La Russia, probabilmente più di ogni altra potenza leader, lancia attacchi informatici contro altri paesi come una questione di routine. A volte, gli attacchi informatici russi accompagnano l’azione militare, come nell’attuale guerra in Ucraina. Altre volte, Mosca utilizza gli attacchi informatici per distruggere o indebolire le società, ad esempio durante le elezioni presidenziali statunitensi del 2016. La Russia usa anche il suo formidabile arsenale informatico per minacciare i governi in risposta a un evento specifico, ad esempio quando la Finlandia ha accolto il presidente ucraino Volodymyr Zelensky per parlare al suo parlamento ad aprile.

Cosa rivelano le azioni russe durante la seconda guerra in Ucraina (iniziata nel febbraio 2022) sull’approccio di Mosca agli attacchi informatici? I funzionari del Cremlino pensano alle attività informatiche in modo diverso in tempo di guerra rispetto a tempo di pace? Cosa potrebbero dire queste differenze sul decantato arsenale informatico russo in futuro?

Gli attacchi informatici russi in tempo di guerra sono più frequenti che in tempo di pace e più mirati alle infrastrutture critiche. Tuttavia, gli attacchi informatici russi sono per il resto simili agli attacchi informatici lanciati in altre occasioni, variando principalmente nella loro intensità. In quantità minori, gli attacchi informatici possono fungere da avvertimenti (colpi di prua); in quantità medie, nell’ambito di una strategia di guerra ibrida sub-militare; o su larga scala, come tentativi di disabilitare le infrastrutture critiche durante il combattimento armato. Poiché le tecniche sono notevolmente simili, le intenzioni della Russia possono essere individuate meno dalla natura degli attacchi informatici stessi e più dalla loro frequenza e dal loro contesto, se accompagnati da diplomazia, disinformazione o azione militare. L’obiettivo numero uno di questi attacchi sono gli Stati Uniti, seguiti dall’Ucraina. Di conseguenza, dovrebbe studiare come e perché la Russia utilizza gli attacchi informatici in tempo di guerra rispetto a una strategia di guerra ibrida di interruzione e se uno porta necessariamente all’altro nella dottrina russa.

Attacchi informatici russi in tempo di guerra

I vasti attacchi informatici della Russia all’Ucraina forniscono una finestra su come dispiega gli attacchi informatici nei conflitti armati e nella sua guerra ibrida contro l’Occidente, quando cerca di evitare di provocare una risposta armata. Il 27 aprile 2022, l’unità di sicurezza digitale di Microsoft ha pubblicato un rapporto che enumerava e analizzava tutti gli attacchi informatici russi noti all’Ucraina nei primi mesi di guerra. Il rapporto concludeva che il servizio di intelligence militare russo (comunemente noto come GRU), il servizio di intelligence estero (o SVR) e il servizio di sicurezza federale (o FSB) “hanno condotto attacchi distruttivi, operazioni di spionaggio o entrambi, mentre le forze militari russe attaccano il paese per terra, aria e mare”. L’obiettivo, ha aggiunto la società, era “interrompere o degradare il governo ucraino e le funzioni militari e minare la fiducia del pubblico in quelle stesse istituzioni”.

Gli attacchi informatici hanno subito un’accelerazione drammatica con lo scoppio della guerra. Nel dicembre 2021, Microsoft ha osservato 15 attacchi informatici russi contro l’Ucraina. Questo numero è salito a 125 nel marzo 2022 (cfr. tabella 1 del rapporto). La società stima che la Russia abbia iniziato a prepararsi per gli attacchi informatici in Ucraina nel marzo 2021, nello stesso momento in cui la Russia ha iniziato a schierare truppe lungo il confine con l’Ucraina. Sembra che gli attacchi informatici preparatori abbiano mirato alla raccolta di informazioni militari e di politica estera e all’accesso a infrastrutture critiche, come i fornitori di servizi energetici e informatici. Al contrario, Microsoft conclude che “gli attacchi distruttivi segnalano un’imminente invasione”. Ha notato che la Russia ha scatenato il distruttivo wiper WhisperGate (che elimina i dischi rigidi e rende i computer non avviabili) su un numero limitato di “sistemi del settore informatico e governativo” ucraino quando i colloqui diplomatici tra Russia, Ucraina, NATO e UE sono falliti il ​​13 gennaio, 2022. La Russia ha seguito attacchi di negazione del servizio ai siti Web del governo ucraino.

Alla vigilia della guerra il 23 febbraio 2022, il gruppo di minaccia del GRU russo, Iridium, ha scatenato un altro distruttivo tergicristallo, FoxBlade, su centinaia di reti militari e governative ucraine contemporaneamente. Microsoft ha anche osservato le connessioni tra specifiche azioni militari e attacchi informatici. Ad esempio, gli attacchi informatici si sono concentrati geograficamente intorno a Kiev e nel Donbas e hanno preso di mira la compagnia nucleare ucraina più o meno nello stesso periodo in cui la Russia ha occupato la più grande centrale nucleare dell’Ucraina a Zaporizhia. Durante la guerra, ha concluso Microsoft, gli attacchi informatici sono più frequenti, più distruttivi e coordinati con l’azione militare.

Gli attacchi informatici russi come sostituto della guerra

Naturalmente, la Russia schiera anche attacchi informatici in assenza di un’azione militare pianificata. Gli esempi includono gli attacchi informatici di Mosca contro banche, ministeri e parlamento estoni nel 2007 e alle elezioni presidenziali statunitensi del 2016. In questi casi, gli attacchi hanno seriamente sconvolto la politica di entrambi i paesi. La Russia non ha fatto affidamento solo sugli attacchi informatici, ma li ha accompagnati con altri metodi dirompenti, come azioni civili, proteste e campagne di disinformazione. Tuttavia, in questi casi, la Russia non ha cercato di provocare una guerra a fuoco.

La Russia a volte usa gli attacchi informatici non per disabilitare le infrastrutture critiche per aprire la strada alla conquista militare, ma come parte di una strategia globale di interruzione per degradare le capacità del nemico senza provocare ritorsioni. In questi casi, la Russia ha dispiegato attacchi informatici meno frequentemente, ma in modo persistente nel tempo, e questi includono attacchi distruttivi. La seconda guerra in Ucraina potrebbe far sì che l’Occidente e i suoi alleati prendano più sul serio questi attacchi di guerra “ibridi” o “politici”, dal momento che sono ovviamente paralleli alle azioni russe in tempo di guerra.

L’attacco informatico russo del 2007 all’Estonia, ad esempio, ha cercato di impedire il trasferimento di un monumento di epoca sovietica che commemorava la “liberazione” dell’Estonia da parte dell’Armata Rossa. Per molti estoni, il monumento rappresentava la decennale sottomissione del paese da parte dell’Unione Sovietica durante la Guerra Fredda. Per la Russia, invece, era un simbolo del sacrificio sovietico per sconfiggere i nazisti nella seconda guerra mondiale.

Quando la diplomazia ha fallito, sono iniziati gli attacchi informatici. Poche settimane dopo che l’Estonia ha deciso di trasferire la statua di epoca sovietica dal centro di Tallinn a un cimitero militare, hacker non identificati hanno lanciato una serie di attacchi distribuiti di negazione del servizio. Questi attacchi contro il governo estone ei sistemi informativi, in coincidenza con l’intensificarsi delle proteste degli estoni di lingua russa, sono durati 22 giorni. Gli autori di denial of service sono arrivati ​​al punto di diffondere pagine di tutorial, in russo, su quando e come lanciare attacchi informatici. La situazione ha raggiunto il culmine quando l’ambasciatore dell’Estonia in Russia è stato attaccato durante una conferenza stampa a Mosca. La combinazione di una campagna di disinformazione, proteste organizzate e attacchi informatici ha creato ansia e disillusione tra la popolazione estone di lingua russa.

Allo stesso modo, gli attacchi informatici russi hanno contribuito a creare un’atmosfera di sfiducia, polarizzazione e frammentazione sociale nelle elezioni presidenziali statunitensi del 2016. Un gruppo di 12 ufficiali militari russi ha ottenuto l’accesso non autorizzato ai computer del Comitato Nazionale Democratico, della Campagna del Congresso Democratico, della campagna di Hillary Clinton e di due candidati repubblicani, quindi ha diffuso le informazioni online. Questo attacco informatico non solo ha danneggiato le possibilità delle vittime di vincere le elezioni, ma ha anche contribuito alla fiducia già in declino degli americani nelle istituzioni democratiche. Durante le elezioni, un Pew Research Survey ha rilevato che solo il 20 per cento della popolazione americana ha espresso fiducia nella democrazia, una cifra sbalorditiva per un paese visto come il leader del mondo libero.

In Estonia nel 2007 e negli Stati Uniti nel 2016, gli attori del governo russo hanno utilizzato gli attacchi informatici non per preparare un attacco violento imminente, ma piuttosto per indebolire una nazione ostile infiltrandosi nella sua politica e minando la fiducia nelle istituzioni democratiche. La Russia, in questi casi, combina attacchi informatici con campagne di disinformazione e azioni civili, piuttosto che militari.

Gli attacchi informatici russi come segnale di minaccia

La Russia schiera anche attacchi informatici come avvertimento o minaccia toccante, spesso per rafforzare le azioni diplomatiche.

Ad esempio, l’8 aprile 2022, mentre il presidente ucraino Zelensky ha tenuto un discorso di invito al parlamento finlandese, i ministeri degli esteri e della difesa finlandesi sono stati colpiti da un attacco denial of service distribuito. I sistemi governativi finlandesi sono stati ripristinati in un’ora, ma date le circostanze, questo attacco informatico sembra essere stato progettato per segnalare il dispiacere della Russia per i piani della Finlandia di aderire alla NATO e il suo sostegno all’Ucraina. Questo attacco è stato preannunciato da dichiarazioni diplomatiche russe che avvertono la Finlandia di “passi di rappresaglia” per entrare a far parte della NATO. Ad oggi, rimane l’unico attacco informatico significativo contro la Finlandia o la Svezia poiché hanno pianificato le loro domande di adesione all’alleanza. Questo attacco ha somiglianze con altri casi in cui la Russia ha utilizzato attacchi informatici per enfatizzare gli avvertimenti diplomatici.

In seguito allo scandalo del doping del 2015 che ha portato la squadra olimpica russa a essere bandita dalle Olimpiadi fino al 2022, l’intelligence militare russa ha lanciato un significativo attacco informatico contro la Confederazione sportiva svedese mentre la Svezia stava facendo un’offerta per ospitare le Olimpiadi invernali del 2026. Questi attacchi informatici facevano parte di una “campagna sistematica” rivolta alla FIFA, all’Agenzia mondiale antidoping e all’Agenzia antidoping degli Stati Uniti per promuovere obiettivi diplomatici piuttosto che perturbazioni militari o sociali.

Tre usi distinti degli attacchi informatici

La Russia utilizza gli attacchi informatici in tre modi diversi. In primo luogo, implementa attacchi informatici per preparare e facilitare il conflitto militare attaccando infrastrutture critiche come siti Web governativi, server IT, banche, media e centrali elettriche. Come mostra la seconda guerra in Ucraina, la Russia cerca di interrompere e disabilitare le infrastrutture critiche per portare avanti i suoi obiettivi militari.

La Russia schiera anche attacchi informatici come parte di una strategia di guerra ibrida che sostituisce la guerra. Questi attacchi possono essere persistenti per periodi di tempo più lunghi. Tuttavia, la Russia dispiega attacchi informatici in quantità minori e spesso combinati con altre tecniche di guerra ibrida o politica, come campagne di disinformazione e azioni civili nei paesi presi di mira. In questi casi, la Russia non sembra avere intenzione di un’azione militare imminente, ma potrebbe cercare di degradare le capacità difensive.

Gli attacchi informatici possono anche essere dispiegati come un segnale di minaccia più isolato e complementare agli avvertimenti diplomatici, quando un paese intraprende azioni che la Russia interpreta come ostili. A tal fine, gli attacchi informatici sono più frequentemente combinati con la diplomazia tradizionale.

In conclusione, la Russia utilizza gli attacchi informatici come metodo per sconvolgere società e organizzazioni. Mentre in tempo di guerra, la Russia dispiega attacchi informatici con maggiore frequenza e gli attacchi sono spesso più distruttivi, la differenza centrale sembra essere le azioni di accompagnamento. Gli attacchi informatici in tempo di guerra accompagnano l’azione militare. In situazioni di guerra politica o ibrida, gli attacchi informatici accompagnano la disinformazione e le azioni civili e cercano di sostituire l’azione militare raggiungendo alcuni obiettivi senza rischi. Altre volte, gli attacchi informatici accompagnano gli avvertimenti diplomatici contro altri paesi e organizzazioni internazionali.

L’invasione russa dell’Ucraina nel 2022 ha creato l’opportunità per fare più luce sull’uso da parte della Russia degli attacchi informatici in tempo di guerra. Consente inoltre agli analisti di comprendere meglio la strategia di attacco informatico della Russia in modo più ampio. Tenere d’occhio la connessione tra gli attacchi informatici e il loro contesto potrebbe fornire, in futuro, indizi sulle intenzioni della Russia. In primo luogo, può anche aiutare gli esperti della difesa a contrastare la minaccia. Dato che la Russia usa intenzionalmente gli attacchi informatici per sconvolgere le nazioni senza provocare una risposta armata, gli Stati Uniti devono trovare il modo di rispondere a questi attacchi non solo durante una guerra a fuoco (come ha fatto durante il conflitto in Ucraina), ma anche a quelli meno frequenti, tuttavia persistenti che fanno parte della guerra ibrida in corso della Russia contro l’Occidente.