L’arte della cyber guerra
“Tutta la guerra si basa sull’inganno”. – Sun Wu Tzu, “L’arte della guerra”
Ha influenzato i Vietcong, il presidente Mao e il KGB: l’opera di Sun Tzu ha avuto un profondo impatto sulla strategia militare in tutto il mondo. La sua attenzione alla vittoria piuttosto che al conformarsi a una “lotta leale” ha permeato molti dei conflitti nell’ultimo secolo, e trova una valida applicazione anche oggi che ci spostiamo dalla tradizionale guerra fisica a un campo di battaglia molto più vasto e oscuro, dove non è sempre chiaro chi stia combattendo e contro cosa vengano intraprese azioni. La guerra asimmetrica, condotta con tecniche di spionaggio, battaglie per procura, campagne di disinformazione e tattiche di guerriglia, rappresenta infatti la nuova normalità.
“Se conosci il nemico e conosci te stesso, non devi temere il risultato di cento battaglie. Se conosci te stesso ma non il nemico, per ogni vittoria ottenuta subirai anche una sconfitta”.
La maggior parte degli atti di guerra tradizionale può essere attribuita e contrastata in modo relativamente diretto. Nel mondo reale i confini fisici e le immagini satellitari mostrano chi è stato preso di mira ed è possibile sapere esattamente da dove proviene l’attacco. Ma nello spazio cyber le regole sono diverse. Prendiamo il caso della rete televisiva francese TV5Monde: nell’aprile 2015 ha subito un attacco informatico che ha bloccato il canale; il gruppo di hacker denominato Cyber Caliphate (alle dipendenze dello Stato Islamico) ha subito rivendicato la responsabilità, ma un’ispezione più attenta ha rivelato che non si trattava affatto di un attacco terroristico islamico. Presumibilmente, dietro l’intera faccenda, che viene comunemente definita operazione “false flag”, si celava la Russia.
Oppure consideriamo le e-mail di phishing che impersonificavano il gruppo di estrema destra Proud Boys, che ha diffuso paura, incertezza e dubbio prima delle elezioni statunitensi del 2020 e pareva formato da hacker al servizio della nazione iraniana. Se consideriamo che 2019 era emerso che il gruppo russo Turla aveva violato l’agenzia di intelligence iraniana per lanciare campagne contro il Medio Oriente e l’Occidente utilizzando le infrastrutture iraniane, il vero campo di battaglia diventa decisamente meno evidente.
“Sconfiggere il nemico senza combattere è la massima abilità”.
L’attribuzione dell’attacco è stata trasformata in un’arma e questo rende estremamente difficile per le vittime promuovere un’azione di risposta proporzionata. Come si può affrontare una guerra cyber alla luce del caso SolarWinds quando la Russia nega qualsiasi coinvolgimento? Come è possibile punire la Cina per gli attacchi a Microsoft Exchange quando le autorità affermano che quest’accusa non è altro che una “diffamazione dolosa”? In pratica, abbiamo a che fare con la tattica della negazione e dell’inganno, che fino a oggi si è rivelata estremamente efficace.
Gli attacchi possono sembrare provenire da un luogo quando in realtà provengono da un altro, e il malware stesso può essere camuffato. Questo è significativo perché diversi tipi di malware hanno obiettivi diversi e vengono sfruttati da gruppi diversi. Ad esempio, il ransomware tende ad essere motivato finanziariamente e quindi viene spesso utilizzato dalla criminalità organizzata. Quindi, se un modulo di disk wiper proveniente dall’Iran finge di essere un ransomware e distrugge i sistemi israeliani, magari l’attacco di natura finanziaria è solo un escamotage per nascondere un atto politico da parte dell’Iran stesso, che, in definitiva, potrebbe essere interpretato come un atto di guerra.
Il cyberspazio sta diventando ogni giorno più anonimo e il monitoraggio di tattiche, tecniche e procedure (TTP) con regole e firme è di scarso valore perché l’infrastruttura può essere modificata con grande facilità. I nostri sistemi di sicurezza fondamentalmente non sono in grado di rispondere alla domanda sull’attribuzione. Non è così semplice come dire “abbiamo seguito questi indirizzi IP e quell’attacco è stato fatto da APT27” perché potrebbe trattarsi di un’imitazione. A loro volta, sono proprio gli stati nazionali a sfruttare questo anonimato per lanciare campagne sotto false identità e con armi mascherate.
“Costringerò il nemico a prendere la nostra forza per debolezza e la nostra debolezza per forza, e così trasformerò la loro forza in debolezza”.
Gli Stati Uniti hanno forse le capacità informatiche offensive più avanzate al mondo. Se le nazioni del Five Eyes volessero mandare in crash Internet o spegnere le luci in una grande città, potrebbero farlo. Ma questa potenza di fuoco aumenta notevolmente il rischio di errata attribuzione. Un’operazione “false flag” in una regione instabile potrebbe innescare una catena di eventi altamente distruttiva e, a mio avviso, l’ultima cosa che il governo americano desidera è intensificare erroneamente un conflitto coinvolgendo con una terza parte innocente.
La HUMan INTelligence (HUMINT), ovvero l’attività di intelligence consistente nella raccolta di informazioni per mezzo di contatti interpersonali, è l’unico metodo di attribuzione affidabile, anche se non infallibile. È difficile trovare un agente sul campo con accesso a informazioni privilegiate e, anche se un governo potesse attribuire un attacco con certezza, potrebbe non desiderare rivelare come ha ottenuto tale conoscenza.
Quindi, dato che questa è la situazione, come possiamo pensare di reagire correttamente?
“L’invincibilità dipende dalla difesa; la possibilità di vittoria, dall’attacco”.
Le “linee rosse” indicate da Biden durante l’incontro con Putin rappresentano un passo nella giusta direzione. Occorre maggiore trasparenza su quali azioni portano a quali conseguenze. Ma questi accordi sono limitati per i motivi che abbiamo discusso prima: come possiamo sapere con certezza fino a che punto il Cremlino sia affiliato alle gang di ransomware russe?
Sembra semplice, ma il modo più efficace per prevenire questi scenari è fermare l’attacco ancor prima che si verifichi. Le capacità difensive sono quindi la chiave del cyber conflitto poiché la pace informatica non arriverà presto, mentre la resilienza informatica potrebbe rivelarsi fondamentale per ottenere un vantaggio.
Di Justin Fier, Director of Cyber Intelligence & Analytics di Darktrace