Quella in atto in Ucraina è una guerra che Microsoft nel suo ultimo report definisce "ibrida", perché combattuta in modo cruento anche in campo digitale con attacchi informatici che puntano ad indebolire Kiev e ad isolare la popolazione. Nella ricostruzione di quanto sin qui avvenuto, l'azienda di Redmond ha constatato una premeditazione delle operazioni, con un dettaglio di attenzione senza precedenti.

A partire da prima che il conflitto scoppiasse sul terreno: 237 attacchi "preventivi" guidati da "almeno sei diversi attori-stato-nazione allineati con la Russia" (Advanced Persistent Threat, APT) e monitorati nell'oscurità da spie e membri dell'intelligence. Tra i più attivi rientra Nobelium, che già in precedenza aveva condotto molteplici attacchi rivolti agli Stati Uniti, a SolarWinds e a Microsoft.

Alcune di queste offensive digitali sono tuttora in corso dopo più di due mesi dall'inizio delle ostilità: l'obiettivo è "semplice" e duplice: degradare il sistema informatico delle istituzioni ucraine e impedire che la popolazione abbia accesso alle informazioni libere, non propagandistiche. Tutto questo per indebolire l'Ucraina direttamente dall'interno, destabilizzando la guida di Zelensky.

I soggetti coinvolti negli attacchi rivolti all'Ucraina

Che gli attacchi informatici abbiano la stessa importanza - lo stesso peso - di quelli sul campo viene dimostrato dalla stessa strategia adottata da Mosca. Microsoft riporta tre esempi che ben spiegano quanto stia accadendo:

• 1 marzo: attacco informatico contro una TV ucraina | la Russia lancia missili contro una torre della TV a Kiev
• 13 marzo: furto di dati da società per la sicurezza nucleare | nei giorni precedenti l'esercito russo ha preso di mira alcune centrali nucleari ucraine, Chernobyl inclusa
• in questi ultimi giorni: invio di mail false da parte della Russia. Il mittente si spaccia per residente di Mariupol e accusa il governo russo di aver abbandonato la popolazione locale | l'esercito russo bombarda la città di Mariupol

É insomma chiaro come l'arma informatica venga utilizzata per destabilizzare il Paese, per isolarlo e per creare scontento tra la popolazione veicolando false notizie. La guerra digitale è iniziata a marzo 2021, dice Microsoft, con gli "attori allineati con la Russia" che hanno dato il via ad attacchi per "pre-posizionarsi" in vista dell'attacco fisico. In pratica, hanno creato brecce all'interno del sistema ucraino per invadere la rete successivamente, con maggior facilità.

Gli attacchi preventivi sono aumentati man mano che la Russia posizionava il suo esercito ai confini con l'Ucraina: l'intenzione era quella di rubare informazioni preziose sui contatti in corso tra il governo di Kiev e i Paesi occidentali. Le ostilità informatiche sono poi aumentate in occasione dell'invasione russa sul territorio ucraino, ed hanno riguardato anche alcuni Stati della NATO.

Microsoft ha identificato diverse famiglie di malware utilizzate dalla Russia - e da soggetti ad essa collegati - per attaccare le istituzioni ucraine e i Paesi che la supportano politicamente e militarmente:

• WhisperGate / WhisperKill
• FoxBlade (Hermetic Wiper)
• SonicVote (HermeticRansom)
• CaddyWiper
• DesertBlade
• Industroyer 2
• Lasainraw (IssacWiper)
• FiberLake (DoubleZero)

Sono stati riscontrati anche diversi casi di phishing, nonché tentativi di compromissione dei fornitori di servizi IT per attivare l'azione offensiva direttamente a monte, minando l'intera filiera sino a valle. Il 32% degli attacchi distruttivi è stato indirizzato a istituzioni pubbliche ucraine, molti dei quali verso società e organizzazioni che si occupano della gestione di infrastrutture critiche per il Paese.