La guerra tra Russia e Ucraina non si combatte solamente nel mondo reale, ma anche in quello informatico. Con la discesa in campo di Anonymous, che negli ultimi giorni ha dichiarato guerra al Governo russo, lo scontro si è spostato anche sul web, dove le due forze si sono già date battaglia con alcune operazioni che hanno colpito entrambi gli schieramenti. Da un lato gli attacchi DDoS di Anonymous che hanno reso inaccessibili i portali governativi russi, dall'altro i malware lanciati dalla Russia verso alcune infrastrutture ucraine. Ne abbiamo parlato con Riccardo Meggiato, esperto in cyber-security e digital forensics.

Anonymous ha dichiarato guerra al governo russo, da esperto di informatica come vedi questa dichiarazione?

Il gesto di Anonymous è stato spettacolare e molto idealistico, perché gli attacchi sferrati fino a questo momento hanno un grandissimo valore simbolico, ma tanto più in là non si va. Se io blocco il sito del Cremlino sto bloccando un front end, qualcosa che tutti possono vedere, ma non sto bloccando un'infrastruttura russa. Può darsi che loro arrivino a bloccare qualcosa, ma qui ci scontriamo con un grandissimo problema tecnologico: la Russia utilizza una serie di tecnologie e protocolli per conto suo. I protocolli che utilizziamo abitualmente in occidente, come quelli che usiamo per collegarci a internet, ci sono in Russia, ma loro internamente ne usano altri. Molti di questi o sono poco studiati o semplicemente c'è poco accesso dal mondo esterno e quindi ci sono poche possibilità da parte degli hacker di analizzarlo prima di riuscire a combinare qualcosa. Anonymous è grande e sicuramente ci saranno degli attivisti russi che potranno contribuire, ma al momento abbiamo dei gesti simbolici.

Per il momento infatti si sta parlando di attacchi DDoS e di qualche azione particolare come quella che ha colpito lo yacht di Putin, sembrano comunque degli attacchi un po’ blandi.

Un attacco DDoS significa puntare 100.000 cannoni, 100.000 visite contemporanee, sparando numeri a caso, per cercare di rendere il sito inaccessibile a chi viene dopo. Ma è come se io dicessi: attacco il sito del governo. Non è che blocchi l'Italia o i militari. Dai una dimostrazione e ti schieri, che è un grande gesto, però siamo ancora a livello simbolico. Probabilmente nei prossimi giorni assisteremo a qualche attacco un po' più approfondito, so che hanno minacciato un data breach. Diciamo che da un punto di vista di scontro informatico secondo me è più interessante quello che si sta profilando a livello di cyber gang.

Cioè?

Per esempio è saltato fuori che sul dark net il Conti Team, una delle principali cyber gang, ha dichiarato di stare dalla parte di Putin. Questo ha delle implicazioni non da poco, perché le cyber gang le abbiamo sempre viste operare come meccanismi autonomi, non si sapeva neanche a che stato appartenessero. Ora il fatto che il Conti Team patteggi per Putin significa fondamentalmente due cose. La prima è che c'è un buon rapporto con il Governo russo; sappiamo che molte cyber gang sono emanazioni di un governo, ma uno schieramento del genere fino ad oggi non c'è mai stato. La seconda è che appoggiando il Governo è chiaro che hanno delle risorse piuttosto importanti, fatto peraltro confermato da quello che abbiamo visto nelle loro operazioni. Io stesso negli ultimi mesi con i miei ragazzi sono andato in molte aziende colpite dal ransomware sviluppato dal Conti Team e quello che ci ha sempre stupito è che analizzandolo ogni volta era diverso, non c'era mai una morfologia identica. Segno che questo codice è estremamente complesso e costoso da produrre. Quando una cosa è così costosa è chiaro che dietro c'è uno stato. Per contro, un'altra cyber gang chiamata Evil Corp si è schierata dalla parte degli ucraini.

Questa cosa ti stupisce?

È abbastanza logico che molte cyber gang stiano dalla parte degli ucraini. Non tanto per una questione di affiliazione allo stato, ma perché molti sviluppatori di malware provengono dall'Ucraina. Da una parte abbiamo delle cyber gang mosse da uno spirito di tutela e forse anche interessate a questo patriottismo perché tanti server di cyber gang si trovano in Ucraina. Dall'altra abbiamo cyber gang che si schierano dall'altra parte. Quindi quello che stava diventando solo uno scontro informatico tra stati sta diventando uno scontro tra rispettive organizzazioni criminali e stati. È una cosa che non si è mai vista finora.

In questo contesto Anonymous, senza un supporto governativo, sembra in una situazione di svantaggio rispetto a queste realtà, è così?

Loro lavorano con armi un po' spuntate. Sono bravi, però dico sempre che i buoni sono sempre in svantaggio, perché sono meno e hanno meno soldi. Anonymous produce e sviluppa degli strumenti che poi dà ai nuovi adepti per mandarli all'attacco, formando una massa molto estesa ma anche molto eterogenea in cui possono esserci tanti gregari. Nelle cyber gang hai direttamente la Serie A, hai i migliori. Perché dietro al cyber crime ci sono un sacco di soldi, rispetto a chi gli dà la caccia. Anonymous in questa situazione ha una posizione di svantaggio, ma anche il grande vantaggio di essere anonimo. Anche il Conti Team è anonimo ma sappiamo in che spazio si muove, mentre Anonymous è talmente estesa che possono essercene alcuni in Russia, altri in Ucraina, Italia, Romania e via dicendo. È il vantaggio su cui Anonymous può puntare.

La russia come si posiziona a livello di guerra informativa sulla scacchiera globale? È una delle forze principali?

Secondo me stiamo tutti sopravvalutando tantissimo la Russia. Loro hanno dei grandi informatici e grandi gruppi di hacker, però se tu guardi in giro è un gioco del telefono. Mentre gli hacker tedeschi sono bravi perché sappiamo che quell'hacker ha fatto questo e quell'altro, per quanto riguarda i russi finora sappiamo dagli USA che forse sono stati loro a usare uno spyware, peraltro era una mezza vulnerabilità per prendere la posta della Clinton. Sappiamo che sono bravissimi a fare campagne di disinformazione, ma non è hacking. In quanto a veri e propri cyber attacchi non abbiamo evidenze che ci permettono di dire che sono tanto più bravi degli altri. Il fatto di aver alzato una cortina così elevata da una parte nasconde le loro risorse, ma dall'altra nasconde il fatto che magari sono vulnerabili. Ultimamente dagli attacchi che studiamo ogni giorno non è che dalla Russia veda arrivare queste bordate.

Insomma tanto fumo, ma di concreto c'è poco?

Anche i famosi wiper che hanno scaricato addosso all'Ucraina non mi sembrano queste grandi minacce. Cerchiamo anche di capire se sono attacchi di stato o dove utilizzano degli strumenti creati interamente dalle cyber gang. Se loro avessero avuto delle armi davvero efficaci dal punto di vista della guerra informatica, oggi avremmo degli altri tipi di notizie, invece troviamo dei carri armati impantanati perché non gli va il GPS. Loro peraltro utilizzano un altro sistema di posizionamento, il GLONASS, che ha delle enormi vulnerabilità rispetto al GPS. Sono stato diverse volte in Russia, ho visto che tipo di ricerche fanno. Usano le vulnerabilità che usiamo noi, i software di informatica forense che usiamo noi. Anzi, mi hanno fatto provare un paio di software di informatica forense russi e li ho buttati subito via, perché ci sono soluzioni americane e israeliane che sono 10 volte avanti.