La Russia ha bombardato le città ucraine con missili e droni per gran parte dell’ultimo mese, colpendo i civili e ampie fasce di infrastrutture critiche del Paese.

Lunedì, il 40% dei residenti di Kiev è rimasto senz’acqua e in tutto il Paese sono state segnalate interruzioni di corrente diffuse. Giovedì il presidente ucraino Volodymyr Zelensky ha accusato la Russia di “terrorismo energetico” e ha dichiarato che circa 4,5 milioni di consumatori ucraini sono stati temporaneamente scollegati dalla rete elettrica.

La distruzione esemplifica come i bombardamenti indiscriminati rimangano la tattica preferita del Cremlino a otto mesi dall’inizio della sua guerra contro l’Ucraina. Le vantate capacità di hacking di Mosca, nel frattempo, continuano a svolgere un ruolo periferico, piuttosto che centrale, negli sforzi del Cremlino per smantellare le infrastrutture critiche ucraine.

“Perché bruciare le proprie capacità informatiche se si è in grado di raggiungere gli stessi obiettivi con attacchi cinetici?”, ha dichiarato ai media un alto funzionario statunitense.

Ma gli esperti che hanno parlato con i media americani suggeriscono che probabilmente la questione del perché i cyberattacchi della Russia non abbiano avuto un impatto più visibile sul campo di battaglia è più complessa.

Combinare efficacemente operazioni cibernetiche e cinetiche “richiede un alto grado di pianificazione ed esecuzione integrata”, ha sostenuto un funzionario militare statunitense che si occupa di difesa cibernetica. “I russi non riescono nemmeno a combinare queste cose tra l’aviazione, l’artiglieria e le forze d’assalto di terra”.

La mancanza di informazioni verificabili sugli attacchi informatici riusciti durante la guerra complica il quadro.

Un funzionario occidentale che si occupa di sicurezza informatica ha affermato che gli ucraini probabilmente non rivelano pubblicamente l’intera portata dell’impatto degli hacker russi sulle loro infrastrutture e la loro correlazione con gli attacchi missilistici russi. Questo potrebbe privare la Russia di informazioni sull’efficacia delle loro operazioni informatiche e, a sua volta, influenzare la pianificazione bellica della Russia, ha detto il funzionario.

Certo, una raffica di sospetti attacchi informatici russi ha colpito diverse industrie ucraine e alcuni di questi attacchi sono stati correlati agli obiettivi militari della Russia. Ma il tipo di hack ad alto impatto che mette fuori uso le reti elettriche o di trasporto è stato in gran parte assente.

Ciò è stato più evidente nelle ultime settimane, quando i droni e i missili russi hanno colpito le infrastrutture energetiche dell’Ucraina. È un netto contrasto con il 2015 e il 2016, quando, in seguito all’annessione illegale della Crimea da parte della Russia, sono stati gli hacker militari russi, e non le bombe, a far cadere nell’oscurità più di un quarto di milione di ucraini.

“Tutti i cittadini ucraini stanno vivendo in queste circostanze”, ha dichiarato Victor Zhora, un alto funzionario del governo ucraino che si occupa di cybersicurezza, riferendosi ai blackout e alla carenza di acqua. “Immaginate la vostra giornata ordinaria di fronte a continue interruzioni della fornitura di energia elettrica o di acqua, delle comunicazioni mobili o di tutto il resto”.

Una grande risposta pubblica e appariscente

Le operazioni informatiche mirate agli impianti industriali possono richiedere molti mesi per essere pianificate e, dopo l’esplosione all’inizio di ottobre di un ponte che collegava la Crimea alla Russia, Putin stava “cercando di dare una grande e vistosa risposta pubblica all’attacco al ponte”, ha detto l’alto funzionario statunitense.

Ma funzionari americani che conoscono il tema riferiscono che all’Ucraina va riconosciuto anche il merito di aver migliorato le proprie difese informatiche. Ad aprile, Kiev ha dichiarato di aver sventato un tentativo di hacking alle sottostazioni elettriche da parte dello stesso gruppo di hacker militari russi che ha causato blackout in Ucraina nel 2015 e nel 2016.

Il tributo umano della guerra ha oscurato questi trionfi

Per mesi i funzionari ucraini della sicurezza informatica hanno dovuto evitare i bombardamenti e allo stesso tempo svolgere il proprio lavoro: proteggere le reti governative dalle agenzie di spionaggio russe e dagli hacker criminali.

Quattro funzionari di una delle principali agenzie ucraine per la sicurezza informatica e le comunicazioni – il Servizio statale per le comunicazioni speciali e la protezione delle informazioni (SSSCIP) – sono stati uccisi il 10 ottobre in attacchi missilistici, ha dichiarato l’agenzia in un comunicato stampa. I quattro funzionari non avevano responsabilità di cybersecurity, ma la loro perdita ha pesato molto sui funzionari di cybersecurity dell’agenzia durante un altro pesante mese di guerra.

Più preparati dopo anni di attacchi

Gli hacker legati alle agenzie militari e di spionaggio russe hanno preso di mira per anni le agenzie governative ucraine e le infrastrutture critiche con una serie di strumenti di hacking.

Almeno sei diversi gruppi di hacker legati al Cremlino hanno condotto quasi 240 operazioni informatiche contro obiettivi ucraini nel periodo precedente e nelle settimane successive all’invasione russa di febbraio, ha dichiarato Microsoft in aprile. Tra queste c’è un hack, che la Casa Bianca ha attribuito al Cremlino, che ha interrotto le comunicazioni internet via satellite in Ucraina alla vigilia dell’invasione russa.

“Non credo che la Russia misurerebbe il suo successo nel cyberspazio da un singolo attacco”, ha detto il funzionario occidentale, ma piuttosto “dall’effetto cumulativo” del tentativo di indebolire gli ucraini.

Ma alcuni analisti privati e funzionari statunitensi e ucraini si chiedono fino a che punto gli hacker del governo russo abbiano già esaurito, o “bruciato”, alcuni dei loro accessi più sensibili alle infrastrutture critiche ucraine in precedenti attacchi. Una volta scoperti, gli hacker spesso perdono l’accesso alla loro via d’accesso originaria a una rete informatica.

Nel 2017, mentre la guerra ibrida della Russia nell’Ucraina orientale continuava, l’agenzia di intelligence militare russa ha scatenato un malware distruttivo noto come NotPetya che ha cancellato i sistemi informatici di aziende in tutta l’Ucraina prima di diffondersi in tutto il mondo, secondo il Dipartimento di Giustizia e investigatori privati. L’incidente è costato miliardi di dollari all’economia globale, mandando in tilt il gigante delle spedizioni Maersk e altre aziende multinazionali.

L’operazione ha comportato l’identificazione di un software ucraino ampiamente utilizzato, la sua infiltrazione e l’iniezione di codice maligno per renderlo operativo, ha dichiarato Matt Olney, direttore di threat intelligence e interdiction presso Talos, l’unità di threat intelligence di Cisco.

“Tutto questo è stato sorprendentemente efficace come il prodotto finale”, ha detto Olney, che da anni ha un team in Ucraina che risponde agli attacchi informatici. “E questo richiede tempo e opportunità che a volte non si possono semplicemente evocare”.

“Sono abbastanza certo che [i russi] vorrebbero avere quello che hanno bruciato durante NotPetya”, ha detto Olney ai media.

Zhora, il funzionario ucraino che è vicepresidente della SSSCIP, ha chiesto ai governi occidentali di inasprire le sanzioni sull’accesso della Russia agli strumenti software che potrebbero alimentare il suo arsenale di hacking.

“Non dobbiamo scartare la probabilità che i gruppi di hacker [del governo russo] stiano lavorando in questo momento ad alcuni attacchi ad alta complessità che osserveremo in seguito”, ha dichiarato Zhora. “È altamente improbabile che tutti gli hacker militari russi e i gruppi controllati dal governo siano in vacanza o fuori servizio”.

Tanel Sepp, ambasciatore dell’Estonia per gli affari informatici, ha dichiarato che è possibile che i russi si rivolgano a una “nuova ondata” di attacchi informatici intensificati mentre continuano le loro battaglie sul campo.

“Il nostro obiettivo principale è isolare il più possibile la Russia sulla scena internazionale”, ha dichiarato Sepp, aggiungendo che l’ex Stato sovietico non ha comunicato con la Russia su questioni di cybersicurezza per mesi.