Codice visto attraverso delle lenti

Conflitto Russo-Ucraino: la camaleontica veste del Cyberspace

By /

Cybersecurity SG Cybersecurity

Abstract

Il 24 febbraio 2022, ore 5:30 (fuso orario Mosca), Vladimir Vladimirovič Putin – in diretta sui canali della televisione di stato – annuncia l’inizio di una “Operazione Militare Speciale”. A poco più di due anni dall’inizio del Conflitto Russo-Ucraino – decorsi quest’anno – si può certamente affermare quanto sia stato, ed è, assai determinante il fattore Cyber in un conflitto odierno.

Offrendo uno sguardo sulle mutazioni avvenute nel contesto degli attacchi cyber, dall’inizio del conflitto fino ad oggi; dal primo malware rilevato fino al più sofisticato e recente attacco che ha coinvolto l’applicativo Excel, si propone di seguito una visione oculata delle differenti filosofie degli attaccanti, servendoci, degli strumenti che la disciplina Cyber Threat Intelligence può offrire.

Un lavoro di approfondimento, ripercorrendo le decisive tappe che hanno coinvolto diversi Paesi, anche non direttamente protagonisti, ponendo l’attenzione su importanti aspetti normativi; tema satellite, strettamente correlato agli eventi “Cyber-Bellici” avvenuti nel corso di questi ultimi anni.

Indice dei contenuti
  1. Cyber Warfare: una realtà sempre più consolidata
  2. La doppia anima dietro gli attacchi Cyber
  3. Le doverose conclusioni

Cyber Warfare: una realtà sempre più consolidata

Differenti episodi di Cyber Warfare o pseudo-Cyber Warfare – con conseguente impatto sul piano globale – avvenuti nel corso dell’ultimo decennio, hanno spinto differenti paesi a considerare il suddetto tema, di primaria entità al tavolo politico, al pari di altre essenziali tematiche. Risulta dunque fondamentale la comprensione del fenomeno per analizzare correttamente gli specifici avvenimenti del conflitto Russo-Ucraino.

Negli ultimi anni svariati e singolari attacchi registrati sul suolo cibernetico, cui principalmente hanno visto protagonisti Europa, Russia, e Stati Uniti fra tutti, hanno subito forti mutazioni in termini di finalità operative specifiche. Evidenziando però un tratto caratteriale generico nel contesto degli attacchi perpetrati ai danni di Stati e, a carico di importanti servizi governativi, si possono certamente indicare due principali obiettivi tattico/militari; Spionaggio Governativo, ed attacchi State-Sponsored.

Il Worm Stuxnet 1, registrato nel 2010, considerato il primo vero caso di Cyber Warfare, aveva lanciato in tempi non sospetti l’allarme sulla pericolosità “dell’arma” cyber. Questo per via della sua elevata maturità raggiunta in termini di complessità di codice, rispetto ai precedenti malware conosciuti. Lo stesso, diffusosi in maniera incontrollabile tramite canale USB, riuscì – fra le tante “infezioni” portate a termine – a recare non solo danni al sistema nucleare iraniano, ma anche a sottrarre innumerevoli file governativi altamente sensibili.

Restando invece sul confine Russo-Ucraino, un ulteriore caso da citare per comprendere l’importanza del fenomeno sono gli attacchi condotti a cavallo tra il 2014 e il 2017 dal noto gruppo di criminali informatici Fancy Bear (conosciuti anche come APT28), e ritenuti molto vicini ai servizi segreti russi. Destando preoccupazioni in tutto il mondo, e portando alla luce l’importanza della Cyber-Security, il gruppo condusse numerosi attacchi ai danni di Stati Membri UE, prendendo di mira siti governativi, ed organizzazioni politiche.

La cornice normativa dell’Unione Europea nel clima “Cyber-Bellico

La Cyber Warfare, letteralmente tradotta: “Guerra cibernetica”, non è la sola ed unica ragione che ha spinto Unione Europea e NATO da ormai diversi anni, a lavorare per il raggiungimento di una cornice giuridica adeguatamente dimensionata 2.

Prendendo in analisi un contesto differente dalle “guerre ibride” 3 o pseudo-Cyber Warfare, è sufficiente menzionare l’ampia diffusione dello smart working a seguito della pandemia da SARS-CoV-2, e di come abbia portato ad un aumento del 47% in termini di attacchi cyber, solo nel 2019 4 per quanto concerne il nostro paese. Simili dati si possono osservare guardando all’Europa del 2021, in cui si è registrato un aumento degli attacchi Cyber per oltre il 68% 5. Fenomeni questi, che hanno inevitabilmente trascinato tutti gli Stati Membri ad adottare solidi provvedimenti in materia di Governance e Risk Management. Un quadro assolutamente necessario per rispondere alle minacce geopolitiche dei nostri tempi.

Tra i primi approcci normativi atti a fronteggiare il rischio Cyber, il decreto-legge 15 marzo 2012, n. 21, seguito da svariate modifiche e nuove introduzioni sino all’attuale versione con nomenclatura: Direttiva Europea n. 2555 del 2022 c.d. “Direttiva NIS 2”, entrata in vigore il 17 gennaio 2023. Tra i diversi punti del programma; una corretta igiene informatica, e gestione del rischio (cybersecurity). A seguire la Roadmap fortemente voluta dall’UE, l’adeguamento del nostro paese ai principi fondanti del Regolamento Europeo 6 sulla protezione dei dati personali n. 2016/679. Ai tempi il nostro legislatore, recepì la direttiva nel 2018 (d.lgs. n. 64), emanando poi, nel 2019 quello che oggi conosciamo come D.L. n. 105, istituendo il “Perimetro di Sicurezza Nazionale Cibernetica”.

Ulteriore regolamento che ha ben contribuito alla mission dell’UE, ed entrato in vigore il 16 gennaio 2023; il Digital Operational Resilience Act (DORA). Vincolante dal 17 gennaio 2025, percorrendo gli stessi obiettivi in termini di Cybersecurity delle infrastrutture Europee, ha sicuramente assicurato un forte impatto sul settore digitale: bancario e assicurativo. Regolamento figlio per altro della normativa (UE) 2022/2554 sulla resilienza operativa digitale. Nato per assicurare una continuità sull’erogazione di determinati risultati

da parte di operatori ICT, punta alla tanto ricercata resilienza operativa anche al verificarsi di violazioni alle infrastrutture.

A seguito del seguente e doveroso Recap sulle regolamentazioni implementate in quanto al rischio informatico, segue il fulcro dell’analisi nello specifico contesto del fronte Russo-Ucraino.

La doppia anima dietro gli attacchi Cyber

Al fine di comprendere al meglio le reali strategie dietro i singoli attacchi avvenuti sul fronte cibernetico e perpetrati ai danni dell’Ucraina, è necessario effettuare una comparazione con gli eventi avvenuti sul fronte terrestre. Ponendo come spartiacque la data del 23/02/2022.

In merito agli attacchi che definirei Pre-23/02/2022, si può dedurre come gli stessi abbiano avuto l’intento di manipolare e sabotare l’informazione pubblica. Intuibili le ragioni di questa tattica cyber-bellica. L’informazione pubblica – per velocità di diffusione e facilità intrinseca di reperimento – è in grado di creare una forte consapevolezza di massa, che può al contempo, rappresentare un fattore di impedimento strategico per chi, di contro, vuol manipolare il pensiero di un collettivo intero.

Differentemente, gli attacchi Post-23/02/2022 hanno cambiato l’obiettivo finale, questa volta volgendo alla distruzione di: sistemi operativi, servizi, e dati, creando malfunzionamenti e rallentando le operazioni ucraine, compresi servizi militari, sanitari e finanziari. In questo caso ci si trova dinnanzi a veri e propri attacchi State-Sponsored.

Successivamente al 23/02/2022 verranno riservate metodologie di attacco di tipo manipolatorio dell’informazione pubblica, solo ed esclusivamente per controllare l’opinione pubblica e chiaramente il sentimento della popolazione, non solo Ucraina, ma anche della stessa popolazione Russa.  

Ripercorriamo le principali tappe del conflitto cyber-bellico

Al fine di ricostruire le fondamentali tappe del conflitto, bisogna tornare alle prime settimane 7 del Gennaio 2022, quando siti governativi ucraini – attaccati con operazioni di defacement 8 – vengono inondati da messaggi intimidatori. In particolare è il Wiper Whisper Gate 9 a catturare l’attenzione. Si può considerare pienamente l’apri fila nel contesto degli attacchi Wiper. Iniziando a diffondersi il 15 gennaio, presenta una struttura tipica di un bootloader malevolo. Impiegato principalmente per il furto di informazioni ai danni di entità governative ucraine. Per tale motivo lo si può etichettare con prevalenza di finalità volte allo Spionaggio Governativo. Mascherato da ransomware ha sottratto ingenti quantità di dati, rendendoli successivamente inutilizzabili. È stato scoperto per la prima volta dal gruppo Threat Hunter Team di Symantec.

Il 17 febbraio, vengono compromessi fondamentali network di comunicazione, siti nella città ucraina “Sumy”. Il 24 febbraio la Russia – dopo aver “auto-riconosciuto” l’indipendenza della Repubblica popolare di Donetsk e, della Repubblica popolare di Luhansk – da il via al dispiegamento di Carri armati proprio con l’intento di giungere alle porte di Sumy. Il premeditato attacco Cyber ha svolto una chiara funzione di supporto alle truppe di terra. E questo atteggiamento resterà ben presente anche per le successive fasi di attacco. Fino a questa data lo scontro aveva registrato solo ad attacchi DDOS a siti governativi ucraini.

L’utilizzo di malware Wiper non solo segnerà un’escalation molto grave ma è stato, ed è ancora, il più impiegato nel conflitto. Questo per via della sua intrinseca potenzialità; eliminare definitivamente file sulla macchina infetta, rendendo inaccessibile l’intera infrastruttura. Il loro impiego è per alcuni versi similare a quello dei più conosciuti Ransomware. Le finalità però differenti. Rendere impossibile l’accesso via crittografia dei dati, previo “sblocco” tramite pagamento, per i Ransomware. Distruzione e compromissione del funzionamento di sistema operativo e file nel caso dei Wiper.

Il 23 febbraio – un giorno precedente all’inizio (ufficiale) del conflitto – alle prime ore del mattino l’Ucraina si sveglia sotto il massiccio attacco avvenuto a carico dei siti governativi. Lo stesso giorno, la comunicazione tra Stati Uniti, Regno Unito e Unione Europea, è particolarmente attiva con il governo Ucraino; impegnati in particolare a trasmettere il primo pacchetto di sanzioni alla Russia. Ricercatori di Eset, Symantec, Stairwell e Red Canary individuano la causa degli innumerevoli disservizi a carico dei siti governativi, scoprendo quello che fu il primo vero malware con fini distruttivi dall’inizio del conflitto; ovvero Hermetic Wiper 10. Compromessi sistemi e sottratti dati riguardanti personale militare, sanitario e umanitario. Distrutti innumerevoli dati e reso gli stessi impossibili da recuperare.

È il 24 Febbraio, data di inizio ufficiale dell’invasione, quando vengono assalite le città di: Donetsk, Luhansk, Sumy, Kharkiv, Kherson, Chernihiv e Kyiv. Contemporaneamente al massiccio dispiegamento di forze russe viene diffuso un nuovo Malware. Rilevato da Eset in questo caso si scopre essere IsacWiper 11, che, parallelamente ad HermeticWiper è stato di vitale importanza per il governo russo. Con l’obiettivo di distruggere dati, ha permesso un rallentamento dei tempi di risposta Ucraini sia sul fronte militare, che comunicativo. Si deve considerare IsacWiper come la punta dell’iceberg di un trio maggiormente complesso, composto oltre che da quest’ultimo, anche da HermeticWizard e da HermeticRansom. Rispettivamente; il primo con l’obiettivo di diffondere il Malware primario (Isac) nelle reti locali, il secondo nel diffondere un aggressivo ransomware. I risultati sono stati devastanti per il governativo Ucraino, avendo compromesso anche fondamentali servizi finanziari ed energetici.

Sempre il 24 Febbraio, si diffonde un ulteriore malware Wiper: AcidRain. Alcuni investigatori collocano lo stesso a marzo del 2022, in realtà questa non è altro che la data in cui i ricercatori – in questo caso il gruppo Sentinel Labs – rilevano lo stesso per la prima volta. In particolare viene attenzionato il 31 Marzo. Da molti ricercatori considerato il più grave e potente attacco mai mosso nel Cyberspace dall’inizio della guerra. Un attacco così devastante, con una portata così grande a tal punto che ancora ad oggi si registrano centinaia di modem e router sparsi nel territorio ucraino non del tutto riparati. Gli stessi necessiterebbero di una riprogrammazione completa del kernel per eliminare il software malevolo oramai insediatosi in profondità.

L’attacco 12, veicolato su router e modem Viasat (nome completo KA-SAT) in Ucraina, proprio per via della sua incontrollabile diffusione ha compromesso addirittura svariate turbine eoliche site in Germania. Ingenti i danni, considerati i molteplici clienti della piattaforma di comunicazione Viasat, parte per altro della difesa statunitense ed anche fornitrice di servizi per conto dei reparti militari ucraini. Un attacco così devastante, con una portata così grande a tal punto che ha creato un vero e proprio blackout, interrompendo fondamentali servizi per le comunicazioni militari dell’esercito ucraino, ma anche importanti circuiti bancari. L’inarrestabile ascesa dell’attacco ha recato significativi danni anche a server italiani e francesi. In particolar modo a risentire maggiormente dell’attacco per quanto concerne la nostra penisola è stata l’azienda piemontese Skylogic, del gruppo Eutelsat, strettamente collegata a Viasat.

La massiva concentrazione di attacchi Cyber di elevata entità, così tanto ravvicinati, risulta in accordo con l’iniziale strategia del Cremlino. In cui, secondo le stime strategico-militare iniziali, l’invasione avrebbe avuto i caratteri di un attacco lampo, conquistando in breve tempo le regioni della Crimea e dell’Ucraina Orientale contando sulla superiorità numerica e di potenziale bellico. Una volta cambiati i connotati del conflitto 13, si è utilizzato il fronte cibernetico per condurre chirurgici attacchi volti a rallentare la difesa Ucraina con massima attenzione, considerando maggiormente anche il fronte normativo.

Il primo marzo, tra gli obiettivi missilistici promulgati dal governo russo, il bombardamento della “Kyiv TV Tower”, con la conseguente interruzioni dei servizi televisivi. Un missile di tipo 3M-54 Kalibr danneggia 14 la storica antenna per telecomunicazioni televisive e radiofoniche più alta del mondo con i suoi 385 metri. L’evento non fa altro che confermare quello che era già molto chiaro; la natura ibrida del conflitto. Dunque, non una strategia dettata dal caso, bensì il ricercato obiettivo da parte dei russi del predominio anche e soprattutto a livello mediatico. In seguito a questo evento, tra le successive operazioni missilistiche, molte riguarderanno emittenti televisive e redazioni giornalistiche. Da segnalare anche la grande mole 15 di Fake News ed operazioni di Defacing, studiate chirurgicamente con il fine di persuadere la psiche dei cittadini.

Giungendo al 14 Marzo, Eset registra un Malware questa volta ben differente dai precedenti; CaddyWiper 16. La sua particolarità risiede nelle meccaniche di azione, distruggere dati ed informazioni sulla macchina infetta, con una precisione definibile “chirurgica”. Diviene maggiormente chiara la ragione della suddetta precisione strutturale quasi un mese dopo. Lo stesso verrà utilizzato per nascondere le tracce del (futuro) Malware Industroyer2, quest’ultimo di diffuse difatti solo nella giornata dell’8 Aprile. Mese in cui si sono registrati innumerevoli attacchi missilistici, come la distruzione dei depositi di carburante siti in Odessa, ed attacchi a diverse stazioni dei treni. La Russia, ha in questa fase, mostrato un chiaro interesse nel distruggere inoltre centrali elettriche diffuse nel territorio ucraino.  

Industroyer2, come detto iniettato l’8 Aprile per la prima volta, è considerato uno dei Wiper più complessi mai concepiti nella storia. La nomenclatura finale “2” non è casuale. Bisogna risalire al 2016 17, quando ci fu un importante blackout in Ucraina, e si attribuì la causa proprio a Industroyer (1), in grado di stabilire connessioni con sistemi di controllo industriali (ICS). La variante 2, è stata scoperta inizialmente da Eset in collaborazione con il “Computer Emergency Response Team” nazionale dell’Ucraina, meglio noto come CERT-UA e, parte integrante del Servizio Speciale di Comunicazione di Stato. Concepito sulla falsa riga della prima versione, avente come obiettivo l’interruzione totale o pseudo-totale della diffusione dell’energia elettrica. L’attacco è stato prontamente sventato dal CERT-UA; è riuscito a colpire “solo” 8 sottostazioni elettriche di piccola entità. Industroyer2 18 puntando a stazioni elettriche ad alta tensione, era stato pianificato durante le 2 settimane precedenti all’8 Aprile, e diffuso insieme a CaddyWiper per le ragioni appena spiegate. In contemporanea alla giornata dell’8 Aprile un gran numero di civili erano diretti alle loro abitazioni, se l’attacco fosse andato a buon fine oltre 2 milioni di persone sarebbero rimaste senza elettricità, compresi ospedali e grandi generatori di corrente di riserva.

Altrettanto potente e sofisticato, un nuovo metodo di attacco, scoperto qualche mese addietro 19. E che, attribuita alla matrice russa, starebbe colpendo l’Ucraina utilizzando un file Excel in grado di stabilire connessioni Comand and Control tra server degli aggressori e server vittima. Obiettivo primario quello di ottenere sugli “host vittima” il totale controllo, sia per fini di spionaggio sia per operare da remoto. Basta aprire il file, così da attivare Macro automatizzate, che avviano il processo di installazione di Cobalt Strike, Tool legale di Penetration Testing. E che, contenendo diversi applicativi dal grande potenziale, possono esser sfruttati per fini malevoli, come in questo caso. Diffuso principalmente attraverso tecniche di Social Engineering, presenta un’elevata pericolosità. Aggravata dalla facoltà che possiede nell’aggirare limiti di geolocalizzazione ed anche antivirus, impedendone la rilevazione. Intuibile come uno scenario simile rappresenti terra fertile per una violenta diffusione.  

Le doverose conclusioni

Ad oggi, la Cyberwar, considerata a tutti gli effetti una strategia militare, è in grado di influenzare le sorti di una missione. Una realtà così tanto consolidata, da spingere il Segretario Generale della NATO Stoltenberg, ad inserire un ipotetico cyberattacco (ai danni degli Stati membri) come casus belli, in grado di scatenare un’escalation verso l’attivazione del ben noto articolo 5 del Patto Atlantico. Già durante il Summit NATO del 2016 si erano delineati in materia di difesa, cinque quadri operativi: terrestre, marittimo, aereo, spaziale, ciberspazio 20. Ricordando di come i diversi Threat Actor coinvolti in conflitti Cyberwar guardino con attenzione ai poc’anzi citati cambiamenti legislativi. Rendendo sempre più invisibili e generici gli stessi attacchi, e permettendogli di sfuggire ad eventuali provvedimenti.

Alquanto evidente è come il Cyberspace rappresenti un vasto “territorio”. E che, privo di barriere fisiche caratterizzate per altro dall’ “anonimato” pone fortemente in crisi un eventuale esercizio giuridico. Rendendo alquanto difficoltosa l’imputazione certa a carico di un Threat Actor. Nessun governo è escluso da questa meccanica. A dimostrazione di questa tesi il caso AcidRain; un prefissato attacco ad un obiettivo A, esteso su di un obiettivo B, (apparentemente) non voluto.

In tale contesto, la reale prevenzione del rischio informatico la si può ottenere solo ed esclusivamente considerando gli attacchi Cyber al pari degli attacchi di truppe armate. La lettura strategica delle tattiche militari può comunicarci molto sulle azioni che verranno adottate in futuro, anche e soprattutto sul piano cibernetico. Durante le analisi proposte si è palesata la stretta correlazione tra eventi Cyber ed eventi Terrestri, l’uno preparatore dell’altro. In definitiva la Cyber Security deve – e dovrà sempre più – tener conto del contesto geopolitico a trecentosessanta gradi, per poter svolgere accuratamente il suo essenziale ruolo.

Ulteriore Sitografia consultata

§ Analisi tecnico-scientifica di natura informatica/ elettronica, articolo/ approfondimento consultato su Bloomberg: “The Satellite Hack Everyone Is Finally Talking About”, A. Katrina Manson, 01/03/2023.

§ Articolo consultato su The Washington Post: “Impact of Ukraine-Russia war: Cybersecurity has improved for all”, A. Joseph Menn, 25/02/2023.

§ Articolo consultato su Independent: “Russian state TV hacked with message saying ‘blood of thousands of Ukrainian children is on your hands”, A. Liam James, 09/05/2022.

§ Articolo consultato su HACKread: “Anonymous hacked Russian TV and streaming services with Ukraine war footage”, A. Waqas, 07/03/2022.

§ “New Sandworm Malware Cyclops Blink Replaces VPNFilter”, Sito ufficiale U.S. Department of Homeland Security, Review (Alert Code AA22-054A) “Cybersecurity Advisories” del 23/02/2022.

§ “Relazione sulla politica dell’informazione per la sicurezza relativa al 2022”, documento consultabile sul sito ufficiale del: Sistema di informazione per la sicurezza della Repubblica.

§ Comunicato Stampa consultabile sul sito ufficiale della Commissione Europea: “Cibersicurezza nell’UE: Un’unità congiunta per il ciberspazio per rafforzare la risposta agli incidenti di sicurezza informatica su vasta scala”, 23/06/2021.

§ Regolare aggiornamento sulle vicende Cyber Diplomacy/ Terrorism sui seguenti portali: Bellingcat, The Intercept, The Insider, Fortgale, Security Intelligence

Documentazione Ufficiale completa consultata

§ Documento N°32022L2555 (EUR-Lex – 32022L2555 – EN)/ e (L 333/1). “DIRETTIVA (UE) 2022/2555 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 14 dicembre 2022”. Documento consultabile sul database: Gazzetta ufficiale dell’Unione europea, sito di riferimento: Eur Lex.Europa.EU (/Legal-Content).

§ Documento di ricerca Ufficiale del: Parlamento Europeo – sezione EPRS | European Parliamentary Research Service – “Russia’s war on Ukraine: Timeline of cyber-attacks”, 2022. Documento consultabile sul portale: Europarl.Europa.EU.

§ “DECRETO-LEGGE 21 settembre 2019, n. 105”, documento consultabile sul database della: Gazzetta Ufficiale della Repubblica Italiana, sito di riferimento: https://www.gazzettaufficiale.it.

Note

  1. Scoperto da una società di sicurezza bielorussa, il complesso Stuxnet, è stato uno dei malware più potenti; in grado addirittura di recare danni fisici ai dispositivi infettati. ↩︎
  2. Il commento di Josep Borrell durante la presentazione della nuova unità congiunta per il ciberspazio: “Siamo tutti vulnerabili agli attacchi informatici ed è per questo che è fondamentale la cooperazione a tutti i livelli.” ↩︎
  3. Relazione annuale dei nostri Servizi Segreti sulla Politica dell’Informazione per la Sicurezza relativa al 2022. Recita così pagina 85: “Le campagne ibride, benché condotte prevalentemente in domini visibili (come quello economico o culturale), sono per loro stessa natura difficili da identificare e da attribuire, essendo amplificate da iniziative dell’attaccante nello spazio cibernetico e mediatico” ↩︎
  4. Rapporto Clusit 2024. Italia sotto assedio: “…Confrontando i dati del 2019 con quelli del 2023 la crescita in termini numerici degli attacchi rilevati da fonti pubbliche è stata del 60% …” ed ancora recita il documento: “… Nel 2023, gli attacchi classificati come “critici” o “gravi” rappresentano ormai oltre l’81% del totale (erano il 47% nel 2019) …” ↩︎
  5. Dati emersi dal rapporto sulle statistiche globali emesso dal Check Point Research (CPR) nel Report 2021. ↩︎
  6. Secondo art. 3 DPCM 131/2021, consultabile sul portale della Presidenza del Consiglio dei Ministri- al seguente link – apprendiamo che: “Con il decreto-legge n. 105 del 2019, convertito nella legge n. 133 dello stesso anno – è stato definito il  Perimetro di sicurezza cibernetica nazionale al fine di assicurare un livello elevato di sicurezza …”. ↩︎
  7. Timeline degli eventi bellici/cyber proveniente dal Canadian Centre for Cyber Security. ↩︎
  8. Come si evince da analisi condotte dal team di investigazione Bellingcat. ↩︎
  9. Sul portale Crowdstrike, riportato il codice completo, di WhisperGate. ↩︎
  10. Sul portale dei ricercatori del team Sentinel Labs, è disponibile l’analisi del codice completo, per quanto concerne Hermetic Wiper. Nome completo: KillDisk.NCV, agisce tramite driver: empntdrv.sys. ↩︎
  11. Sul portale dei ricercatori di Eset, è disponibile l’analisi del codice completo, per quanto concerne IsaacWiper. Lo stesso agisce sui percorsi Windows: %programdata% e, C:WindowsSystem32. ↩︎
  12. Analizzato dai ricercatori di Sentinel LABS il 31/05/2022, è consultabile completo di codice sorgente al seguente portale. ↩︎
  13. Quella che inizialmente doveva essere una guerra lampo si è poi rivelato un tentativo fallimentare trasformandosi in una guerra prolungata. ↩︎
  14. Analisi condotta con ricerche OSINT, 3D Modelling e Geolocation di ricostruzione dell’attacco, condotta dal portale forensic-architecture. ↩︎
  15. Lo riporta inizialmente un analisi condotta dal governo Polacco. ↩︎
  16. Sul portale dei ricercatori di Eset, è disponibile l’analisi del codice completo, per quanto concerne Win32/KillDisk.NCX, meglio noto come CaddyWiper. ↩︎
  17. Già ai tempi, l’allora presidente dell’Ucraina Petro Poroshenko lasciava queste dichiarazioni: “La Russia sta conducendo una guerra informatica contro l’Ucraina” ↩︎
  18. Sul portale dei ricercatori di Eset, è disponibile l’analisi del codice completo, per quanto concerne Industroyer2, nome reale 108_100.exe, composto da un singolo eseguibile di Windows, in grado di comunicare con apparecchiature industriali con il protocollo IEC-104. ↩︎
  19. Ricercatori di Fortinet, il 03/06/2024, riportano l’analisi completa del Malware etichettandolo con indice “Severity Level: High” ↩︎
  20. ↩︎

Articolo di Francesco Palermo | Hermes – Centro Studi Europeo | Certified Threat Intelligence Analyst (C|TIA) | Giornalista Web, Divulgatore e Ricercatore

Related Posts