Nuovi sviluppi nella guerra cibernetica fra Russia e Ucraina
20 Dicembre 2023Nell’ambito del conflitto cibernetico tra Russia e Ucraina, nelle ultime settimane, si è registrato un innalzamento del livello delle offensive da parte di entrambi gli schieramenti. In particolare, è stato evidenziato un cambio di passo significativo da parte di quello ucraino.
Tra la fine di novembre e la metà di dicembre, un organismo governativo ucraino ha rilasciato rivendicazioni pubbliche, caso senza precedenti, di due attacchi contro infrastrutture critiche russe. Per contro, in contemporanea con la seconda dichiarazione ufficiale ucraina, è stata segnalata una massiccia offensiva, con probabile fine distruttivo, contro la Telco Kyivstar, rivendicata poi da due avversari che sostengono la causa di Mosca.
Il 23 novembre, la Defence Intelligence of Ukraine ha dichiarato di aver acquisito, a seguito di una complessa operazione informatica, una grande mole di documenti riservati appartenenti a Rosaviatsia, l’Agenzia Federale Russa per il Trasporto Aereo. Rosaviatsia è responsabile della supervisione dell’industria dell’aviazione civile e della sua sicurezza e registra tutti i casi di incidenti di volo o emergenza. I dati ottenuti dalla violazione includerebbero un elenco di rapporti quotidiani che coprono un periodo di tempo di oltre un anno e mezzo. Lo studio dei documenti relativi agli incidenti aerei indicherebbe una serie di preoccupanti guasti meccanici di tipo sistemico che metterebbero a rischio l’incolumità dei passeggeri.
Inoltre, il 12 dicembre, l’intelligence militare ucraina ha dichiarato di aver attaccato il Servizio Fiscale Federale (FTS) russo. Nel dettaglio, gli agenti avrebbero distribuito un malware in uno dei server centrali dell’FTS e in oltre 2.300 dei suoi server regionali, localizzati in tutta la Russia e nella Crimea occupata. Parallelamente, avrebbero colpito anche la società informatica russa Office[.]ed-it[.]ru, provider di servizi di data center dell’ente governativo di Mosca. L’attacco avrebbe determinato la completa distruzione dell’infrastruttura FTS e la paralisi delle comunicazioni tra l’Ufficio centrale di Mosca e i suoi dipartimenti territoriali, così come quella tra l’FTS e Office[.]ed-it[.]ru.
Sempre il 12 dicembre, l’operatore di telefonia ucraino Kyivstar ha annunciato sulla propria pagina Facebook di essere caduto vittima di una potente offensiva che ha temporaneamente messo fuori uso i servizi di comunicazione e l’accesso a internet, determinando disservizi su larga scala. Secondo le dichiarazioni del CEO di Kyivstar, Oleksandr Komarov, l’attacco avrebbe avuto come obiettivo la distruzione delle infrastrutture critiche ucraine. Il provider e i servizi di sicurezza hanno deciso di spegnere completamente la rete quando hanno rilevato l’evento. Nonostante alcuni sospetti iniziali, è stato confermato che non esistono evidenze di una compromissione dei dati degli utenti. L’offensiva ha impattato anche le operazioni di PrivatBank, la più grande banca statale ucraina. L’istituto finanziario ha rilasciato un post sul proprio canale X (ex Twitter) nel quale ha riferito la possibilità di disservizi relativi ai suoi terminali POS, bancomat e TSO, poiché sono basati su carte SIM Kyivstar.
Quanto alle rivendicazioni, il gruppo hacktivista KillNet e l’avversario Solntsepek, presumibilmente associato a Sandworm, hanno dichiarato, indipendentemente l’uno dall’altro, di essere gli autori della compromissione di Kyivstar. Mentre KillNet non ha fornito alcuna prova, Solntsepek ha pubblicato sul proprio canale Telegram diversi screenshot che mostrano il presunto accesso ai server di Kyivstar. Il gruppo ha dichiarato di aver distrutto più di 10.000 computer e 4.000 server, inclusi i sistemi aziendali di cloud storage e backup.
Infine, è stato segnalato che, seppur non inerente al caso Kyivstar, il 12 dicembre l’istituto di credito ucraino Monobank ha subito un attacco DDoS che è stato prontamente mitigato.