Difesa dell'Ucraina: prime lezioni dalla guerra informatica

La Russia non a caso ha attaccato il data center governativo dell'Ucraina in uno dei primi attacchi con missili crociera e altri server locali sono stati analogamente vulnerabili ad attacchi con armi convenzionali. Russia ha anche diretto i suoi attacchi distruttivi "wiper" contro reti informatiche locali. Tuttavia, il governo ucraino è riuscito a sostenere le su operazioni civili e militari agendo rapidamente per spostare la propria infrastruttura digitale nel cloud pubblico, dove è stata ospitata in data center in tutta Europa.

Ciò ha previsto una serie di operazioni urgenti e straordinarie del settore tecnologico, anche da parte di Microsoft. Anche se il lavoro del settore tecnologico è stato fondamentale, è ugualmente importante pensare alle lezioni più a lungo termine che possiamo trarre da questi sforzi.

Poiché le attività informatiche sono invisibile a occhio nudo, sono ancora più difficili da monitorare per i giornalisti e per molti analisti di guerra. Microsoft ha assistito al lancio da parte dell'esercito russo di molte ondate di attacchi informatici distruttivi contro 48 aziende e agenzie ucraine distinte. Questi hanno cercato di penetrare nei domini di rete inizialmente compromettendo centinaia di computer e poi diffondendo malware progettati per distruggere software e dati su migliaia di altri.

Le tattiche informatiche russe nelle guerra si sono differenziate da quelle impiegate nel 2017 nell'attacco NotPetya contro l'Ucraina. Tale attacco usava malware distruttivo "wormable" in grado di passare da un dominio informatico a un altro e quindi attraversare i confini di altri Paesi. La Russia nel 2022 è stata attenta a limitare "software wiper" distruttivo a domini di rete specifici nella stessa Ucraina. Tuttavia, i recenti attacchi distruttivi in corso sono diventati più sofisticati e più diffusi di quanto venga riconosciuto. E l'esercito russo si adatta in modo continuo a questi attacchi distruttivi in base alle esigenze di guerra in continua evoluzione, ad esempio accoppiando gli attacchi informatici all'uso di armi convenzionali.

Un aspetto caratterizzante di questi attacchi distruttivi finora è stata la forza e il relativo successo delle difese informatiche. Anche se non perfette e se alcuni attacchi distruttivi siano riusciti, le difese informatiche si sono dimostrate più forti delle capacità informatiche offensive. Ciò riflette due tendenze importanti e recenti. Innanzitutto, i progressi dell'intelligence sulle minacce, incluso l'uso dell'intelligenza artificiale, hanno contributo a poter identificare tali attacchi in modo più efficace. In secondo luogo, la protezione degli end-point basata su Internet ha reso possibile distribuire rapidamente codice software di difesa sia nei servizi cloud si in altri dispositivi di elaborazione connessi per riuscire a identificare e disabilitare il software dannoso. Le attuali innovazioni e iniziative di guerra attuate dal governo ucraino hanno rafforzato ulteriormente queste misure di protezione. Tuttavia, serviranno vigilanza e innovazione continue per poter sostenere questo vantaggio difensivo.

Microsoft ha rilevato attività di intrusione nella rete da parte della Russia in 128 organizzazioni in 42 Paesi al di fuori dell'Ucraina. Anche se gli Stati Uniti sono stati l'obiettivo numero uno per la Russia, quest'attività ha messo al primo posto anche la Russia, in cui la maggior parte dell'assistenza militare e umanitaria viene coordinata. Le attività della Russia hanno preso di mira anche i paesi baltici e durante gli ultimi due mesi si è verificato un aumento di attività simili contro reti informatiche in Danimarca, Norvegia, Finlandia, Svezia e Turchia. Abbiamo anche assistito a un aumento di attività simili contro i ministeri degli affari esteri di altri Paesi NATO.

Gli attacchi della Russia hanno dato priorità ai governi, soprattutto quelli dei membri NATO. Ma l'elenco di obiettivi include anche think tank, organizzazioni umanitarie, aziende IT e fornitori di energia e di altre infrastrutture critiche. Sin dall'inizio della guerra, gli attacchi russi hanno avuto un esito positivo nel 29% dei casi. Un quarto di queste intrusioni portate a termine ha causato l'esfiltrazione dei dati di un'organizzazione, anche se come spiegato in questo report, tale dato probabilmente sottostima il grado di successo russo.

Ciò che continua a preoccuparci sono i computer governativi in esecuzione in locale rispetto a quelli nel cloud. Questo riflette lo stato attuale e globale dello spionaggio informatico offensivo e della protezione informatica difensiva. Come ha dimostrato l'incidente SolarWinds 18 mesi fa, le agenzie di intelligence russe hanno migliorato in modo significativo le capacità di implementare codice e operare come Advanced Persistent Threat (APT in grado di ottenere ed esfiltrare informazioni sensibili da una rete su base continua). Ci sono stati sostanziali progressi nella protezione difensiva da allora, ma l'implementazione di tali progressi nei governi europei rimane meno uniforme di quanto accade negli Stati Uniti. Di conseguenza, debolezze significative a livello difensivo permangono.

Queste combinano tattiche sviluppate dal KGB in diversi decenni con nuove tecnologie digitali e Internet per conferire alle operazioni di influenza all'estero una maggiore copertura, maggiori volumi, maggiore precisione e maggiore velocità e agilità. Sfortunatamente, con una pianificazione e sofisticazione sufficienti, queste operazioni di influenza informatica hanno buone possibilità di sfruttare la tipica apertura delle società democratiche e la polarizzazione pubblica che caratterizza i tempi attuali.

Con l'evoluzione della guerra in Ucraina, le agenzie russe stanno concentrando le proprie operazioni di influenza tecnologica su quattro gruppi di destinatari distinti. Vengono destinate alla popolazione russa con l'obiettivo di favorire il supporto allo sforzo militare. Vengono destinate alla popolazione ucraina con l'obiettivo di minare la fiducia nella volontà e capacità del Paese di resistere agli attacchi russi. Vengono destinate alle popolazioni di Europa e Stati Uniti con l'obiettivo di minare l'unità occidentale e deviare l'attenzione dalle critiche nei confronti dei crimini di guerra dell'esercito russo. E stanno iniziando a essere destinate a popolazioni target in Paesi non allineati, in parte per indirizzare potenzialmente il loro supporto presso le Nazioni Unite e in altri organismi.

Le operazioni di influenza informatica russe si basano e sono collegate alle tattiche sviluppate per altre attività informatiche. Come i team APT che lavorano nei servizi di intelligence russi, i team APM associati alle agenzie governative russe agiscono attraverso i social media e le piattaforme digitali. Stanno preposizionando false narrative proprio come vengono preposizionati software dannosi e altri tipi di software. Stanno poi diffondendo ampiamente il "racconto" di queste narrative da siti Web gestiti e influenzati dal governo e amplificando le proprie narrative con strumenti tecnologici progettati per sfruttare i servizi di social media. Esempi recenti includono racconti relativi a laboratori biologici in Ucraina e ripetuti sforzi per offuscare gli attacchi militari contro obiettivi civili in Ucraina.

Nell'ambito di una nuova iniziativa Microsoft, stiamo usando l'intelligenza artificiale, nuovi strumenti di analisi, set di dati più ampi e un numero crescente di esperti per monitorare e prevedere la minaccia informatica. Usando queste nuove capacità, stimiamo che le operazioni di influenza informatica della Russia abbiano aumentato la diffusione della propaganda russa dall'inizio della guerra del 216% in Ucraina e dell'82% negli Stati Uniti.

Queste continue operazioni russe hanno incrementato sforzi recenti di diffondere false notizie sul COVID-19 in diversi stati occidentali. Tra questi, operazioni di influenza informatica sponsorizzate dallo stato nel 2021 che cercavano di scoraggiare l'adozione dei vaccini attraverso notizie Internet in lingua inglese e al contempo incoraggiarne l'uso su siti in lingua russa. Durante gli ultimi sei mesi, simili operazioni di influenza informatica russe hanno cercato di infiammare l'opposizione pubblica alle leggi in materia di COVID-19 in Nuova Zelanda e Canada.

Continueremo ad ampliare il lavoro di Microsoft in questo campo nelle settimane e nei mesi a seguire. Questo include la crescita interna e, con un accordo tra partner commerciali, la settimana scorsa abbiamo annunciato l'acquisizione di Miburo Solutions, un'azienda leader nel settore dell'analisi delle minacce informatica e nella ricerca, specializzata nel rilevamento e nella gestione delle operazioni di influenza informatica all'estero.

Siamo preoccupati del fatto che molte operazioni di influenza informatica russe attuali vadano avanti per mesi senza appropriate attività di rilevamento, analisi o segnalazione pubblica. Ciò influisce sempre di più su un'ampia gamma di istituzioni importanti nel settore pubblico e privato. E più durerà la guerra in Ucraina, più importanti diverranno tali operazioni per l'Ucraina stessa. Questo perché in caso di una guerra più lunga sarà necessario evitare che il sostegno pubblico venga compromesso. Ciò dovrebbe aggiungere urgenza all'importanza di rafforzare le difese occidentali contro questi tipi di attacchi di influenza informatica estera.

Come la guerra in Ucraina illustra, anche se esistono differenze tra queste minacce, il governo russo non le persegue come sforzi separati e anche noi non dovremmo analizzarle separatamente. Inoltre, le strategie difensive devono tenere in considerazione il coordinamento di queste operazioni informatiche con le operazioni militari cinetiche, come successo in Ucraina.

Sono necessari nuovi progressi per impedire queste minacce informatiche, che dipenderanno da quattro principi comuni e, almeno a un livello superiore, da una strategia comune. Il primo principio di difesa deve riconoscere che le minacce informatiche russe vengono avanzate da un set comune di attori dentro e fuori il governo russo e che si basano su tattiche digitali simili. Di conseguenza, saranno necessari progressi in ambito di tecnologia digitale, IA e dati per combatterle. Riflettendo su questo, un secondo principio dovrebbe riconoscere che diversamente dalle minacce tradizionali del passato, le risposte informatiche devono fare affidamento su una maggiore collaborazione tra pubblico e privato. Un terzo principio dovrebbe riguardare la necessità di una collaborazione stretta e comune tra i governi per proteggere le società aperte e democratiche. Infine, un quarto e ultimo principio dovrebbe sostenere la libera espressione ed evitare la censura nelle società democratiche, anche perché nuove azioni sono necessarie per rispondere all'intera gamma di minacce informatiche che includono le operazioni di influenza informatica.

Una risposta efficace deve combinare questi principi con quattro pilastri strategici, che dovrebbero aumentare le capacità collettive per (1) rilevare, (2) difendersi, (3) arrestare e (4) impedire meglio le minacce informatiche straniere. Questo approccio si riflette già in molti sforzi collettivi volti ad affrontare gli attacchi informatici distruttivi e lo spionaggio informatico. Si applicano anche al lavoro critico e continuo necessario per affrontare gli attacchi ransomware. Ora abbiamo bisogno di un approccio simile e completo con nuove funzionalità e strumenti di difesa per combattere le operazioni di influenza informatica della Russia.

Come discusso in questo report, la guerra in Ucraina non ci offre solo una lezione ma rappresenta uno sprone per misure efficaci vitali per proteggere il futuro della democrazia. Come azienda, siamo impegnati nel supportare tali sforzi, anche attraverso continui investimenti in tecnologia, dati, e partnership in grado di supportare governi, aziende, organizzazioni non governative e università.

Per saperne di più, leggi ilreport completo.