittime e di profughi. L’altra occupa una porzione minima del suddetto palinsesto: è una guerra silenziosa, priva di boati e di sibili, ma non è meno dannosa. È una cyberwar.
La sinergia tra azione fisica e digitale non è una novità del conflitto che segna il febbraio del 2022. Già nel 2014, quando l’esercito russo entrava in Crimea, l’artiglieria ucraina era tracciata da un malware immesso nei sistemi militari da un gruppo di hacker legato all’apparenza a Mosca. Sempre in quel contesto, un attacco - sempre riconducibile al Cremlino - spense i sistemi di telecomunicazione del Donbass proprio nei giorni in cui un gruppo di manifestanti filorussi prendeva possesso di palazzi governativi proclamando la regione indipendente dall’Ucraina.
Nel 2016, poi, l’operatore della rete elettrica nazionale ucraina - Ukrenergo - venne colpito dal malware Industroyer, che causò un blackout di qualche ora in una vasta area di Kiev. Il malware, però, sarebbe stato in grado di distruggere completamente l’intera rete dell’operatore, lasciando senza energia un Paese grande due volte l’Italia e con oltre 42 milioni di abitanti.
Ricordiamo, inoltre, che dal 2015 al 2017 l’Ucraina è stata vittima di attacchi di tipo “data wiping”, cioè attacchi il cui scopo era cancellare definitivamente tutti i dati esistenti su un sistema.
La guerra cibernetica del 2022
L’attacco militare della Russia è partito all’alba del 24 febbraio, ma già nei giorni precedenti aziende ed infrastrutture ucraine erano state vittima di attacchi DDoS (Distributed Denial of Service) che, alla luce degli avvenimenti successivi, possono essere ragionevolmente considerati un diversivo per la preparazione del vero attacco.
Il primo malware di questo conflitto potrebbe essere stato rilasciato già un mese fa, quando varie organizzazioni ucraine erano state bersaglio del malware “WhisperGate”, precursore del vero vettore di attacco “HermeticWiper” o “KillDisk.NVC”, entrato in circolazione qualche ora prima dell’invasione fisica.
Il malware è stato rilevato dai sistemi ESET come Win32/KillDisk.NCV, e secondo il suo timestamp è stato compilato nel dicembre 2021, elemento che fa pensare a una preparazione orchestrata con estrema cura. HermeticWiper sfrutta i driver del software EaseUS Partition Master per corrompere i dati e utilizza un certificato autentico di firma del codice, rilasciato a una società di Cipro, Hermetica Digital (da cui il nome del software malevolo) e firmato dalla CHENGDU YIWO Tech Development Co.
Il compito di HermeticWiper è rendere inutilizzabile il computer sul quale viene installato, che si spegne e non riparte più. La sua azione, infatti, compromette la parte di unità di memoria che memorizza le istruzioni necessarie per avviare il sistema. L’obiettivo sembra quindi essere quello di isolare gli utenti distruggendo uno strumento di lavoro e di connessione alla rete - e quindi alle informazioni e ai servizi digitali. Si tratta di un vero e proprio bombardamento digitale.
HermeticWiper è un esempio di ciò che il presidente russo, Vladimir Putin, ha ventilato in una sua recentissima frase sull'invasione dell’Ucraina: Se qualcuno interferirà, reagiremo con conseguenze mai viste nella storia. Il pensiero è corso subito a una possibile guerra termonucleare, ma analisti esperti si sono concentrati su più realistici attacchi cyber alle infrastrutture critiche, sulla scorta di quanto accaduto proprio nel 2016. E in effetti, è facile pensare a cosa accadrebbe se ad essere colpiti fossero ospedali, centrali elettriche, acquedotti, oleodotti.
Come proteggersi
L’allarme per HermeticWiper è scattato in tutto il mondo. In Italia l’Agenzia per la Cybersicurezza nazionale (ACN) ha evidenziato il possibile aumento dei rischi informatici a cui sono esposte le imprese italiane che intrattengono rapporti con l’Ucraina, e le ha invitate ad assumere un insieme di contromisure.
Il SOC HWG monitora costantemente gli indicatori di compromissione (IoC) pubblicati dal CSIRT, dai maggiori player del settore e dalla comunità internazionale nel contesto della guerra in corso con l’Ucraina.
In particolare, il SOC HWG sta svolgendo le consuete azioni di discovery e detecting di nuove cyber threat all’interno dello scenario cyber internazionale utilizzando tutte le informazioni e gli IoC legati a questi tragici momenti per mantenere il livello di sicurezza ai massimi livelli.
Quanto alle misure consigliate dal CSIRT, esse sono di natura organizzativa e tecnica. Si tratta di un lungo elenco, del quale riportiamo qui alcuni punti importanti sul piano organizzativo (l’elenco completo è rintracciabile negli ultimi Bulletin HWG).
1. Verifica della consistenza e disponibilità offline dei backup necessari al ripristino in particolare dei servizi di core business.
2. Identificazione dei flussi informativi e delle componenti direttamente interconnesse con partner e/o localizzate presso reti ucraine.
3. Implementazione di una zona demilitarizzata (demilitarized zone – DMZ) per le connettività Business-to-Business (B2B).
4. Applicazione del principio di privilegio minimo (least privilege) per i sistemi con relazioni di trust e/o con la possibilità di accesso da remoto.
5. Creazione, aggiornamento, mantenimento ed esercizio periodico di capacità di incident response, di un piano di continuità operativa e resilienza in caso di perdita di accesso o controllo di un ambiente informatico (IT) e/o operativo (OT).
6. Prestare particolare attenzione alla protezione degli ambienti cloud prima di trasferire file rilevanti per le attività della propria organizzazione. Inoltre, si raccomanda di utilizzare i controlli di sicurezza resi disponibili dalle piattaforme cloud.
