Sarebbe stato in preparazione per due mesi il cyberattacco all’Ucraina che ha preceduto l’invasione russa nel Paese. Secondo i ricercatori della società di sicurezza informatica ESET, un software distruttivo è stato individuato in centinaia di computer in Ucraina, poche ore prima dell’avvio delle operazioni militari da parte di Putin. Il software farebbe parte di quella che – secondo i funzionari ucraini – è stata un’ondata di attacchi cibernetici progressiva mirata al Paese ora in guerra aperta.
In una serie di dichiarazioni pubblicate su Twitter, ESET ha affermato che il programma, un cosiddetto “wiper” (che utilizzerebbe i driver di un programma di partizionamento denominato “EaseUS Partition Master” secondo ESET per corrompere i dispositivi di archiviazione e distruggere i file sui sistemi infetti) è stato “installato su centinaia di macchine” in Ucraina. Per ESET, i dati suggerirebbero che l’attacco fosse stato preparato già da due mesi. Vikram Thakur della società di sicurezza informatica Symantec, che sta anche esaminando gli attacchi, ha dichiarato alla “Reuters” che le infezioni si sono ampiamente diffuse. “Vediamo attività in Ucraina e Lettonia”, ha dichiarato Thakur.
Un portavoce di Symantec, in un’altra dichiarazione alla “Reuters”, ha successivamente aggiunto la Lituania alla lista. Non è chiaro chi sia il responsabile della diffusione del programma, anche se il sospetto è subito caduto sulla Russia, che, oltre alle recenti mosse militari, è stata più volte accusata di aver lanciato attacchi cibernetici di scrambling di dati contro l’Ucraina e altri paesi. La Russia ha negato le accuse. L’Ucraina è stata ripetutamente colpita dagli hacker nelle ultime settimane. I ricercatori dell’ESET hanno scoperto che il wiper sembra essere stato firmato digitalmente con un certificato rilasciato a una società cipriota chiamata Hermetica Digital Ltd. “Il Wiper binario è firmato usando un codice di certificazione assegnato a Hermetica Digital Ltd.” ha affermato ESET su Twitter. Poiché i sistemi operativi utilizzano la firma del codice come controllo iniziale del software, un tale certificato potrebbe essere stato progettato per aiutare il programma a schivare le protezioni antivirus. Ottenere un certificato del genere con false pretese – o rubarlo – non è impossibile, ma generalmente è il segno di un operatore “sofisticato e mirato”, ha affermato Brian Kime, vicepresidente dell’azienda statunitense di sicurezza informatica ZeroFox, alla “Reuters”.
Al momento non è del tutto chiaro come esattamente il programma venga diffuso sui computer delle vittime, anche se ESET ha affermato che in un caso “il wiper è stato diffuso tramite il GOP di default (domain policy), il che significa che gli hacker hanno probabilmente preso il controllo dell’Active Directory server”. Mercoledì i siti web del governo ucraino, del ministero degli Esteri e del servizio di sicurezza statale erano diventati inattivi a causa di quello che il governo aveva affermato essere l’inizio di un altro attacco Denial of Service (DDoS). “Verso le 16:00, è iniziato un altro attacco DDoS di massa al nostro stato. Abbiamo dati rilevanti da diverse banche”, aveva affermato al momento Mykhailo Fedorov, ministro della Trasformazione digitale, aggiungendo che anche il sito web del parlamento era stato colpito. La scorsa settimana, le reti online del ministero della Difesa ucraino e di due banche erano state sopraffatte da un altro attacco.
È dal 2014, dall’annessione russa della Crimea che l’Ucraina afferma di essere sotto assedio da parte degli hacker che ripetutamente avrebbero colpito in questi anni i sistemi informatici del Paese. Il Cremlino nel tempo ha negato qualsiasi coinvolgimento. Il problema della cybersicurezza legata al conflitto in Ucraina non riguarda ad ogni modo solo l’Ucraina stessa. Il National Cyber Security Center del Regno Unito ha lanciato un avvertimento circa potenziali nuovi rischi sul cyberspazio, secondo quanto riportato da “New Scientist”. A sua volta la Cybersecurity and Infrastructure Security Agency degli USA ha avvertito le società che forniscono servizi alle forze armate statunitensi di prestare attenzione a un numero maggiore di tentativi di irruzione nei loro sistemi informatici. Anche la Banca centrale europea ha messo in guardia contro possibili attacchi informatici. Parte del rischio non deriverebbe tanto da potenziale attacco russo diretto all’infrastruttura IT al di fuori dell’Ucraina, anche se potrebbe accadere, ma invece da un attacco all’IT ucraino che colpisca poi le aziende occidentali. Secondo il ministero degli Affari Esteri ucraino, riporta sempre “New Scientist” una società Fortune 500 su cinque si affida al settore dell’outsourcing IT dell’Ucraina.
Gianmarco Pondrano Altavilla