Un report di Mandiant

Così la Russia ha messo al buio Kyiv prima della pioggia di missili

Priscilla Ruggiero

Un'azienda di cybersicurezza americana svela gli attacchi informatici del gruppo Sandworm, collegabile al Cremlino, che hanno preparato la strada agli attacchi missilistici sull'Ucraina un anno fa 

Un lunedì di ottobre del 2022, la Russia aveva lanciato una raffica di missili su tutta l’Ucraina prendendo di mira le centrali elettriche e le infrastrutture strategiche di Kyiv. Le sirene avevano suonato in tutto il paese, i missili di Mosca erano arrivati a Kyiv, Zaporizhzhia, Leopoli, Vinnytsia, Khmelnytskyi, Dnipro, Odessa, Mykolaïv: la strategia russa era di sfruttare il freddo e il buio, in vista dell’inverno, per rendere più vulnerabile l’Ucraina, l’anno scorso come oggi. Soltanto un giorno dopo gli attacchi, gli ucraini avevano già svuotato i negozi di elettronica attrezzandosi con powerbank e stufe elettriche per sopravvivere ai blackout, insieme a scorte di cibo, acqua e candele. Igor Moiseyev, un un abitante di Kyiv, aveva detto al Washington Post: noi ucraini ormai “siamo preparati e sappiamo esattamente cosa fare e come agire”.

 

Un anno dopo quegli attacchi su larga scala, l’azienda di cybersicurezza Mandiant pubblica oggi una ricerca, che il Foglio ha visionato in anticipo, che svela come dietro a quegli attacchi missilistici ci fosse una tattica più sofisticata: il lancio di missili era infatti preceduto da un attacco informatico del gruppo di criminali informatici russi “Sandworm”, che conduce operazioni di spionaggio, influenza e attacco a sostegno dell'intelligence russa (Gru) almeno dal 2009. Il gruppo si concentra da tempo sull'Ucraina, dove nell'ultimo decennio ha condotto una campagna sistematica di attacchi dirompenti e distruttivi, ma conduce anche operazioni di spionaggio di portata globale, che illustrano le ambizioni e gli interessi di ampia portata dell'esercito russo in altre regioni.

 

Secondo la ricerca di Mandiant, le interruzioni di corrente in concomitanza ai missili lanciati da Mosca sul territorio ucraino erano tutt’altro che una coincidenza: Sandworm avrebbe interrotto la corrente elettrica di Kyiv prima degli attacchi dell’esercito di Mosca. Secondo Mandiant, si tratta di un sofisticato “multi evento”:  è stato realizzato tramite una tecnica innovativa per colpire i sistemi di controllo industriale (ICS) e la tecnologia operativa (OT) e indica come il gruppo di criminali informatici sia probabilmente in grado di sviluppare rapidamente capacità simili contro altri sistemi OT di differenti produttori di apparecchiature originali (OEM) utilizzati in tutto il mondo. 

 

Sandworm, nell’attaccare le tecnologie operative, avrebbe utilizzato tecniche di tipo “living off the land” per far scattare gli interruttori delle centrali ucraine, causando un'interruzione di corrente non pianificata in concomitanza con gli attacchi missilistici di massa alle infrastrutture critiche in Ucraina.  Utilizzando questa tecnica gli hacker sarebbero stati in grado di ridurre la probabilità di essere scoperti o di lasciare tracce che avrebbero potuto poi essere utilizzate per rilevare altre operazioni. “Questo attacco rappresenta l'ultima evoluzione della capacità di attacco cyber-fisico della Russia, sempre più visibile dopo l'invasione dell'Ucraina. Le tecniche utilizzate durante l'evento suggeriscono una crescente maturità dell'arsenale offensivo OT della Russia, compresa la capacità di riconoscere nuovi vettori di minacce OT, sviluppare nuove capacità e sfruttare diversi tipi di infrastrutture OT per eseguire gli attacchi. Utilizzando le tecniche di 'living off the land' (un'espressione informatica per indicare quella tattica con cui l'hacker usa quel che trova nel computer destinatario dell'aggressione gli strumenti per portare a termine la missione) l'attore ha probabilmente ridotto il tempo e le risorse necessarie per condurre il suo attacco”, si legge sul report.

 

L’intrusione di Sandworm nei sistemi ucraini  sarebbe iniziata nel giugno 2022, o prima, e  culminata in due eventi di disturbo: il 10 e il 12 ottobre 2022. Secondo l’azienda la componente OT di questo attacco potrebbe essere stata sviluppata in appena due mesi. “Ciò indica che l'attore della minaccia è probabilmente in grado di sviluppare rapidamente capacità simili contro altri sistemi OT di diversi produttori di apparecchiature originali (OEM) sfruttati in tutto il mondo”.

Di più su questi argomenti: