Robin* ricorda molto chiaramente l’inizio dell’invasione russa dell’Ucraina. “Era come guardare l’invasione della Polonia da parte di Hitler in diretta televisiva”, hanno detto.
A capo della sicurezza informatica di una grande azienda di Stoccolma, Robin nutriva un radicato sospetto nei confronti della Russia e un particolare insieme di abilità che voleva mettere a frutto per aiutare l’Ucraina.
Nei mesi successivi all’invasione, lo svedese si è unito ai ranghi di una vasta rete di guerriglia di hacker globali che stanno affrontando la Russia dalle loro tastiere. A causa della natura illegale delle loro azioni, hanno parlato con Euronews Next a condizione di anonimato.
Il coinvolgimento di Robin è iniziato su Signal, un’app di messaggistica crittografata. Sono stati aggiunti a diversi gruppi di Signal che hanno riunito professionisti della sicurezza informatica altamente qualificati in Europa per discutere gli sviluppi informatici nella guerra in corso.
Ma quando è avvenuta l’invasione, Robin voleva fare di più che parlare.
“Per me è stato importante, sapendo che in tutto questo fino ad ora ho fatto qualcosa”, hanno detto a Euronews Next, ripensando alle loro azioni all’inizio di quest’anno.
“Qualunque cosa accada, anche se entriamo nell’inverno nucleare, so di aver provato qualcosa per aiutare”.
In qualità di tester di penetrazione, qualcuno che viene assunto per testare le vulnerabilità del sistema hackerandole direttamente, Robin ha affermato di voler intraprendere un’azione diretta contro la Russia sulla scia dell’invasione.
“Ho notato che qualcuno in uno di questi gruppi ha scritto qualcosa di stranamente specifico, quindi sembrava chiaro che avessero legami con l’Ucraina”, ha detto Robin.
“Ho deciso di provarci e ho postato che sono disposto a fare qualcosa di offensivo, e ho chiesto se qualcuno sta facendo qualcosa di offensivo qui”.
Poco dopo, furono contattati da una persona conosciuta solo come “PR”* che voleva avere un’idea del tipo di abilità che Robin poteva portare al tavolo.
Paranoia, controlli e primi bersagli
“La mia preoccupazione immediata era che questa potesse essere una spia russa”, ha detto Robin. “Quindi, ho contattato alcuni specialisti svedesi di sicurezza informatica che conoscevo ed entrambi hanno detto di conoscere questa persona e che questo era legittimo”.
Hanno scoperto che PR era un importante ricercatore di sicurezza ucraino specializzato in sistemi di controllo industriale, i dispositivi digitali che controllano le infrastrutture critiche, la produzione e l’industria.
Il controllo è andato in entrambe le direzioni. Le PR hanno posto a Robin domande sul loro background (ex militare, operazioni informatiche offensive), quali competenze avevano (hacking, sicurezza) e quali settori conoscevano (telecomunicazioni).
Una volta soddisfatti entrambi, PR ha inviato a Robin un messaggio: “Puoi sabotare i sistemi?”
Gli hacker possono entrare nei sistemi informatici in modo relativamente semplice a causa di un punto debole in un programma di condivisione di file eseguito su sistemi operativi Windows, afferma Robin.
Quindi, la prima cosa che hanno fatto è stata iniziare a prendere di mira gli indirizzi IP russi attraverso questa vulnerabilità ed eliminare tutto ciò che potevano trovare.
“Era ad ampio spettro, come una rete a strascico”, ha detto Robin.
“Avevo diversi script in esecuzione che cancellavano tutto e lasciavano un solo file di testo, dicendo qualcosa del tipo ‘potresti non supportare questa guerra, ma questo continuerà fino a quando non fermerai il tuo dittatore'”.
Molte volte, dice Robin, i sistemi russi erano già stati cancellati da un altro hacker che era arrivato lì per primo, briciole di pane che indicavano la raffica di attività informatica scatenata dall’invasione russa.
Una tempesta informatica in arrivo
Il picco di attacchi informatici contro la Russia è stato condannato in modo raro dichiarazione ad aprile dal ministero degli Esteri russo, che ha affermato di aver osservato centinaia di migliaia di attacchi settimanali provenienti principalmente dal Nord America, dagli Stati membri dell’UE e dall’Ucraina.
Ha accusato l’Occidente di sostenere gli aggressori e li ha messi in guardia dal “flirtare con la comunità degli hacker”.
“Chiunque semina il cyberwind raccoglierà la cyberstorm”, si legge nella dichiarazione.
Più o meno nello stesso periodo, la Digital Security Unit di Microsoft ha rilasciato a rapporto dettagliando più operazioni informatiche che gli hacker del governo russo hanno effettuato contro l’Ucraina fino a un anno prima dell’inizio dell’invasione di terra.
Dal 27 febbraio all’8 aprile, i ricercatori di Microsoft hanno trovato prove di “quasi 40 attacchi distruttivi distinti che hanno distrutto permanentemente file in centinaia di sistemi in dozzine di organizzazioni in Ucraina”.
Non è insolito che la Russia utilizzi attacchi informatici distruttivi contro i suoi nemici. Sebbene sia quasi impossibile tracciare i singoli attacchi informatici a un attore statale, un attacco informatico del 2007 da parte di hacker russi contro l’Estonia è ampiamente riconosciuto come il primo caso di un’arma informatica utilizzata da un attore statale contro un altro.
Negli ultimi anni, gli hacker russi sono stati anche ampiamente sospettati di essere dietro gli sforzi per interrompere le elezioni nei paesi occidentali, inclusi Stati Uniti, Germania e Francia.
“Ritarda e crea il caos” in Russia
Il secondo compito di Robin era più specifico e strategico. PR ha affermato che c’è stata un’operazione per impedire alla Russia di utilizzare la sua ferrovia statale per trasportare attrezzature in prima linea.
“Dobbiamo interrompere i loro processi aziendali e impedire loro di utilizzare le ferrovie”, ha scritto PR in un messaggio il 28 febbraio, visto da Euronews Next. “L’obiettivo sarebbe l’intrusione e l’eliminazione dell’infrastruttura IT interna”.
PR ha inviato a Robin un file completo sulle ferrovie russe, con informazioni che rivelano proprietari, indirizzi IP, posizioni dei data center e altro ancora. Ogni volta che Robin accedeva a un sistema di amministrazione, eliminava il database e, successivamente, eliminava tutti i file sul sistema.
“Questo era solo per ritardare e creare il caos”, dice Robin. “Non avrebbe mai fermato l’invasione, ma lo avrebbe ritardato e reso più difficile”.
Robin afferma di non aver mai ricevuto alcun feedback sul risultato di queste attività dalle pubbliche relazioni o dai loro contatti ucraini. Ma in questo periodo, video ha iniziato a emergere sui social media mostrando i militari russi che lottano per rifornire le loro munizioni e carburante, cosa che Robin sperava potesse essere in parte dovuta alle loro azioni.
“Non so quanti ha aiutato, se ha aiutato”, ha detto Robin. “Forse ritardare quella ferrovia di un altro mese ha dato ai civili un’altra finestra per uscire. Mi basta”.
Sopravvalutare la Russia
Mentre Robin continuava a ricevere incarichi dalle pubbliche relazioni, dalla raccolta di informazioni sulle società logistiche russe al cracking delle telecamere di sorveglianza per dare più occhi alle forze ucraine nei territori occupati, si sono detti sorpresi di scoprire quanto fosse facile entrare nei sistemi russi.
“Non credo che la Russia nel suo insieme fosse preparata all’idea che sarebbero diventati un campo di addestramento informatico per ogni hacker nel mondo una volta iniziata questa invasione”, ha detto Robin.
“Era tutto così indifeso, così aperto. Ed era strano perché la guerra informatica è andata avanti per così tanto tempo”.
Dall’inizio dell’invasione, esperti e commentatori hanno ripetutamente sopravvalutato le capacità russe dentro e fuori dal campo di battaglia.
“È una delle grandi lezioni della guerra in Ucraina”, ha affermato James Lewis, vicepresidente senior e direttore del programma per le tecnologie strategiche presso il Center for Strategic and International Studies (CSIS). “I russi non sono competenti come pensavamo”.
Ma sopravvalutando la Russia, l’Occidente ha anche sottovalutato l’Ucraina e tutte le lezioni che Kiev ha appreso in anni nel trattare con il suo vicino ostile.
Un esercito informatico volontario
Una delle cose straordinarie della risposta dell’Ucraina all’invasione russa è la velocità con cui è stata in grado di raccogliere supporto dall’esterno dei suoi confini.
Due giorni dopo l’inizio dell’invasione russa, il ministro della Trasformazione digitale ucraino, Mykhailo Fedorov, ha twittato una richiesta per gli specialisti informatici di unirsi all'”esercito informatico” ucraino.
Il tweet affermava che i compiti sarebbero stati assegnati tramite un canale Telegram dedicato gestito dal governo, che ha rapidamente raccolto oltre 300.000 membri.
È la prima volta che un governo chiede aiuto a hacker volontari in una vera guerra, ha detto Lewis.
“Gli ucraini hanno fatto un buon lavoro integrando questi sforzi di volontariato dalla comunità degli hacker e dai loro stessi cittadini”, ha detto Lewis a Euronews Next.
“Non puoi farlo al volo, quindi penso che abbiano pensato a questo (prima dell’invasione della Russia)”.
Nelle parole di Lewis, l’Ucraina “ha ricevuto un piccolo aiuto dall’Estonia”, che ha sviluppato una Cyber Defense League volontaria dopo che i suoi sistemi digitali sono stati paralizzati da un attacco informatico russo nel 2007.
La nazione baltica e membro della NATO è un peso massimo mondiale nella sicurezza informatica, classificandosi al terzo posto nell’indice di sicurezza informatica globale delle Nazioni Unite. È stato anche uno dei più fedeli sostenitori dell’Ucraina da molto prima dell’ultima invasione della Russia.
Imparare da Tallinn
Il ministro della Difesa estone Hanno Pevkur ha dichiarato a Euronews Next che Tallinn condivide da anni conoscenze e informazioni con Kiev su questioni tra cui la cooperazione informatica.
“Gli ucraini hanno imparato dalle nostre esperienze passate”, ha detto Pevkur.
“Uno di questi è che per diversi tipi di minacce informatiche, utilizziamo anche il settore privato e gli esperti privati. Probabilmente hanno visto che questa è anche una delle migliori opzioni per loro perché non fanno affidamento su un’istituzione, lo stato . Devi essere flessibile”.
La Cyber Defense League, volontaria dell’Estonia, attinge al talento digitale trovato nel settore privato, dando al governo l’accesso a specialisti che normalmente non potrebbe permettersi. La chiave del suo successo, secondo Pevkur, è tagliare la burocrazia.
“Quando vediamo che le minacce (cyber) stanno aumentando, abbiamo la possibilità di contattare i volontari e loro possono venire ad aiutarci”, ha detto Pevkur.
“Cerchiamo di mantenere le cose semplici, di non sovraregolare o imporre oneri a diverse cooperazioni”.
Poiché quest’anno l’Ucraina è stata accettata come “partecipante contribuente” al Centro di eccellenza cibernetico cooperativo della NATO a Tallinn, la questione delle capacità di difesa informatica dei volontari potrebbe diventare un argomento di discussione più importante.
Linee sfocate
Lewis è convinto che la guerra in Ucraina non sarà l’ultima volta che vedremo sfumare il confine tra operazioni informatiche civili e militari.
“Sarà cruciale (integrare i volontari civili) perché c’è una differenza tra una folla e un esercito”, ha detto.
“Una folla corre e fa cose che potrebbero non essere utili. Un esercito fa cose che sono direttive per contribuire all’esito del conflitto. Quindi trovare un modo per organizzare, integrare e guidare questi hacker non militari e non governativi è una parte importante”.
Per quanto riguarda Robin, è quasi giunto il momento per loro di appendere il cappello, dopo mesi di notti insonni a inseguire obiettivi russi nel cyberspazio.
“Durante l’estate mi sono preso qualche settimana di riposo perché mi stavo stancando davvero”, hanno detto.
“È difficile da descrivere, ma ho dovuto smettere di preoccuparmene per un po’. Anche il mio partner si stava incazzando. E ultimamente, ho fatto dei passi indietro e sto cercando di eliminarmi completamente”.
Robin dice che è una sensazione surreale disconnettersi da una missione che occupava ogni momento libero della loro giornata, ma che non sono preoccupati per le future operazioni informatiche in Ucraina.
“La vita da questa parte della guerra è come prima, va solo al lavoro”, ha detto Robin.
“Pochissime persone ne parlano al giorno d’oggi. Sono diventate come le notizie sullo sfondo. Ma da quanto ho capito, ci sono ancora molte risorse funzionanti, quindi non penso che partire o andarmene sia qualcosa che inverte la marea”.
*I nomi sono stati cambiati in questo pezzo su richiesta dell’intervistato per rispettare il loro desiderio di rimanere anonimi.
Image:Getty Images
