Robin* ricorda molto chiaramente l’inizio dell’invasione russa dell’Ucraina. “Era come guardare l’invasione della Polonia da parte di Hitler in diretta televisiva”, hanno detto.
Il capo della sicurezza informatica di una grande azienda di Stoccolma, Robin nutriva un profondo sospetto nei confronti della Russia e una particolare serie di competenze che volevano mettere a frutto per aiutare l’Ucraina.
Nei mesi successivi all’invasione, lo svedese si è unito ai ranghi di una vasta rete di guerriglia di hacker globali che stanno affrontando la Russia dalle loro tastiere. A causa della natura illegale delle loro azioni, hanno parlato con Euronews Next a condizione di anonimato.
Il coinvolgimento di Robin è iniziato su Signal, un’app di messaggistica crittografata. Sono stati aggiunti a diversi gruppi Signal che hanno riunito professionisti della sicurezza informatica altamente qualificati in Europa per discutere gli sviluppi informatici nella guerra in corso.
Ma quando ebbe luogo l’invasione, Robin voleva fare di più che parlare.
“Per me è stato importante; sapere che nonostante tutto questo fino ad ora, ho fatto qualcosa”, hanno detto a Euronews Next, ripensando alle loro azioni all’inizio di quest’anno.
“Qualunque cosa accada, anche se entriamo nell’inverno nucleare, so di aver provato qualcosa per aiutare”.
In qualità di penetration tester, qualcuno che viene assunto per testare le vulnerabilità del sistema hackerandole direttamente, Robin ha affermato di voler intraprendere un’azione diretta contro la Russia a seguito dell’invasione.
“Ho notato che qualcuno in uno di questi gruppi ha scritto qualcosa di stranamente specifico, quindi sembrava chiaro che avessero collegamenti con l’Ucraina”, ha detto Robin.
“Ho deciso di provarci e ho postato che sono disposto a fare qualcosa di offensivo, e ho chiesto se qualcuno sta facendo qualcosa di offensivo qui”.
Poco dopo, sono stati contattati da una persona nota solo come “PR”*, che voleva avere un’idea del tipo di abilità che Robin poteva portare sul tavolo.
Paranoia, controllo e primi bersagli
“La mia preoccupazione immediata era che questa potesse essere una spia russa”, ha detto Robin. “Quindi, ho contattato alcuni specialisti di sicurezza informatica svedesi che conoscevo ed entrambi hanno affermato di conoscere questa persona e che era legittimo”.
Hanno scoperto che PR era un importante ricercatore di sicurezza ucraino specializzato in sistemi di controllo industriale, i dispositivi digitali che controllano le infrastrutture critiche, la produzione e l’industria.
Il controllo è andato in entrambe le direzioni. PR ha posto a Robin domande sul loro background (ex militari, operazioni informatiche offensive), quali competenze avevano (hacking, sicurezza) e quali settori conoscevano (telecomunicazioni).
Una volta soddisfatti entrambi, PR ha inviato a Robin un messaggio: “Puoi sabotare i sistemi?”
Gli hacker possono entrare nei sistemi informatici in modo relativamente semplice attraverso un punto debole in un programma di condivisione di file eseguito su sistemi operativi Windows, afferma Robin.
Quindi, la prima cosa che hanno fatto è stata iniziare a prendere di mira gli indirizzi IP russi attraverso questa vulnerabilità ed eliminare tutto ciò che riuscivano a trovare.
“Era ad ampio spettro, come una rete a strascico”, ha detto Robin.
“Avevo in esecuzione diversi script che cancellavano tutto e lasciavano solo un file di testo, dicendo qualcosa del tipo ‘potresti non supportare questa guerra, ma continuerà a succedere finché non fermerai il tuo dittatore'”.
Molte volte, dice Robin, i sistemi russi erano già stati cancellati da un altro hacker che era arrivato per primo, briciole di pane che indicavano la raffica di attività informatica innescata dall’invasione della Russia.
Una tempesta cibernetica in arrivo
Il picco di attacchi informatici contro la Russia è stato condannato in modo raro dichiarazione ad aprile dal ministero degli Esteri russo, che ha affermato di aver osservato centinaia di migliaia di attacchi settimanali provenienti principalmente dal Nord America, dagli Stati membri dell’UE e dall’Ucraina.
Ha accusato l’Occidente di sostenere gli aggressori e li ha messi in guardia dal “flirtare con la comunità degli hacker”.
“Chi semina il cybervento raccoglierà la tempesta cibernetica”, si legge nella dichiarazione.
Più o meno nello stesso periodo, la Digital Security Unit di Microsoft ha rilasciato a rapporto descrivendo in dettaglio molteplici operazioni informatiche che gli hacker del governo russo hanno effettuato contro l’Ucraina fino a un anno prima dell’inizio dell’invasione di terra.
Dal 27 febbraio all’8 aprile, i ricercatori di Microsoft hanno trovato prove di “quasi 40 attacchi distruttivi discreti che hanno distrutto permanentemente file in centinaia di sistemi in dozzine di organizzazioni in Ucraina”.
Non è insolito che la Russia utilizzi attacchi informatici distruttivi contro i suoi nemici. Mentre risalire ai singoli attacchi informatici a un attore statale è quasi impossibile, un attacco informatico del 2007 da parte di hacker russi contro l’Estonia è ampiamente riconosciuto come il primo caso di un’arma informatica utilizzata da un attore statale contro un altro.
Negli ultimi anni, gli hacker russi sono stati anche ampiamente sospettati di essere dietro gli sforzi per interrompere le elezioni nei paesi occidentali, tra cui Stati Uniti, Germania e Francia.
“Ritardare e creare il caos” in Russia
Il secondo compito di Robin era più specifico e strategico. PR ha affermato che c’è stata un’operazione per impedire alla Russia di utilizzare la sua ferrovia statale per trasportare attrezzature in prima linea.
“Dobbiamo interrompere i loro processi aziendali e impedire loro di utilizzare le ferrovie”, ha scritto PR in un messaggio del 28 febbraio, visto da Euronews Next. “L’obiettivo sarebbe l’intrusione e la cancellazione dell’infrastruttura IT interna”.
PR ha inviato a Robin un file completo sulle ferrovie russe, con informazioni che espongono proprietari, indirizzi IP, posizioni dei data center e altro. Ogni volta che Robin accedeva a un sistema di amministrazione, eliminava il database e, successivamente, eliminava tutti i file dal sistema.
“Questo era solo per ritardare e creare il caos”, dice Robin. “Non fermerebbe mai l’invasione, ma la ritarderebbe e la renderebbe più difficile”.
Robin afferma di non aver mai ricevuto alcun feedback sul risultato di questi compiti dalle pubbliche relazioni o dai loro contatti ucraini. Ma in questo periodo, video ha iniziato ad emergere sui social media mostrando i militari russi che lottano per rifornire le munizioni e il carburante, cosa che Robin sperava potesse essere in parte dovuta alle loro azioni.
“Non so quanti abbia aiutato, se ha aiutato”, ha detto Robin. “Forse ritardare quella ferrovia di un altro mese ha dato ai civili un’altra finestra per uscire. A me basta”.
Sopravvalutare la Russia
Mentre Robin continuava a ricevere incarichi dalle pubbliche relazioni, dalla raccolta di informazioni sulle società logistiche russe al cracking delle telecamere di sorveglianza per dare alle forze ucraine più occhi nei territori occupati, si sono detti sorpresi di scoprire quanto fosse facile entrare nei sistemi russi.
“Non credo che la Russia nel suo insieme fosse preparata all’idea che sarebbero diventati un campo di addestramento informatico per tutti gli hacker del mondo una volta iniziata questa invasione”, ha detto Robin.
“Tutto era così indifeso, così aperto. E questo era strano perché la guerra informatica va avanti da così tanto tempo”.
Dall’inizio dell’invasione, esperti e commentatori hanno ripetutamente sopravvalutato le capacità russe dentro e fuori dal campo di battaglia.
“È una delle grandi lezioni della guerra in Ucraina”, ha affermato James Lewis, vicepresidente senior e direttore del programma di tecnologie strategiche presso il Centro per gli studi strategici e internazionali (CSIS). “I russi non sono così competenti come pensavamo”.
Ma sopravvalutando la Russia, l’Occidente ha anche sottovalutato l’Ucraina e tutte le lezioni che Kiev ha imparato in anni di rapporti con il suo vicino ostile.
Un esercito informatico volontario
Una delle cose straordinarie della risposta dell’Ucraina all’invasione russa è la velocità con cui è stata in grado di ottenere sostegno dall’esterno dei suoi confini.
Due giorni dopo l’inizio dell’invasione russa, il ministro ucraino per la trasformazione digitale, Mykhailo Fedorov, ha twittato una richiesta affinché gli esperti informatici si unissero all'”esercito IT” ucraino.
Il tweet affermava che i compiti sarebbero stati assegnati tramite un canale Telegram dedicato gestito dal governo, che ha rapidamente raccolto oltre 300.000 membri.
È la prima volta che un governo chiede aiuto ad hacker volontari in una vera guerra, ha detto Lewis.
“Gli ucraini hanno fatto un buon lavoro nell’integrare questi sforzi volontari della comunità degli hacker e dei loro stessi cittadini”, ha detto Lewis a Euronews Next.
“Non puoi farlo al volo, quindi penso che ci stessero pensando (prima dell’invasione della Russia)”.
Nelle parole di Lewis, l’Ucraina “ha ricevuto un piccolo aiuto dall’Estonia”, che ha sviluppato una Cyber Defense League volontaria dopo che i suoi sistemi digitali sono stati paralizzati da un attacco informatico russo nel 2007.
La nazione baltica e membro della NATO è un peso massimo globale nella sicurezza informatica, classificandosi al terzo posto nell’indice globale di sicurezza informatica delle Nazioni Unite. È stato anche uno dei più fedeli sostenitori dell’Ucraina da molto prima dell’ultima invasione della Russia.
Imparare da Tallinn
Il ministro della Difesa estone, Hanno Pevkur, ha dichiarato a Euronews Next che Tallinn condivide da anni conoscenze e informazioni con Kiev su questioni come la cooperazione informatica.
“Gli ucraini hanno imparato dalle nostre esperienze passate”, ha detto Pevkur.
“Uno di questi è stato che per diversi tipi di minacce informatiche, utilizziamo anche il settore privato e gli esperti privati. Probabilmente hanno visto che questa è anche una delle migliori opzioni per loro perché non si affidano a un’istituzione, lo stato Devi essere flessibile”.
La Cyber Defense League volontaria dell’Estonia attinge ai talenti digitali trovati nel settore privato, dando al governo l’accesso a specialisti che normalmente non potrebbe permettersi. La chiave del suo successo, secondo Pevkur, è eliminare la burocrazia.
“Quando vediamo che le minacce (informatiche) stanno aumentando, abbiamo la possibilità di contattare i volontari e loro possono venire ad aiutarci”, ha detto Pevkur.
“Cerchiamo di mantenere le cose semplici, di non regolamentare eccessivamente o di gravare sulle diverse collaborazioni”.
Dato che quest’anno l’Ucraina è stata accettata come “partecipante contributore” al Cooperative Cyber Center of Excellence della NATO a Tallinn, la questione delle capacità di difesa informatica dei volontari potrebbe diventare un argomento di discussione più importante.
Linee sfocate
Lewis è convinto che la guerra in Ucraina non sarà l’ultima volta che vedremo sfumare il confine tra operazioni informatiche civili e militari.
“Sarà cruciale (integrare i volontari civili) perché c’è una differenza tra una folla e un esercito”, ha detto.
“Una folla corre in giro e fa cose che potrebbero non essere utili. Un esercito fa cose che sono direttive per contribuire all’esito del conflitto. Quindi trovare un modo per organizzare, integrare e guidare questi hacker non militari e non governativi è una parte importante”.
Per quanto riguarda Robin, è quasi giunto il momento per loro di appendere il cappello, dopo mesi di notti insonni a caccia di obiettivi russi nel cyberspazio.
“Durante l’estate mi sono preso qualche settimana di ferie perché mi stavo davvero stancando”, hanno detto.
“È difficile da descrivere, ma ho dovuto smettere di preoccuparmene per un po’. Anche il mio partner si stava incazzando. E ultimamente, ho fatto dei passi indietro e sto cercando di uscire completamente da me stesso”.
Robin dice che è una sensazione surreale disconnettersi da una missione che occupava ogni momento libero della loro giornata, ma che non sono preoccupati per le future operazioni informatiche in Ucraina.
“La vita da questa parte della guerra è come era prima, solo andando a lavorare”, ha detto Robin.
“Pochissime persone ne parlano al giorno d’oggi. È diventato come una notizia da tappezzeria. Ma a quanto ho capito, ci sono ancora molte risorse funzionanti, quindi non credo che la mia partenza o la mia partenza sia qualcosa che inverta la marea”.
*I nomi sono stati cambiati in questo pezzo su richiesta dell’intervistato per rispettare il suo desiderio di rimanere anonimo.
Image:Getty Images
