Robin* ricorda molto chiaramente l’inizio dell’invasione russa dell’Ucraina. “Era come guardare l’invasione della Polonia da parte di Hitler in diretta televisiva”, hanno detto.
Il capo della sicurezza informatica di una grande azienda di Stoccolma, Robin nutriva un profondo sospetto nei confronti della Russia e una particolare serie di competenze che volevano mettere a frutto per aiutare l’Ucraina.
Nei mesi successivi all’invasione, lo svedese si ĆØ unito ai ranghi di una vasta rete di guerriglia di hacker globali che stanno affrontando la Russia dalle loro tastiere. A causa della natura illegale delle loro azioni, hanno parlato con Euronews Next a condizione di anonimato.
Il coinvolgimento di Robin ĆØ iniziato su Signal, un’app di messaggistica crittografata. Sono stati aggiunti a diversi gruppi Signal che hanno riunito professionisti della sicurezza informatica altamente qualificati in Europa per discutere gli sviluppi informatici nella guerra in corso.
Ma quando ebbe luogo l’invasione, Robin voleva fare di piĆ¹ che parlare.
“Per me ĆØ stato importante; sapere che nonostante tutto questo fino ad ora, ho fatto qualcosa”, hanno detto a Euronews Next, ripensando alle loro azioni all’inizio di quest’anno.
“Qualunque cosa accada, anche se entriamo nell’inverno nucleare, so di aver provato qualcosa per aiutare”.
In qualitĆ di penetration tester, qualcuno che viene assunto per testare le vulnerabilitĆ del sistema hackerandole direttamente, Robin ha affermato di voler intraprendere un’azione diretta contro la Russia a seguito dell’invasione.
“Ho notato che qualcuno in uno di questi gruppi ha scritto qualcosa di stranamente specifico, quindi sembrava chiaro che avessero collegamenti con l’Ucraina”, ha detto Robin.
“Ho deciso di provarci e ho postato che sono disposto a fare qualcosa di offensivo, e ho chiesto se qualcuno sta facendo qualcosa di offensivo qui”.
Poco dopo, sono stati contattati da una persona nota solo come “PR”*, che voleva avere un’idea del tipo di abilitĆ che Robin poteva portare sul tavolo.
Paranoia, controllo e primi bersagli
“La mia preoccupazione immediata era che questa potesse essere una spia russa”, ha detto Robin. “Quindi, ho contattato alcuni specialisti di sicurezza informatica svedesi che conoscevo ed entrambi hanno affermato di conoscere questa persona e che era legittimo”.
Hanno scoperto che PR era un importante ricercatore di sicurezza ucraino specializzato in sistemi di controllo industriale, i dispositivi digitali che controllano le infrastrutture critiche, la produzione e l’industria.
Il controllo ĆØ andato in entrambe le direzioni. PR ha posto a Robin domande sul loro background (ex militari, operazioni informatiche offensive), quali competenze avevano (hacking, sicurezza) e quali settori conoscevano (telecomunicazioni).
Una volta soddisfatti entrambi, PR ha inviato a Robin un messaggio: “Puoi sabotare i sistemi?”
Gli hacker possono entrare nei sistemi informatici in modo relativamente semplice attraverso un punto debole in un programma di condivisione di file eseguito su sistemi operativi Windows, afferma Robin.
Quindi, la prima cosa che hanno fatto ĆØ stata iniziare a prendere di mira gli indirizzi IP russi attraverso questa vulnerabilitĆ ed eliminare tutto ciĆ² che riuscivano a trovare.
“Era ad ampio spettro, come una rete a strascico”, ha detto Robin.
“Avevo in esecuzione diversi script che cancellavano tutto e lasciavano solo un file di testo, dicendo qualcosa del tipo ‘potresti non supportare questa guerra, ma continuerĆ a succedere finchĆ© non fermerai il tuo dittatore'”.
Molte volte, dice Robin, i sistemi russi erano giĆ stati cancellati da un altro hacker che era arrivato per primo, briciole di pane che indicavano la raffica di attivitĆ informatica innescata dall’invasione della Russia.
Una tempesta cibernetica in arrivo
Il picco di attacchi informatici contro la Russia ĆØ stato condannato in modo raro dichiarazione ad aprile dal ministero degli Esteri russo, che ha affermato di aver osservato centinaia di migliaia di attacchi settimanali provenienti principalmente dal Nord America, dagli Stati membri dell’UE e dall’Ucraina.
Ha accusato l’Occidente di sostenere gli aggressori e li ha messi in guardia dal “flirtare con la comunitĆ degli hacker”.
“Chi semina il cybervento raccoglierĆ la tempesta cibernetica”, si legge nella dichiarazione.
PiĆ¹ o meno nello stesso periodo, la Digital Security Unit di Microsoft ha rilasciato a rapporto descrivendo in dettaglio molteplici operazioni informatiche che gli hacker del governo russo hanno effettuato contro l’Ucraina fino a un anno prima dell’inizio dell’invasione di terra.
Dal 27 febbraio all’8 aprile, i ricercatori di Microsoft hanno trovato prove di “quasi 40 attacchi distruttivi discreti che hanno distrutto permanentemente file in centinaia di sistemi in dozzine di organizzazioni in Ucraina”.
Non ĆØ insolito che la Russia utilizzi attacchi informatici distruttivi contro i suoi nemici. Mentre risalire ai singoli attacchi informatici a un attore statale ĆØ quasi impossibile, un attacco informatico del 2007 da parte di hacker russi contro l’Estonia ĆØ ampiamente riconosciuto come il primo caso di un’arma informatica utilizzata da un attore statale contro un altro.
Negli ultimi anni, gli hacker russi sono stati anche ampiamente sospettati di essere dietro gli sforzi per interrompere le elezioni nei paesi occidentali, tra cui Stati Uniti, Germania e Francia.
“Ritardare e creare il caos” in Russia
Il secondo compito di Robin era piĆ¹ specifico e strategico. PR ha affermato che c’ĆØ stata un’operazione per impedire alla Russia di utilizzare la sua ferrovia statale per trasportare attrezzature in prima linea.
“Dobbiamo interrompere i loro processi aziendali e impedire loro di utilizzare le ferrovie”, ha scritto PR in un messaggio del 28 febbraio, visto da Euronews Next. “L’obiettivo sarebbe l’intrusione e la cancellazione dell’infrastruttura IT interna”.
PR ha inviato a Robin un file completo sulle ferrovie russe, con informazioni che espongono proprietari, indirizzi IP, posizioni dei data center e altro. Ogni volta che Robin accedeva a un sistema di amministrazione, eliminava il database e, successivamente, eliminava tutti i file dal sistema.
“Questo era solo per ritardare e creare il caos”, dice Robin. “Non fermerebbe mai l’invasione, ma la ritarderebbe e la renderebbe piĆ¹ difficile”.
Robin afferma di non aver mai ricevuto alcun feedback sul risultato di questi compiti dalle pubbliche relazioni o dai loro contatti ucraini. Ma in questo periodo, video ha iniziato ad emergere sui social media mostrando i militari russi che lottano per rifornire le munizioni e il carburante, cosa che Robin sperava potesse essere in parte dovuta alle loro azioni.
“Non so quanti abbia aiutato, se ha aiutato”, ha detto Robin. “Forse ritardare quella ferrovia di un altro mese ha dato ai civili un’altra finestra per uscire. A me basta”.
Sopravvalutare la Russia
Mentre Robin continuava a ricevere incarichi dalle pubbliche relazioni, dalla raccolta di informazioni sulle societĆ logistiche russe al cracking delle telecamere di sorveglianza per dare alle forze ucraine piĆ¹ occhi nei territori occupati, si sono detti sorpresi di scoprire quanto fosse facile entrare nei sistemi russi.
“Non credo che la Russia nel suo insieme fosse preparata all’idea che sarebbero diventati un campo di addestramento informatico per tutti gli hacker del mondo una volta iniziata questa invasione”, ha detto Robin.
“Tutto era cosƬ indifeso, cosƬ aperto. E questo era strano perchĆ© la guerra informatica va avanti da cosƬ tanto tempo”.
Dall’inizio dell’invasione, esperti e commentatori hanno ripetutamente sopravvalutato le capacitĆ russe dentro e fuori dal campo di battaglia.
“Ć una delle grandi lezioni della guerra in Ucraina”, ha affermato James Lewis, vicepresidente senior e direttore del programma di tecnologie strategiche presso il Centro per gli studi strategici e internazionali (CSIS). “I russi non sono cosƬ competenti come pensavamo”.
Ma sopravvalutando la Russia, l’Occidente ha anche sottovalutato l’Ucraina e tutte le lezioni che Kiev ha imparato in anni di rapporti con il suo vicino ostile.
Un esercito informatico volontario
Una delle cose straordinarie della risposta dell’Ucraina all’invasione russa ĆØ la velocitĆ con cui ĆØ stata in grado di ottenere sostegno dall’esterno dei suoi confini.
Due giorni dopo l’inizio dell’invasione russa, il ministro ucraino per la trasformazione digitale, Mykhailo Fedorov, ha twittato una richiesta affinchĆ© gli esperti informatici si unissero all'”esercito IT” ucraino.
Il tweet affermava che i compiti sarebbero stati assegnati tramite un canale Telegram dedicato gestito dal governo, che ha rapidamente raccolto oltre 300.000 membri.
Ć la prima volta che un governo chiede aiuto ad hacker volontari in una vera guerra, ha detto Lewis.
“Gli ucraini hanno fatto un buon lavoro nell’integrare questi sforzi volontari della comunitĆ degli hacker e dei loro stessi cittadini”, ha detto Lewis a Euronews Next.
“Non puoi farlo al volo, quindi penso che ci stessero pensando (prima dell’invasione della Russia)”.
Nelle parole di Lewis, l’Ucraina “ha ricevuto un piccolo aiuto dall’Estonia”, che ha sviluppato una Cyber āāDefense League volontaria dopo che i suoi sistemi digitali sono stati paralizzati da un attacco informatico russo nel 2007.
La nazione baltica e membro della NATO ĆØ un peso massimo globale nella sicurezza informatica, classificandosi al terzo posto nell’indice globale di sicurezza informatica delle Nazioni Unite. Ć stato anche uno dei piĆ¹ fedeli sostenitori dell’Ucraina da molto prima dell’ultima invasione della Russia.
Imparare da Tallinn
Il ministro della Difesa estone, Hanno Pevkur, ha dichiarato a Euronews Next che Tallinn condivide da anni conoscenze e informazioni con Kiev su questioni come la cooperazione informatica.
“Gli ucraini hanno imparato dalle nostre esperienze passate”, ha detto Pevkur.
“Uno di questi ĆØ stato che per diversi tipi di minacce informatiche, utilizziamo anche il settore privato e gli esperti privati. Probabilmente hanno visto che questa ĆØ anche una delle migliori opzioni per loro perchĆ© non si affidano a un’istituzione, lo stato Devi essere flessibile”.
La Cyber āāDefense League volontaria dell’Estonia attinge ai talenti digitali trovati nel settore privato, dando al governo l’accesso a specialisti che normalmente non potrebbe permettersi. La chiave del suo successo, secondo Pevkur, ĆØ eliminare la burocrazia.
“Quando vediamo che le minacce (informatiche) stanno aumentando, abbiamo la possibilitĆ di contattare i volontari e loro possono venire ad aiutarci”, ha detto Pevkur.
“Cerchiamo di mantenere le cose semplici, di non regolamentare eccessivamente o di gravare sulle diverse collaborazioni”.
Dato che quest’anno l’Ucraina ĆØ stata accettata come “partecipante contributore” al Cooperative Cyber āāCenter of Excellence della NATO a Tallinn, la questione delle capacitĆ di difesa informatica dei volontari potrebbe diventare un argomento di discussione piĆ¹ importante.
Linee sfocate
Lewis ĆØ convinto che la guerra in Ucraina non sarĆ l’ultima volta che vedremo sfumare il confine tra operazioni informatiche civili e militari.
“SarĆ cruciale (integrare i volontari civili) perchĆ© c’ĆØ una differenza tra una folla e un esercito”, ha detto.
“Una folla corre in giro e fa cose che potrebbero non essere utili. Un esercito fa cose che sono direttive per contribuire all’esito del conflitto. Quindi trovare un modo per organizzare, integrare e guidare questi hacker non militari e non governativi ĆØ una parte importante”.
Per quanto riguarda Robin, ĆØ quasi giunto il momento per loro di appendere il cappello, dopo mesi di notti insonni a caccia di obiettivi russi nel cyberspazio.
“Durante l’estate mi sono preso qualche settimana di ferie perchĆ© mi stavo davvero stancando”, hanno detto.
“Ć difficile da descrivere, ma ho dovuto smettere di preoccuparmene per un po’. Anche il mio partner si stava incazzando. E ultimamente, ho fatto dei passi indietro e sto cercando di uscire completamente da me stesso”.
Robin dice che ĆØ una sensazione surreale disconnettersi da una missione che occupava ogni momento libero della loro giornata, ma che non sono preoccupati per le future operazioni informatiche in Ucraina.
“La vita da questa parte della guerra ĆØ come era prima, solo andando a lavorare”, ha detto Robin.
“Pochissime persone ne parlano al giorno d’oggi. Ć diventato come una notizia da tappezzeria. Ma a quanto ho capito, ci sono ancora molte risorse funzionanti, quindi non credo che la mia partenza o la mia partenza sia qualcosa che inverta la marea”.
*I nomi sono stati cambiati in questo pezzo su richiesta dell’intervistato per rispettare il suo desiderio di rimanere anonimo.
Image:Getty Images
