Secondo i funzionari del governo ucraino e la società di sicurezza informatica slovacca ESET, gli hacker russi hanno preso di mira la rete elettrica ucraina per creare un blackout di proporzioni estese e favorire l’invasione
di Patrick Howell O’Neill
Gli hacker hanno tentato di distruggere i computer di un’azienda energetica ucraina utilizzando un wiper,vale a dire un malware appositamente progettato per distruggere i sistemi presi di mira cancellando i dati chiave e rendendoli inutilizzabili. L’impatto dell’attacco rimane poco chiaro. Funzionari ucraini affermano di aver sventato il tentativo che secondo loro aveva lo scopo di supportare le operazioni militari russe nell’Ucraina orientale. In caso di successo, l’hacking avrebbe causato il più grande blackout di sempre indotto da un cyberattacco.
Secondo un documento del governo ucraino che è stato condiviso con i partner internazionali nelle ultime settimane, gli hacker russi hanno recentemente preso possesso di un’azienda elettrica ucraina e hanno chiuso temporaneamente nove sottostazioni elettriche. Il documento, che non è stato reso pubblico, è stato condiviso con “MIT Technology Review”. I funzionari ucraini non hanno risposto a una richiesta di commento e non hanno confermato se i due eventi sono collegati.
Il documento, che è stato scritto dal Computer Emergency Response Team (CERT) ucraino, descrive “almeno due tentativi di attacco riusciti”, uno dei quali è iniziato il 19 marzo, pochi giorni dopo l’ingresso dell’Ucraina nella rete elettrica europea nel tentativo di porre fine alla dipendenza dalla Russia. Dopo la pubblicazione, Victor Zhora, vice capo dello State Special Service for Digital Development Servizio dell’Ucraina, ha definito su “Wired” il rapporto privato come “preliminare”, parlando di un “errore”.
Che abbiano avuto successo o meno, gli attacchi informatici alla rete elettrica ucraina rappresentano una pericolosa continuazione dell’aggressione russa contro l’Ucraina attraverso un gruppo di hacker noto come Sandworm, che gli Stati Uniti hanno identificato come Unità 74455 dell’agenzia di intelligence militare russa.
Gli hacker che si ritiene lavorassero per l’intelligence russa hanno precedentemente interrotto il sistema elettrico in Ucraina già nel 2015 e nel 2016. Mentre l’attacco del 2015 è stato in gran parte manuale, l’incidente del 2016 ha seguito procedure automatizzate ed è stato effettuato utilizzando un malware noto come Industryoer. Per le somiglianze con il precedente, quello degli attacchi del 2022 è stato battezzato Industroyer2.
“Abbiamo a che fare con un avversario che ci ha perforato per otto anni nel cyberspazio”, ha detto Zhora ai giornalisti. “Il fatto che siamo stati in grado di prevenirlo dimostra che siamo più forti e preparati rispetto all’ultima volta“. Gli analisti di ESET, in collaborazione con quelli di Microsoft, hanno analizzato il codice di Industroyer2 per mapparne le capacità e gli obiettivi.
Gli hacker hanno cercato non solo di bloccare il sistema di alimentazione, ma anche di distruggere i computer che gli ucraini usano per controllare la loro rete. Ciò avrebbe interrotto la possibilità di ripristinare rapidamente l’alimentazione online utilizzando i computer dell’azienda elettrica.
Nei precedenti attacchi informatici, gli ucraini sono stati in grado di riprendere rapidamente il controllo in poche ore grazie alle operazioni manuali, ma la guerra ha reso questa procedura estremamente difficile. Non è così facile inviare un camion in una sottostazione quando carri armati e soldati nemici potrebbero essere nelle vicinanze e i computer sono stati sabotati.
Gli esperti avevano previsto che ci sarebbero stati attacchi hacker e avrebbero causato danni. I funzionari degli Stati Uniti hanno passato mesi ad avvertire dell’escalation in arrivo nel caso di una guerra con l’Ucraina. Nel corso del conflitto, l’Ucraina e gli Stati Uniti hanno entrambi accusato gli hacker russi di aver utilizzato numerosi wiper. I sistemi finanziari e governativi sono stati colpiti. Kiev è stata anche bersaglio di attacchi Denial of Service, che hanno reso inutilizzabili i siti web del governo nei momenti chiave.
Tuttavia, l’attacco Industroyer2 rappresenta la più seria minaccia conosciuta nella guerra finora ed è uno dei pochi incidenti noti pubblicamente in cui gli hacker sostenuti dal governo hanno preso di mira i sistemi industriali.
Il primo è venuto alla luce nel 2010 su denuncia degli Stati Uniti e Israele, che hanno rivelato la presenza del malware Stuxnet, per sabotare il programma nucleare iraniano. Secondo quanto riferito, gli hacker sostenuti dalla Russia hanno anche promosso diverse campagne di questo tipo contro obiettivi industriali in Ucraina, Stati Uniti e Arabia Saudita.
(rp)
