La geopolitica dei cyber attacchi - Ransomware e nuove forme di rischio e violenza - Filodiritto

Pagina creata da Emanuele Mariani
 
CONTINUA A LEGGERE
Tribunale Bologna 24.07.2007, n.7770 - ISSN 2239-7752
                                               Direttore responsabile: Antonio Zama

La geopolitica dei cyber attacchi – Ransomware e nuove
               forme di rischio e violenza
    The Geopolitics of cyber attacks - Ransomware and new forms of risk and violence
                                                   28 Gennaio 2022
                                                     Roberto Fida

La geopolitica dei cyber attacchi – Ransomware e nuove forme di rischio e violenza
The Geopolitics of cyber attacks - Ransomware and new forms of risk and violence

ABSTRACT
Il ransomware è diventato una grave minaccia che colpisce tutti i settori di attività e può causare danni
considerevoli e di diversa natura (perdite operative, perdite di dati e finanziarie, rivendicazioni di
responsabilità, perdita di clienti, perdita di affari, danni alla reputazione, sanzioni amministrative). Negli
ultimi anni, però, è emerso un ecosistema che facilita l’attuazione di attacchi informatici da parte di gruppi
criminali, portando all’industrializzazione di queste attività illegali. Il risultato è stato una massiccia
accelerazione dei principali attacchi informatici alle organizzazioni e un notevole cambiamento nelle
tattiche dei criminali, che innalzano il livello di scontro con le vittime per incoraggiare il pagamento del
riscatto. Tali tattiche includono un cambio di paradigma che si espleta attraverso la pubblicazione di
informazioni personali e reputazionali, il furto di dati sensibili dal punto di vista commerciale e gli attacchi
che prendono di mira le infrastrutture critiche. Questi sviluppi hanno anche portato a cambiamenti
nell’organizzazione dei criminali online. Tali attacchi hanno un impatto negativo sulle economie nazionali
e internazionali mentre cercano di riprendersi dal blocco. Basandosi su un’analisi approfondita dei più
recenti attacchi ransomware e delle metodologie operative di risposta e prevenzione, questo articolo traccia
l’evoluzione del ransomware come moderno crimine geo-strategico e i cambiamenti nell’organizzazione
dei cyber-criminali e della loro possibile impronta terroristica.
Ransomware has become a serious threat that affects all business sectors and can cause considerable and
diverse damage (operational losses, data and financial losses, liability claims, loss of customers, loss of
business, reputational damage, administrative penalties). In recent years, however, an ecosystem has
emerged that facilitates the implementation of cyber attacks by criminal groups, leading to the
industrialization of these illegal activities. The result has been a massive acceleration of major cyber
attacks on organizations and a significant shift in the tactics of criminals, tactics that raise the level of
confrontation with victims to encourage ransom payments. These tactics include a paradigm shift that
takes place through the publication of personal and reputational information, the theft of commercially
sensitive data, and attacks targeting critical infrastructure. These developments have also led to changes in
the organization of online criminals. These attacks are negatively impacting national and international
economies as they try to recover from the blockade. Based on an in-depth analysis of the most recent
ransomware attacks and the operational methodologies of response and prevention, this paper traces the
evolution of ransomware as a modern strategic crime and also the changes in the organization of cyber
criminals, as well as highlighting some of the geopolitical implications.

Sommario
1. Premessa
2. Analisi del fenomeno e prospettive
3. Collocazione (eco)sistemica
4. Dimensione geopolitica del ransomware
5. I recenti attacchi: uno sguardo d’insieme
6. Implicazioni
7. Altre aree di attacco: un cambio di tono e di interpretazione
8. I problemi di sicurezza: una cassa di risonanza globale
9. Geopolitica, intelligence e minacce informatiche: tentativi di approccio
9.1 Target specifici
9.2 Spionaggio
9.3 Ingenti ricavi
10. Buone pratiche di osservazione e prevenzione
11. Riflessioni conclusive

Summary
1. Introduction
2. Analysis of the phenomenon and prospects
3. (Eco)systemic collocation
4. Geopolitical dimension of ransomware
5. Recent attacks: an overview
6. Implications
7. Other areas of attack: a change in tone and interpretation
8. Security issues: a global sounding board
9. Geopolitics, intelligence and cyber threats: attempts at an approach
9.1 Specific targets
9.2 Espionage
9.3 Financial gain
10. Good practices of observation and prevention
11. Concluding remarks

1. Premessa
Il ransomware è un malware a scopo di lucro che nega alle vittime l’accesso al computer, ai dati o al
browser e offre il rilascio delle risorse sottratte soltanto in seguito al pagamento del riscatto richiesto. Dal
suo inizio come AIDS Trojan nel 1989, il ransomware è rimasto in disparte fino al 2005 quando in Russia,
i primi casi di attacco hanno portato a una sostanziale perdita monetaria. Questo malware dannoso ha posto
radici più forti quando, nel 2013, si è evoluto in CryptoLocker, causando danni insperati a istituzioni
educative, organizzazioni commerciali, forze dell’ordine, ospedali e governi locali e statali che hanno finito
per pagare quantità esorbitanti di denaro attraverso, soprattutto, valute virtuali. Ora è il grande business
adottato dai criminali informatici per rubare furtivamente, criptare e distruggere informazioni sensibili.
I progressi nella sicurezza dei computer e delle reti hanno, in parallelo, dato vita ad algoritmi di crittografia
più forti, al miglioramento dei metodi di installazione e distribuzione degli attacchi, alle valute virtuali e
alle reti anonime. Questi progressi, paradossalmente, rendono il ransomware più potente e difficile da
controllare e conquistare. I criminali informatici si sono adattati in modo reattivo a questo ambiente di
criminalità informatica in rapida evoluzione per mantenere le loro operazioni estremamente redditizie,
agendo, forse inconsapevolmente, come normalissimi esperti di business. Alla stregua di una qualsiasi
impresa legittima, i criminali informatici stanno affinando le loro strategie commerciali per cementare gli
obiettivi, e per rimanere un passo avanti, imparando dagli errori del passato e adattandosi, producendo
nuove e migliori varianti di precedenti ceppi difettosi di ransomware.
Ultimamente, tali attori del ransomware hanno attaccato sfacciatamente e deliberatamente le forze
dell’ordine e le organizzazioni sanitarie, che non avevano altra scelta se non quella di pagare il riscatto per
avere indietro i loro dati. Pagare il riscatto non è un’azione consigliata per le vittime, poiché non c’è alcuna
garanzia che l’hacker consegnerà la chiave di decrittazione o mollerà la presa sui record elettronici
acquisiti. Questi atti di sottomissione aumentano i livelli di fiducia nei cosiddetti “black hat”, poiché sanno
che le tecniche impiegate sono invisibili ma estremamente redditizie e, a tratti, imbattibili. Osservando
questi atteggiamenti, è facile capire come i criminali informatici continueranno dunque a concentrarsi sulla
massimizzazione delle loro entrate, infatti, i messaggi ransomware stanno diventando più personalizzati
con lingue per nuove località che prima non erano prese di mira.
Ciò su cui si proverà a far luce nei capitoli che seguono è se e fino a che punto i cyberattacchi possono
essere considerati atti di terrorismo, se sponsorizzati da uno Stato, o se invece sono da considerare semplice
cyberwar. In un articolo intitolato State Cyberterrorism: A contradiction in terms?, gli autori affermano
che esista un notevole supporto di esperti che sostengono la validità della proposizione che gli stati possano
effettivamente impegnarsi nel cyberterrorismo, nonostante questo possa portare implicazioni per i dibattiti
sussidiari, anche intorno alla minaccia che il cyberterrorismo pone. Ciò che non è in discussione è che il
terrorismo informatico rappresenta un pericolo crescente nell’odierno mondo tecnologico in continua
espansione. Già nel 1991, il National Research Council (NRC)l1 aveva previsto il problema in arrivo,
dichiarando come il terrorista di domani sarebbe stato in grado di fare più danni con la tastiera che con una
bomba.
Agli analisti della sicurezza, dunque, il compito di seguire le tendenze in evoluzione nel tentativo di
prevedere come il ransomware potrebbe evolversi nel prossimo futuro.

2. Analisi del fenomeno e prospettive
In un mondo sempre più computerizzato, la sicurezza viene spesso violata digitalmente. Statistiche
affidabili sul ransomware sono difficili da generare ma, secondo alcuni rapporti, il 43% delle aziende
europee e nordamericane sono state prese di mira dai criminali informatici nel 2020 e, di queste, una su sei
ha comportato una richiesta di riscatto. Negli Stati Uniti, il 71% delle aziende prese di mira ha pagato il
riscatto. Gli esperti stimano che gli hacker ransomware hanno estratto oltre 400 milioni di dollari nel 2020.
La maggior parte di questi riscatti sono stati pagati a indirizzi pseudonimi in criptovalute, note anche come
valute virtuali convertibili, come Bitcoin.
A differenza della guerra convenzionale o del crimine transfrontaliero, ci sono poche norme giuridiche
internazionali che aiutano a contenere il rischio di attacchi informatici. Gli attacchi di ransomware sono
difficili da combattere, perché la minaccia è ovunque e da nessuna parte, fino a quando l’attacco si verifica.
Le vittime vanno dai piccoli comuni alle organizzazioni non profit, alle multinazionali e ai governi.
Il ransomware disgrega i già precari equilibri tra stato e attori privati e i confini tra geopolitica e crimine.
La protezione delle infrastrutture critiche crea una nuova serie di problemi per la sicurezza nazionale. Sono
coinvolti diversi attori. L’attenzione si concentra su sistemi e servizi civili e commerciali, mentre la forza
militare è meno importante. La portata di questi nuovi problemi dipende da come definiamo la sicurezza
nazionale e da come fissiamo le soglie di danno accettabile. Da una prospettiva legale o di sicurezza
pubblica, nessun paese accetterà anche un solo attacco alle infrastrutture o l’interruzione dei servizi. Se
l’obiettivo è impedire che i cyber-attacchi costino un solo giorno di energia elettrica o di servizio idrico,
abbiamo fissato uno standard molto alto per la sicurezza. Tuttavia, da una prospettiva militare strategica,
gli attacchi che non degradano capacità nazionali non sono significativi. Da questa prospettiva, se un
attacco informatico non causa un danno che supera la soglia delle interruzioni di routine che ogni economia
sperimenta, non rappresenta un rischio immediato o significativo per la sicurezza nazionale.
È particolarmente importante considerare che nel più ampio contesto dell’attività economica, i guasti al
sistema idrico, le interruzioni di corrente, le interruzioni del traffico aereo e altri scenari di cyber-
terrorismo sono eventi di routine che non riguardano la sicurezza nazionale.
A livello nazionale, dove decine o addirittura centinaia di sistemi diversi forniscono servizi di infrastrutture
critiche, il guasto è un evento di routine a livello di sistema o regionale, con il servizio negato ai clienti per
ore o giorni.
I cyber-terroristi avrebbero bisogno di attaccare più obiettivi simultaneamente per lunghi periodi di tempo
per creare terrore, raggiungere obiettivi strategici o avere qualche effetto notevole. Per la maggior parte
delle infrastrutture critiche, attacchi multipli sostenuti non sono uno scenario fattibile per gli hacker, i
gruppi terroristici o gli stati nazionali (in particolare per gli stati nazionali, dove il rischio di scoperta di ciò
che sarebbe universalmente visto come un atto di guerra superano di gran lunga i vantaggi limitati ottenuti
dagli attacchi informatici alle infrastrutture).

3. Collocazione (eco)sistemica
Il successo del ransomware ha portato alla creazione di un ecosistema del crimine informatico. Nuove
forme di crimine organizzato online stanno emergendo per fornire commercialmente competenze e servizi
chiave a coloro che vogliono lanciare attacchi ransomware. È importante notare che queste forme
organizzative tendono ad essere strutture piatte ed effimere, spesso con un’obsolescenza pianificata. Non
sono gerarchiche e sostenute (come le mafie), infatti sono relativamente disorganizzati al confronto.
L’ecosistema del crimine informatico permette ai vari attacchi di essere eseguiti più efficacemente,
minimizzando il rischio e massimizzando il ritorno per i trasgressori. Dà ai criminali senza competenze
l’accesso a quelli che le hanno e l’organizzazione per eseguirli. I livelli di abilità e le risorse necessarie per
lanciare tali attacchi sono ora molto più alti e maggiori di quanto l’operatore solitario - il singolo agente
autorizzato - potrebbe mai raccogliere. Il moderno processo ransomware, in effetti, simboleggia
l’industrializzazione del crimine informatico.
Le funzioni che una volta erano svolte da un individuo sono ora eseguite da altri individui più specializzati,
qualificati e altamente organizzati, anche se questo può avvenire in maniera ripartita piuttosto che nel
gerarchico modo dell’organizzazione tradizionale.
L’estorsione del ransomware è diventata un ecosistema criminale che si autoalimenta.
Le minacce più gravi, per esempio, cambiano e a volte cambiano abbastanza spesso. Per apprezzare tali
cambiamenti, implementare misure appropriate contro il crimine informatico e fare il punto sugli sviluppi
recenti e possibili, è necessario un quadro aggiornato e sinottico dell’ecosistema del crimine informatico e
dei suoi vari elementi. Una sfida nel fornire questo, tuttavia, che richiede consapevolezza e competenza in
diversi campi, che non sono (necessariamente) tutti reciprocamente intelligibili per gli esperti dei diversi
campi. Le priorità della politica e delle forze dell’ordine associate alla repressione del crimine informatico
possono differire, almeno nell’approccio, nella portata o nei dettagli, da quelle di un criminologo o di un
ricercatore.
Poiché siamo sempre più in rete a livello personale, e poiché le basi economiche degli stati sono sempre
più legate alle infrastrutture digitali e all’economia digitale, i governi, le aziende, gli individui e le
infrastrutture ICT nazionali (così come quelle internazionali) affrontano un’enorme gamma di minacce.
Queste spaziano da azioni statali quasi equivalenti alla guerra cibernetica all’hacking, allo spionaggio, alle
botnet create per vari scopi. E questo è solo il presente.
Con un futuro inevitabile di tecnologia dell’informazione sempre più incorporata nella nostra vita
quotidiana, le minacce informatiche che non esistevano in un passato non così lontano si stanno ora
spostando dal regno ideal-concettuale in minacce emergenti concrete. L’intensificazione della minaccia
non dovrebbe quindi essere misurata solo in termini di numero di attacchi malware. La diversificazione del
malware stesso e l’evoluzione dei metodi degli hacker devono essere osservati.
L’uso dell’intelligenza artificiale (AI) nei cyberattacchi è un caso esemplare. Gli esperti notano che i
modelli concettuali per gli attacchi basati sull’AI (ad esempio, per eludere i meccanismi antivirus, o per
crackare le password) esistono e possono essere utilizzati per rafforzare il malware esistente. Ci sono già
stati casi di “deepfakes” vocali utilizzati per ingannare ignari dipendenti di società per effettuare pagamenti
su conti fraudolenti (utilizzando l’AI per camuffare in modo convincente la voce del CEO o di un alto
funzionario della società).
L’ambiente cibernetico è quindi per default un ambiente compromesso. La cybersicurezza è dovuta
diventare molto più che il semplice stato o le sue parti costitutive che respingono gli attacchi. I governi e le
aziende hanno sempre più riconosciuto che i paradigmi di cybersecurity che prevedono una protezione
completa, e tutti gli attacchi respinti, sono chimerici. Piuttosto che concentrarsi sulla prevenzione assoluta,
o cercare di raggiungere un "buon" livello di cybersecurity, alcuni degli approcci più pratici - per non dire
sensati - enfatizzano la mitigazione del rischio complessivo, minimizzando l’impatto delle intrusioni
informatiche, e la difesa in profondità per consentire la continuità dei sistemi. In pratica, questo significa
uno spostamento dell’attenzione verso la resilienza informatica, che il National Institute of Standards and
Technology degli Stati Uniti ha utilmente definito come la capacità di anticipare, resistere, recuperare e
adattarsi a condizioni avverse, stress, attacchi o compromissioni dei sistemi che utilizzano o sono abilitati
dalle risorse informatiche.

4. Dimensione geopolitica del ransomware
Poiché la fonte della prosperità economica globale si espande per mezzo dell’economia dell’informazione,
i dati e i sistemi che si basano su di esso hanno acquisito un valore significativo. La loro negazione può
quindi infliggere dei costi, e la capacità di negarli in modo condizionale può essere utilizzata per
costringere. Sia la negazione pura che condizionale dell’attività economica nel cyberspazio hanno
implicazioni geopolitiche.
La dimensione geopolitica più ovvia è che molti, anche se non tutti gli operatori di ransomware, sono
gruppi criminali informatici di lingua russa, e spesso, in modo implicito o esplicito, le agenzie di
intelligence russe ricevono un rifugio sicuro in cambio dell’esclusione di obiettivi russi dalle loro
operazioni. Ad esempio, il codice di DarkSide eviterà automaticamente di crittografare un sistema con
lingue utilizzate in Russia e negli stati dell’Europa orientale. Come risultato di questa protezione, solo una
manciata di operatori di ransomware viene estradata e perseguita. Proprio come molti stati si affidavano ai
corsari per sequestrare le spedizioni, a volte appartenenti al loro avversario strategico, anche i corsari
moderni nel cyberspazio sono intrecciati con la competizione strategica tra gli stati.
La dimensione geopolitica meno ovvia è che la capacità di negare i dati in modo condizionale si traduce in
potere. Le tendenze nel ransomware mostrano che la crittografia è un modo per ottenere la negazione e
potrebbe rivedere in modo significativo la nostra comprensione di come gli stati sfrutteranno il cyberspazio
per scopi strategici.
Perlomeno, la crittografia offre un modo alternativo per mettere direttamente a rischio le risorse avversarie
senza dover prima vincere in combattimento per impadronirsi di una grande città, sviluppare un
programma nucleare e missilistico o occupare un punto di controllo geografico. Questa sarebbe un’opzione
particolarmente interessante per stati come l’Iran o la Corea del Nord che hanno rivali strategici ma non
hanno capacità militari convenzionali sufficienti per ottenere lo stesso effetto.
I mezzi informatici forniscono una barriera di ingresso alla coercizione più economica e inferiore rispetto a
un accumulo militare convenzionale, anche se su scala molto più ridotta. Soprattutto dove le strutture di
deterrenza preesistenti rendono l’escalation troppo costosa e quindi improbabile, gli stati possono tentare
una tale coercizione su piccola scala. Ad esempio, l’Iran ha sequestrato una petroliera sudcoreana e ha
chiesto alla Corea del Sud di rilasciare $7 miliardi di fondi iraniani che le sue banche avevano congelato
nel 2019 per conformarsi alle sanzioni statunitensi. La Corea del Sud ha finito per sbloccare $1 miliardo in
cambio del rilascio dell’equipaggio e alla fine ha pagato $100.000 in più anche per il rilascio della nave. In
futuro, altri stati potrebbero utilizzare la crittografia di una fabbrica, una centrale elettrica o un oleodotto
per creare una situazione di ostaggio simile. La crittografia potrebbe non essere in grado di imporre grandi
concessioni, come la resa incondizionata di uno stato, ma potrebbe essere in grado di costringere gli alleati
a smettere di cooperare con l’applicazione delle sanzioni statunitensi.
Alcuni potrebbero dire che gli attori statali sono fondamentalmente diversi dagli attori criminali non statali
e quindi non userebbero il ransomware per ottenere concessioni politiche. Tuttavia, tale affermazione deve
esaminare se tali differenze contano in modi che indeboliscono specificamente la suddetta logica strategica
della crittografia. Gli studiosi hanno sostenuto che anche in normali situazioni di contrattazione di crisi, i
costi di reputazione possono essere anticipati e quindi compensati utilizzando pagamenti collaterali o
richieste minori.
Un altro argomento potrebbe essere che gli attori statali godono di un minore anonimato e quindi corrono
un rischio maggiore di ritorsioni. Ma la paura di ritorsioni non ha impedito agli Stati di lanciare attacchi
informatici ancora più distruttivi della crittografia, come NotPetya2, l’arresto della rete elettrica ucraina o
persino le rapine in banca. Anche la preoccupazione per le ritorsioni non ha impedito agli Stati di adottare
comportamenti sconsiderati che aumentano i danni collaterali, come la gestione da parte della Cina dell’
hack di Microsoft Exchange e l’uso di worm3 da parte della Corea del Nord in WannaCry4.
Il mantenimento dell’anonimato non è una condizione necessaria per lanciare un attacco informatico. In
breve, è difficile trovare differenze fondamentali tra attori statali e non statali in modo da minare la logica
strategica della crittografia.
Per evitare sorprese strategiche, i politici statunitensi dovrebbero riesaminare l’affermazione secondo cui
gli avversari utilizzeranno principalmente mezzi informatici per lo spionaggio e l’azione segreta, ma non
per la coercizione. Stati come la Corea del Nord stanno già operando all’incrocio tra attività criminali e
strategiche nel cyberspazio, inclusa l’implementazione di ransomware.
La domanda non è se la crittografia verrà mai utilizzata per il guadagno geopolitico al posto dei bitcoin, ma
quando e come. A breve termine, la neonata Task Force Ransomware – una partnership tra il governo degli
Stati Uniti e gli attori del settore privato – dovrebbe continuare a coordinare le soluzioni politiche al
ransomware. Ad esempio, più fornitori di assicurazioni informatiche dovrebbero smettere di coprire i
pagamenti del riscatto e dovrebbero invece incentivare attivamente le vittime a scegliere di non pagare
coprendo i costi del ripristino del sistema senza decrittazione. Ove possibile, i backup in tempo reale o
offline dovrebbero essere sovvenzionati o incorporati nella sottoscrizione dell’assicurazione. A lungo
termine, i responsabili delle politiche dovrebbero promuovere la collaborazione di ricerca tra professionisti
e accademici per identificare scenari in cui gli avversari potrebbero usare la crittografia in modo coercitivo,
quali sistemi sarebbero più vulnerabili a un tale tentativo e come tali scenari avrebbero un impatto sulla
posizione strategica dell’America.

5. I recenti attacchi: uno sguardo d’insieme
Secondo una ricerca di Trend Micro pubblicata nel luglio 2021, negli ultimi dodici mesi uno sbalorditivo
84% delle organizzazioni statunitensi ha subito minacce di tipo phishing e ransomware.
Trend Micro afferma: «Il ransomware è diventato un’epidemia moderna, colpendo governo, ospedali,
scuole e imprese private e qualsiasi altro obiettivo ritenuto vulnerabile all’estorsione e in grado di pagare».
Allo stesso modo, anche l’industria manufatturiera sta diventando sempre più un bersaglio per i cyber
criminali.
In effetti, secondo dati separati di Trend Micro, l’industria manifatturiera ha subito un’interruzione
significativa nel 2020 a causa delle minacce ransomware. Gli aggressori hanno effettivamente individuato
le organizzazioni manifatturiere durante il terzo trimestre del 2020, prendendo di mira in particolare le loro
attività logistico-operative. Di conseguenza, è diventato il comparto che ha subito più attacchi ransomware
rispetto ai settori del governo, dell’istruzione, della tecnologia e della sanità. Per i produttori, la realtà è che
i criminali informatici hanno capito come infiltrarsi nelle loro reti e averli saldamente nel mirino.
Mentre il più grande pagamento di ransomware rivelato finora – 40 milioni – è stato pagato da una grande
compagnia di assicurazioni statunitense, le aziende manifatturiere hanno anche sborsato alcune ingenti
somme per liberarsi dalla morsa dei criminali informatici.
Nel maggio 2021, Colonial Pipeline, che controlla il 45% del carburante negli Stati Uniti orientali, è stata
presa di mira dai criminali informatici con sede in Russia. L’attacco ransomware Colonial Pipeline, come
è noto, ha portato il panico nell’acquisto di gas e ha portato l’azienda a pagare un riscatto di $5 milioni solo
un giorno dopo l’attacco.
L’organizzazione identificata con l’orchestrazione di questo attacco si chiama DarkSide, un gruppo che si
dichiara apolitico e afferma che il loro “obiettivo è fare soldi e non creare problemi alla società”.
Questo attacco ha mostrato a molte persone quanto sia grande l’effetto che questi sabotaggi possono avere
non solo sul settore delle infrastrutture energetiche, ma anche sui settori dell’assistenza sanitaria, della
tecnologia e della finanza. I funzionari non credevano che l’attacco fosse un atto di una nazione che
cercava di distruggere le infrastrutture critiche degli Stati Uniti, quanto, infatti, un’organizzazione
criminale che potrebbe avere una vaga affiliazione con agenzie di intelligence straniere.
Il produttore e fornitore austriaco di aerei FACC, che vanta Airbus e Boeing tra i suoi clienti, ha perso $54
milioni all’inizio del 2016. I criminali informatici che si spacciavano per CEO dell’azienda sono riusciti a
rubare questa incredibile somma tramite uno scambio di e-mail. In altre parole, gli aggressori non avevano
bisogno di infiltrarsi nei sistemi dell’organizzazione, ma solo spacciarsi per un dirigente di alto rango, una
forma di ingegneria sociale.
Persino Tesla, che non è esattamente considerata indietro rispetto ai tempi quando si tratta di sicurezza
informatica, non è stata al sicuro dagli attacchi ransomware. Nel luglio 2020, un cittadino russo di nome
Egor Igorevich Kriuchkov ha stretto amicizia con un dipendente Tesla di lingua russa. Il piano di
Kriuchkov era semplice: pagare $1 milione al lavoratore di Tesla per installare malware sulle reti di
computer dell’azienda, fornendo agli hacker un gateway per il produttore di veicoli elettrici con sede in
California. Fortunatamente per Tesla, il membro dello staff ha mantenuto una certa integrità e ha rivelato i
piani degli hacker al suo datore di lavoro, che a sua volta ha informato l’FBI. Sebbene il crimine sia stato
sventato, ciò mette comunque in evidenza quanto sfacciati siano diventati i criminali informatici nei loro
tentativi di compromettere le reti aziendali.
La tendenza a digitalizzare l’infrastruttura con il vantaggio di renderla più efficiente e accessibile l’ha resa
ugualmente suscettibile a questo tipo di attacchi.
L’attacco ransomware WannaCry al servizio sanitario nazionale del Regno Unito nel 2017 e l’attacco del
2021 al Health Service Executive (HSE)5 irlandese sono esempi di terrorismo che prende di mira istituzioni
vitali. Inoltre, la Finlandia è stata testimone di un attacco ransomware a un’azienda privata di nome
Vastaamo. L’azienda gestisce 25 centri terapeutici in Finlandia. Le trascrizioni di queste sessioni di terapia
erano state hackerate. Di conseguenza, secondo quanto riferito, i clienti sono stati minacciati di pagare
$200 dollari in bitcoin per impedire che le loro sessioni di terapia venissero trapelate. Il direttore
dell’Ufficio investigativo nazionale finlandese ha stimato che il numero delle vittime sia nell’ordine di
decine di migliaia.
In base a un’indagine interna, si è ritenuto che il vero furto possa essere avvenuto due anni prima, nel 2018.
Nonostante i migliori sforzi delle vittime per aderire ai consigli stabiliti dai ministri e non affrontare le
minacce, le note riservate delle sessioni di terapia di duemila pazienti erano state scoperte nel Dark web.

6. Implicazioni
Gli attacchi WannaCry, Vastaamo e Health Service Executive rappresentano una triste realtà degli aspetti
più riservati della vita delle persone che vengono divulgati al pubblico. Le implicazioni sono diffuse e
ledono molteplici aspetti sia della vita personale che del funzionamento della società. Gli attacchi ai servizi
sanitari hanno determinato un accesso limitato ai servizi essenziali, spesso comportando il rinvio del
trattamento o addirittura la cancellazione dello stesso. Il servizio sanitario nazionale inglese ha visto la
cancellazione di 19.000 appuntamenti in seguito agli hack di WannaCry ed è costato al servizio sanitario
£92 milioni. Un ulteriore motivo di preoccupazione è che nel caso in cui gli hacker abbiano accesso ai
documenti in tempo reale dei pazienti, le informazioni sui pazienti potrebbero essere alterate per provocare
diagnosi errate su larga scala.
Nel caso dell’attacco ransomware irlandese, una dichiarazione rilasciata dall’HSE ha affermato che una
piccola quantità di dati era atterrata sul dark web, proprio come l’hack di Vastaamo (l’attacco avrebbe
potuto essere prevenuto se i dati fossero stati crittografati correttamente).
La continuazione dell’apprendimento online potrebbe aprire le porte ai cyber-terroristi per accedere a una
vasta gamma di nuovo materiale per le minacce di riscatto.
La curiosa svolta degli eventi è avvenuta quando gli hacker che hanno commesso l’attacco ransomware
contro l’HSE irlandese hanno fornito lo strumento software per invertire l’hack. Nonostante ciò, è stato
necessario molto lavoro per ricostruire il sistema. Questo mostrava chiaramente quanto sia irreversibile e
profondamente dannoso un attacco ransomware, specialmente quando i dati erano già stati divulgati al
pubblico tramite Internet. Qui, nulla può essere completamente cancellato. La natura veramente dannosa
diventa particolarmente evidente se si considera che l’attacco è avvenuto il 14 maggio, e la dichiarazione
dell’HSE di luglio includeva l’avvertimento che era ancora in fase di trattamento. Ciò colpisce
particolarmente data la pandemia di COVID-19, che non solo comporta una maggiore domanda per il
sistema sanitario, ma ha anche ritardato molti trattamenti vitali per coloro che erano in attesa di
diagnosi/trattamenti per altre malattie ancora più di quanto non fossero già.

7. Altre aree di attacco: un cambio di tono e di interpretazione
Un’altra importante area di attacco agli Stati Uniti da parte di un cyberterrorista sarebbe l’hacking di
database e macchinari ospedalieri. Ciò è particolarmente diffuso negli ultimi mesi a causa della pandemia
di COVID-19. Nel settembre 2020, Universal Health Services6, una delle più grandi catene ospedaliere
degli Stati Uniti, è stata colpita da un attacco informatico, causando il guasto dei suoi computer e sistemi
telefonici. Ciò ha portato alla cancellazione degli interventi chirurgici e al reindirizzamento delle
ambulanze mentre l’ospedale stava cercando di affrontare questo attacco informatico. L’aggressore stava
utilizzando un software ransomware che dirotta i sistemi dell’organizzazione e si rifiuta di consegnarli a
meno che l’ ospedale non paghi il riscatto.
In questo periodo di pandemia, gli autori di questi attacchi si stanno approfittando di molte persone che
lavorano da casa, accedendo ai sistemi di controllo da remoto. Sono in grado di hackerare questi sistemi e
di acquistare informazioni di accesso da determinati software online. In un recente briefing con i membri
del Congresso, l’amministrazione Biden ha dichiarato che intende reprimere l’uso delle criptovalute negli
attacchi ransomware . Ciò avviene attraverso un monitoraggio più rigoroso dei proventi pagati agli hacker
dietro la disattivazione di aziende, organizzazioni e agenzie governative in tutto il mondo.
La Casa Bianca ha creato una task force apposita e avvertito le aziende americane di adottare misure di
sicurezza urgenti per proteggersi dagli attacchi ransomware, poiché gli hacker spostano le loro tattiche dal
furto di dati all’interruzione dell’infrastruttura critica. Questi attacchi dimostrano l’importanza di
aumentare gli investimenti statunitensi in una tecnologia di prevenzione degli attacchi informatici più
avanzata e, allo stesso modo, nel capitale umano di coloro che sorvegliano i database governativi, aziendali
e personali da irregolarità e segni di aggressori.
Poiché gli attacchi ransomware sono commessi in modo anonimo, è impossibile per gli spettatori sapere
con certezza quale sia il motivo dietro gli attacchi, rendendo ancora più difficile etichettarli come atti di
terrorismo. Detto questo, i punti in comune nei recenti attacchi ransomware sembrano abbastanza chiari.
Soprattutto in Europa, i servizi sanitari e le aziende sono stati violati, e i pazienti sono stati minacciati. Gli
attacchi ransomware condividono sicuramente la caratteristica del terrorismo che proibisce l’uso della
violenza per instillare paura e coercizione contro “il nemico”. Questo implica inoltre il bersaglio di civili
innocenti. La (il)logica insita nella scelta di attacco ad un servizio sanitario, soprattutto durante una
pandemia, potrebbe essere considerato un atto di violenza indiretta, anche se dannoso. Ciò che rimane poco
chiaro, sono le motivazioni dell’autore, se fossero ideologicamente o finanziariamente motivate. La presa
di mira dei civili, che includeva la richiesta di riscatto ai minori, così come la destabilizzazione
intenzionale di un’infrastruttura da cui dipende un intero paese, può essere un messaggio che, in sé,
potrebbe costituire un nuovo tipo di terrorismo - che richiede una definizione nuova o separata. In questo
caso, potrebbe non essere il motivo, ma l’obiettivo a stabilire il tono del terrorismo.
Ma perché classificare il ransomware come una minaccia alla sicurezza nazionale è importante?
La sicurezza nazionale non riguarda solo la guerra o il conflitto fisico. Tutto ciò che ha un impatto diretto
sulla stabilità economica e sulla capacità economica fa anche parte della sicurezza nazionale, inclusi gli
attacchi ransomware.
L’attacco ransomware di quest’anno contro Colonial Pipeline è un chiaro esempio di come questo tipo di
strumento può distruggere gran parte dell’economia. Se in realtà la motivazione degli aggressori
informatici fosse “semplicemente” interrompere il flusso di benzina attraverso la costa orientale degli Stati
Uniti, in ogni caso saremmo fuori strada. Ciò che importa è che l’hanno fatto, con conseguente panico negli
acquisti e carenza di pompe di benzina.
«La cyber distruzione è una delle più grandi minacce per l’economia», afferma Marcus Fowler, direttore
delle minacce strategiche di Darktrace. Gli attacchi ransomware possono avere un effetto valanga,
elevandoli oltre gli eventi indipendenti a un problema di sicurezza nazionale.
L’ampia disponibilità di toolkit7 e ransomware-as-a-service (RaaS)8 ha abbassato la barriera all’ingresso
per i criminali, che hanno avuto sempre più successo nel prendere di mira grandi organizzazioni in una
varietà di settori industriali e richiedere riscatti considerevoli.
Le azioni delle forze dell’ordine e degli investigatori hanno reso e rendono più difficile e costoso il
funzionamento di queste bande. In effetti, il semplice fatto di designare qualcosa come una minaccia alla
sicurezza nazionale mostra che i governi stano dando la priorità al problema.
Alcune azioni comportano la sottrazione di risorse agli aggressori informatici. L’FBI, ad esempio, ha
compromesso i server utilizzati dietro il ransomware REvil9 e ha costretto il gruppo offline questo
autunno. Le forze dell’ordine hanno anche arrestato diversi autori negli ultimi mesi, incluso l’arresto di un
cittadino ucraino per aver preso parte all’attacco contro Kaseya, nonché l’arresto di più operatori di
ransomware che hanno utilizzato GandCrab e REvil-Sodinokibi nelle loro operazioni.
Inoltre, un’operazione globale delle forze dell’ordine - tra cui il Centro nazionale francese per la criminalità
informatica della Gendarmeria nazionale, il Dipartimento di polizia informatica della polizia nazionale
dell’Ucraina, l’ufficio dell’FBI di Atlanta, Europol e Interpol - ha arrestato due operatori, sequestrato
$375.000 in contanti e congelato circa $1,3 milioni in criptovaluta.
Ultimo ma non meno importante, il Dipartimento di Giustizia degli Stati Uniti ha recuperato con successo
$2,3 milioni in Bitcoin che sono stati pagati agli aggressori che hanno preso di mira Colonial Pipeline. Per
alcuni operatori di ransomware, questi arresti, rimozioni e sforzi di recupero sono sufficienti per
convincerli a chiudere per evitare procedimenti giudiziari. Altri diventano più resistenti.
Indipendentemente da ciò, è necessario applicare questo tipo di pressione.
Lo scopo è convincere gli operatori che il pagamento del riscatto non vale il tempo e lo sforzo di creare
continuamente infrastrutture e introdurre nuovi metodi per eludere il rilevamento e la cattura.
I governi stanno esercitando pressioni sugli scambi di criptovalute, ma è bene tenere a mente che
sanzionando alcune entità non si può porre fine al ransomware, tuttalpiù si impediscono le operazioni di
attacco. L’idea alla base è che tutto ciò che possa render loro più complesso lo svolgimento del lavoro,
dedicando dunque maggiore attenzione o maggiori sforzi alla loro infrastruttura o al modo in cui verranno
pagati, è tempo “prevenuto”, tempo che non spendono per ri(s)cattare.
Sebbene la campagna di pressione sia importante, non dovrebbe essere considerata più importante
dell’investimento in risorse difensive e dell’arresto del ransomware. La gestione del ransomware richiede
migliori difese e una migliore risposta.
Sebbene si possa avere la percezione che trattare questi attacchi come una minaccia alla sicurezza
nazionale significhi che ci saranno azioni più offensive, come attaccare gli operatori di ransomware,
l’impatto più importante è che vengono sbloccate risorse che altrimenti non sarebbero state disponibili.
Insieme all’aumento dei finanziamenti, il governo può istituire task force e altre strutture di supporto per
assegnare più persone ad affrontare i problemi.
Elevare la sicurezza informatica a un problema di sicurezza nazionale rende anche più facile lavorare con
partner internazionali, il che è fondamentale, perché gli attacchi spesso trascendono i confini, con
aggressori, vittime e infrastrutture spesso in paesi diversi.
La minaccia alla sicurezza nazionale deve tradursi in una migliore definizione delle priorità difensive, con
l’ottica di perseguire un vantaggio cyber strategico.
In mezzo all’attuale ondata di attacchi ransomware, il fatto che il dibattito nazionale e internazionale ora
includa la sicurezza informatica e la difesa, paradossalmente, considerando ciò di cui si sta disquisendo, è
certamente una prospettiva di valore. C’era una certa preoccupazione tra gli esperti di sicurezza informatica
che sarebbe stata necessaria una grave interruzione informatica distruttiva di più giorni prima che la difesa
avesse la priorità appropriata.
Per intaccare il volume degli attacchi ransomware si rende dunque necessaria una combinazione di questo
tipo di campagna di pressione e investimenti continui da parte delle aziende in difesa, risposta e ripristino.

8. I problemi di sicurezza: una cassa di risonanza globale
In risposta alle crescenti preoccupazioni relative al recente aumento degli attacchi ransomware su larga
scala sostenuti dallo stato nazionale alle infrastrutture critiche, l’amministrazione Biden sta intraprendendo
nuove azioni per affrontare le sfide in evoluzione poste dal rischio cyber.
Quando si considera la triade della sicurezza informatica della CIA di riservatezza, integrità e disponibilità,
ogni componente è essenziale per il funzionamento sicuro di ogni organizzazione.
Tuttavia, quando la disponibilità coerente e affidabile dei dati necessari viene persa a causa di un incidente
ransomware, tale componente è forse il valore più invalidante dei tre. La negazione dell’accesso ai dati può
paralizzare le operazioni e portare tutto a un brusco arresto. Per aggiungere la beffa al danno, l’urgenza
assoluta e il panico che la negazione del sistema crea nelle vittime non fa che esacerbare la sfida di
rispondere a un attacco ransomware.
Gli avversari ora usano comunemente il ransomware per rubare in modo rapido ed efficiente l’accesso
delle vittime a dati preziosi. L’“industria” del ransomware è maturata in diversi modi: attraverso
l’anonimato garantito tramite Internet e la valuta digitale, combinato con i meccanismi a basso rischio/alto
rendimento coinvolti nel riscatto dei file di una vittima, oltre all’evoluzione e alla crescente monetizzazione
di ransomware-as-a-service. Tutte le “fattezze” dei toolkit ransomware personalizzabili possono essere
trovati in vendita sul Dark web.
Sebbene siano già un concetto preoccupante da considerare, tali offerte ne hanno facilitato la rapida e
massiccia proliferazione globale.
La task force adotta un approccio completo come risultato della crescita e dello sviluppo di gruppi di
ransomware sofisticati, tecnicamente informati, ben finanziati e spesso sostenuti dallo stato nazionale. Lo
sviluppo e l’implementazione di contromisure durature e complete richiederà uno sforzo erculeo.
Data la maggiore frequenza degli attacchi, combinata con la gravità delle conseguenze che derivano da un
attacco riuscito, nessuna singola entità può sperare di coordinare da sola un’interruzione su larga scala di
queste campagne di ransomware. Un requisito di risposta veramente ampio richiederà la cooperazione
internazionale da parte di organizzazioni governative, enti privati ??e agenzie di difesa in tutto il mondo.
Alla luce delle significative implicazioni per la sicurezza nazionale che circondano i ripetuti attacchi di
ransomware contro infrastrutture critiche, l’amministrazione Biden ha recentemente annunciato piani per
l’implementazione di una task force di ransomware intergovernativa. Questa task force, composta da un
gruppo interagenzia di alti funzionari della sicurezza, aiuterà a facilitare ulteriormente le capacità difensive
per proteggersi dagli attacchi promuovendo la resilienza alla sicurezza dei dati tra le entità
dell’infrastruttura critica.
La task force cercherà di coordinarsi con gli alleati degli Stati Uniti per indirizzare eventuali risposte
offensive contro l’evoluzione delle campagne di attacco, lavorando contemporaneamente per interrompere
i pagamenti di riscatto offerti su varie piattaforme di criptovaluta.
Inoltre, il Dipartimento di Giustizia degli Stati Uniti ha annunciato l’intenzione di elevare le indagini sui
ransomware allo stesso livello di priorità degli attacchi terroristici, garantendo un maggiore accesso alle
risorse governative per aiutare negli sforzi di mitigazione.
I funzionari dell’amministrazione sono sempre più preoccupati ora che gli attacchi ransomware sfruttino
spesso varie vulnerabilità della catena di approvvigionamento come metodo di compromissione preferito.
Attacchi come questi prendono di mira soluzioni software popolari per raggiungere un pool più ampio di
potenziali vittime. Le sfide che circondano questi attacchi alla catena di approvvigionamento affliggono
allo stesso modo le agenzie governative e le aziende del settore privato. Mentre molte organizzazioni si
stanno ancora riprendendo dalla violazione di SolarWinds10 avvenuta alla fine del 2020, il recente attacco
ransomware contro il famoso fornitore Kaseya mostra che è probabile che tali minacce continuino in
assenza di una risposta coordinata.
Si ritiene che molti recenti attacchi ransomware abbiano avuto origine in paesi ostili agli Stati Uniti, e ciò
pone ulteriori sfide.
La natura clandestina degli attacchi, oltre all’anonimato che circonda il pagamento, rende difficile imporre
qualsiasi tipo di responsabilità. Come accennato in precedenza, l’FBI ha affermato che i colpevoli
dell’attacco alla Colonial Pipeline, la rete ransomware nota come DarkSide, hanno sede in Russia e
operano con la piena conoscenza del presidente russo Vladimir Putin. Come previsto, Putin ha respinto le
accuse contro Mosca definendole infondate. Tuttavia, diversi funzionari del governo degli Stati Uniti
hanno commentato che, anche se Putin è molto probabilmente pienamente consapevole dell’attività
criminale proveniente dall’interno dei confini del suo paese, queste bande sono così autonome che lo stesso
Putin potrebbe essere impotente rispetto ad una loro dissoluzione. Inoltre, l’amministrazione Biden ha
anche accusato il governo cinese di aver contribuito a facilitare vari attacchi informatici, tra cui
ransomware, estorsioni, furti e persino crypto-jacking11. L’amministrazione sostiene che il Ministero della
sicurezza dello Stato cinese (MSS) sia stato responsabile di un attacco al server di posta elettronica
Exchange di Microsoft all’inizio di quest’anno che ha compromesso più di 30.000 organizzazioni che si
affidano a questo servizio per facilitare le operazioni quotidiane. Il Dipartimento di Giustizia ha fatto un
ulteriore passo avanti con la Cina e ha ufficialmente accusato quattro cittadini cinesi di attività illecite di
sfruttamento della rete informatica, come parte di un gruppo cinese di minacce persistenti avanzate (APT)
noto come APT40. Tuttavia, ci sono crescenti preoccupazioni riguardo a qualsiasi tipo di ritorsione
ufficiale degli Stati Uniti contro la Russia o la Cina. I funzionari hanno espresso notevole preoccupazione
per qualsiasi forma di stallo informatico che potrebbe manifestarsi tra gli Stati Uniti e un leader o una
nazione avversaria. Ci sono notevoli timori che qualsiasi tipo di azione di ritorsione da parte degli Stati
Uniti possa ulteriormente degenerare in attacchi ancora più orchestrati contro gli americani, i suoi interessi
e i suoi alleati.
Solo il tempo dirà se l’atteggiamento geopolitico tra queste superpotenze si tradurrà in una distensione
digitale.

9. Geopolitica, intelligence e minacce informatiche: tentativi di
approccio
A differenza del mondo analogico, dove può essere più facile comprendere un dato contesto e attribuire
determinati fatti su un crimine e l’autore del reato, può essere estremamente difficile fare lo stesso nel
cyberspazio, dove il problema dell’attribuzione è inerente all’ambiente digitale. Nonostante il
miglioramento delle prestazioni, dei metodi e degli strumenti di tracciamento, il cyberspazio fornisce agli
aggressori livelli aggiuntivi di invisibilità che non esistono nel mondo analogico. Per questo motivo è
potenzialmente più difficile identificare gli aggressori e comprenderne le motivazioni, le capacità e le
intenzioni a prima vista.
Va da sé, però, che nessuna attività criminosa è un atto isolato, ma si svolge in un certo tempo, in un
ambiente specifico, ed è sempre motivato da qualcosa che porta all’atto criminoso stesso.
Insomma, non c’è attacco senza contesto.
Questa circostanza è fondamentale per l’analisi di qualsiasi attacco e per individuare modelli e tendenze
che aiutano a identificare potenziali obiettivi futuri. Sebbene la valutazione degli aspetti tecnici di un
attacco sia essenziale, se si ignora il contesto più ampio, questa analisi può fornire solo una comprensione
parziale dell’attacco. Naturalmente, una disamina tecnica e raccomandazioni di mitigazione possono
portare a migliori e specifiche strumenti di tutela. Tuttavia, ignorando influenze più estese e diffuse, come
le circostanze geopolitiche o economiche, si potrebbero perdere tendenze e modelli volti a fornire
indicatori per potenziali obiettivi futuri. Comprendere esattamente il contesto di un attacco rafforza
qualsiasi raccomandazione tattica e strategica che sia fondamentale per le difese future e il successo
organizzativo.
Pertanto, è nella natura delle cose convincersi che un approccio olistico alle buone pratiche di contrasto e di
gestione del rischio sia essenziale per condurre analisi approfondite. Un approccio olistico include l’analisi
di come altre discipline, come la geopolitica, hanno un impatto sugli attori delle minacce, le loro
motivazioni, intenzioni e capacità. Inoltre, l’osservazione degli sviluppi geopolitici può dare un’idea delle
minacce emergenti.
Internet si è affermato come un’alternativa all’interazione e alle operazioni fisiche per diverse ragioni.
Innanzitutto, le campagne informatiche sono relativamente convenienti rispetto alle forze armate
convenzionali. Ad esempio, gli attacchi Distributed Denial of Service (DDoS)12, che sono un metodo di
attacco comune per gli stati-nazione, costano in media 350€ ($416) al giorno ma possono potenzialmente
causare impatti devastanti per l’entità bersaglio, come il costo di perdita di attività e interruzione dei servizi
essenziali. Inoltre, le campagne cyber possono essere lanciate rapidamente e quasi in tempo reale, a
differenza delle operazioni fisiche che possono richiedere lunghe fasi di preparazione.
I governi possono operare nel cyberspazio per prendere di mira gli avversari pur mantenendo una certa
negabilità allo stesso tempo. I gruppi Advanced Persistent Threat (APT)13 sponsorizzati dallo stato sono,
per definizione, altamente qualificati, quindi rilevare le loro operazioni e attribuirle a determinati stati può
essere difficile. Inoltre, i governi possono anche utilizzare il cyberspazio per condurre operazioni che
sembrano condotte da altri attori o siano in realtà nell’interesse di un altro stato, le cosiddette operazioni “
false flag”. Le operazioni sotto falsa bandiera possono consentire ai governi di spostare la colpa o punire
altri stati per le presunte operazioni. Ad esempio, nel 2018, una campagna di cyber sabotaggio ha preso di
mira le Olimpiadi invernali di PyeongChang con un malware chiamato OlympicDestroyer. Gli operatori
dietro la campagna hanno mascherato l’attacco in modo che apparisse come se il gruppo nordcoreano
Lazarus lo avesse lanciato impiegando tattiche usate frequentemente da Lazarus stesso. Diversi ricercatori
hanno inizialmente attribuito l’attacco alla Corea del Nord e solo dopo ulteriori analisi è diventato chiaro
che gli attacchi erano un’operazione sotto falsa bandiera. Le agenzie di intelligence statunitensi hanno
successivamente attribuito l’attacco a un gruppo sponsorizzato dallo stato russo, Sandworm14.
Il cyberspazio permette anche agli stati-nazione di condurre attacchi più sfumati contro gli avversari, a
seconda della gravità della situazione. Gli Stati possono condurre attacchi che rimangono sotto la soglia del
conflitto armato, quindi non abbastanza gravi da giustificare una ritorsione fisica, come definito dal diritto
internazionale. La legalità di quando gli stati-nazione possono usare le forze armate come ritorsione alla
provocazione è definita dallo jus ad bellum. Secondo la legge, la ritorsione è giustificata quando uno stato
minaccia l’integrità territoriale o la sovranità politica di un altro stato, mentre esistono quadri di riferimento
sul comportamento accettabile delle nazioni nel cyberspazio, il più comunemente noto è il Manuale di
Tallinn 2.0, non riconosciuti però a livello internazionale o legalmente vincolanti.
Allo stesso tempo, gli stati-nazione stanno usando il cyberspazio per perseguire i propri obiettivi. Poiché
Internet è utilizzato per trasferire e memorizzare informazioni altamente sensibili, trasmettere
comunicazioni essenziali, operare infrastrutture critiche e molto altro, è un obiettivo attraente per
promuovere vari mezzi, tra cui:

9.1 Target specifici
Nel peggiore dei casi, i cyberattacchi possono provocare distruzione e morte, ad esempio, quando gli attori
prendono di mira le infrastrutture critiche. Nel 2020, un attacco ransomware su un ospedale tedesco ha
contribuito indirettamente alla morte di una donna. La morte è avvenuta durante il trasferimento della
paziente in un altro ospedale dopo che l’ospedale compromesso non era in grado di ammettere nuovi
pazienti. I cyberattacchi ritorsivi e limitati accompagnano spesso le tensioni geopolitiche. Ci sono diversi
esempi per questo, come le operazioni attribuite ad attori informatici russi che prendono di mira obiettivi
ucraini o gruppi hacktivisti turchi e greci che rivendicano cyberattacchi sull’altro paese durante l’apice
delle tensioni tra loro nel 2020.

9.2 Spionaggio
Le nazioni stanno spesso utilizzando il cyberspazio per consentire lo spionaggio, compreso lo spionaggio
governativo, militare e industriale. La Germania, per esempio, ha sanzionato la Russia nel 2020 per un
presunto attacco di spionaggio informatico contro il parlamento tedesco nel 2015, che è stato attribuito ad
attori russi. In termini di spionaggio industriale, l’UE e gli Stati Uniti accusano continuamente la Cina di
utilizzare attori informatici sponsorizzati dallo stato per colpire le organizzazioni per ottenere illegalmente
la proprietà intellettuale, in particolare le organizzazioni che operano in settori industriali di interesse
cinese.

9.3 Ingenti ricavi
Il cyberspazio può anche rimanere l’unica opzione praticabile per gli stati per condurre operazioni se
economicamente e diplomaticamente isolati a causa di sanzioni. Per esempio, si ritiene che la Corea del
Nord utilizzi frequentemente gruppi informatici sponsorizzati dallo stato per condurre operazioni a scopo
di lucro, come prendere di mira gli scambi di criptovalute per finanziare le espansioni militari della Corea
del Nord. Inoltre, gli attori nordcoreani hanno riferito di condurre lo spionaggio industriale per promuovere
i propri obiettivi, così come per necessità, dato che sono ampiamente esclusi dalla cooperazione
internazionale. Recentemente, attori informatici collegati alla Corea del Nord hanno preso di mira i
produttori di vaccini COVID-19.

10. Buone pratiche di osservazione e prevenzione
Puoi anche leggere