Hacktivismo 2.0: quando dietro “Anonymous” c’è uno Stato
Dietro il velo dell'hacktivismo si celano operazioni governative sofisticate. I nuovi hacker non sono semplici attivisti ma strumenti di guerra moderna. L'articolo Hacktivismo 2.0: quando dietro “Anonymous” c’è uno Stato è tratto da Futuro Prossimo.
Un serbatoio d’acqua che trabocca in Texas, servizi di news russi disattivati nel giorno del compleanno di Putin, strutture sanitarie italiane colpite da attacchi DDoS, incursioni nei sistemi di controllo industriale con malware specializzati. L’hacktivismo sembra tornato di moda, ma c’è qualcosa di profondamente diverso rispetto al passato. Quante volte ci siamo trovati a scorrere notizie di attacchi informatici attribuiti a gruppi di “attivisti digitali” filo-questo o filo-quello, immaginandoli come ribelli tecno-anarchici in lotta contro il sistema? La realtà che emerge dalle analisi degli esperti di sicurezza è un’altra, quasi il segreto di Pulcinella: dietro molte di queste operazioni si nascondono agenzie governative, intelligence militare e cyber-unità offensive ben organizzate. L’hacktivismo, in poche parole, è diventato la maschera perfetta per operazioni statali che non vogliono essere identificate come tali. Ma facciamo un piccolo passo indietro.
Hacktivismo, cos’è? L’hacktivismo è una forma di attivismo digitale che combina l’hacking con l’impegno sociale o politico. Gli hacktivisti usano tecniche informatiche, come attacchi ai siti web o la diffusione di informazioni, per sostenere cause come la libertà di informazione, i diritti umani o la trasparenza. Non mirano a guadagni economici, ma cercano di sensibilizzare l’opinione pubblica o protestare contro governi e aziende
Il volto nascosto dell’hacktivismo moderno
L’hacktivismo contemporaneo ha poco in comune con i “vandali digitali” degli anni ’90 e 2000. Non è più questione di defacciamenti di siti web o manifesti politici digitali. Gli esperti di sicurezza concordano su un punto: le tattiche, gli obiettivi e le tempistiche suggeriscono qualcosa di calcolato, ben connesso agli interessi degli stati nazionali.
All’inizio dell’anno, Dragos (società di cybersecurity specializzata in tecnologia operativa) ha rivelato che nell’aprile 2024 il gruppo filo-ucraino BlackJack ha compromesso un’organizzazione municipale di Mosca che gestisce il sistema di comunicazione per le reti di gas, acqua e fognature della città. Non si sono limitati a penetrare router e gateway, ma hanno implementato un malware specifico per sistemi di controllo industriale chiamato Fuxnet. Secondo Dragos, si tratta solo dell’ottavo malware ICS (Industrial Control System) conosciuto al mondo. Non esattamente il tipo di strumento che ci si aspetterebbe da attivisti improvvisati.
Le cose che stanno accadendo ora sotto le spoglie dell’hacktivismo (forse indipendenti, o forse sponsorizzate dagli stati, ma come minimo gli stati stanno intenzionalmente guardato dall’altra parte) sono gruppi altamente sofisticati che ora fanno cose distruttive.
Evan Dornbush, ex operatore di rete informatica della NSA, ha toccato un punto cruciale: questi non sono “semplici cittadini preoccupati che fanno il tifo per il loro paese”. Sono meccanismi deliberatamente utilizzati per fornire agli stati una plausibile negabilità.
La risorgenza dell’hacktivismo come strumento bellico
La “rinascita” dell’hacktivismo non coincide per caso con lo scoppio del conflitto in Ucraina nel 2022. La “fratellanza” degli hacker di lingua russa si è spaccata, e vari gruppi come Killnet, Anonymous Russia e Anonymous Sudan si sono schierati a sostegno degli interessi del Cremlino. Peraltro i primi attacchi, pur pesanti, non hanno avuto grande successo: principalmente DDoS (Distributed Denial of Service) di livello “fastidioso” contro i siti web pubblici delle infrastrutture critiche. Ma le cose sono cambiate rapidamente.
Come sottolinea John Hultquist, capo analista del gruppo di intelligence delle minacce di Google: “Una delle caratteristiche notevoli dell’hacktivismo: raramente riguarda l’impatto quanto la visibilità. Le affermazioni spesso superano la realtà”. Questo ovviamente non significa che gli attacchi hacktivisti abbiano impatto zero. L’impatto psicologico è reale e può intaccare la fiducia dei consumatori in un’azienda, in un’agenzia governativa o in processi critici come le elezioni.
La serie di tentativi del gruppo CyberArmyofRussia_Reborn1 di disturbare gli impianti idrici del Texas all’inizio del 2024 ha avuto esattamente questo tipo di impatto. Solo un’intrusione nota ha causato un malfunzionamento, portando al traboccamento di un serbatoio d’acqua. Non hanno avvelenato l’approvvigionamento idrico né impedito alle persone di aprire il rubinetto di casa e bere acqua pulita. Ma hanno superato una linea rossa.
L’accessibilità dell’hacktivismo
Non voglio mettervi in testa che tutti gli hacktivisti siano agenti governativi travestiti. Questi gruppi, e le loro motivazioni, coprono l’intero spettro. Inoltre, come spesso accade con molte cose nella vita, la tecnologia moderna semplifica il loro lavoro. Siti DDoS-for-hire (noti anche come booter o stressor), broker di accesso iniziale che vendono credenziali rubate utilizzabili da altri criminali per violare computer, e la più ampia mercificazione del cybercrimine abbassano le barriere all’ingresso per i malintenzionati che vogliono realizzare qualsiasi tipo di attacco informatico.
David Mound, senior penetration tester di SecurityScorecard, sottolinea che “le competenze variano tra i gruppi hacktivisti. Ma il vantaggio che hanno oggi è che ci sono servizi dark-web a noleggio, e possono essere abbastanza economici e accessibili anche per persone non tecniche”. Considerando che i criminali possono acquistare un attacco DDoS sul dark web per appena 10 dollari, “è finanziariamente accessibile, è tecnicamente accessibile. Il “business della cattiveria” sta diventando più facile”.
Gli Stati dietro la maschera
All’estremità opposta dello spettro ci sono gruppi di primo livello, sostenuti dai governi, che si spacciano per hacktivisti. Usano attacchi che attirano l’attenzione per colpire infrastrutture critiche o come cortina fumogena per lo spionaggio e altre attività cyber furtive. Hultquist è lapidario: “Ci sono hacktivisti che semplicemente non sono hacktivisti. Affermano di essere motivati dall’ideologia, ma in realtà stanno semplicemente eseguendo ordini.”
Già nel 2014 abbiamo assistito al famigerato hack di Sony Pictures Entertainment, durante il quale si sospetta fortemente che la Corea del Nord, fingendosi un gruppo hacktivista chiamato Guardians of Peace, abbia cancellato l’infrastruttura Sony e fatto trapelare informazioni.
Più recentemente, Google ha collegato Sandworm, il braccio cyber offensivo dell’unità di intelligence militare russa GRU, agli attacchi informatici contro impianti idrici statunitensi ed europei, insieme ad altre operazioni di disturbo in tempo di guerra. Ma hanno utilizzato personaggi hacktivisti su canali Telegram come XakNet Team, CyberArmyofRussia_Reborn1 e Solntsepek per pubblicizzare le attività illegali e condividere dati rubati, mascherandosi così come uno sforzo hacktivista indipendente. Anche la celeberrima “Anonymous”, che di per sé è un’etichetta buona solo per fare titoli di giornali, sembra sempre pronta ad attaccare obiettivi precisi, in momenti precisi, come mossa da una mano strategica. Occhio a fare il tifo.
Un futuro di minacce ibride
Alla fine del 2023, FBI, NSA, CISA e altre agenzie federali hanno accusato CyberAv3ngers, un gruppo affiliato al Corpo delle Guardie Rivoluzionarie Islamiche (IRGC), di aver violato “molteplici” sistemi idrici statunitensi in tutto il paese. E questo non ha richiesto molta sofisticazione da parte degli hacker. Secondo le autorità federali, il gruppo ha probabilmente violato gli impianti idrici statunitensi utilizzando password predefinite per i controllori logici programmabili accessibili da Internet.
Lo stesso gruppo, tuttavia, è stato successivamente individuato mentre utilizzava un malware personalizzato chiamato IOCONTROL per attaccare e controllare remotamente i sistemi di gestione dell’acqua e del carburante negli Stati Uniti e in Israele.
Mi colpisce quanto sia sottile la linea tra hacktivismo e operazioni governative. Non è più possibile distinguere chiaramente l’attivismo digitale dalle operazioni di intelligence. L’hacktivismo 2.0 è uno strumento di guerra ibrida, una maschera conveniente per operazioni che gli stati preferiscono non rivendicare direttamente. Il futuro della sicurezza informatica dovrà fare i conti con questa realtà: le minacce più pericolose alla sicurezza informatica potrebbero arrivare non da gruppi criminali tradizionali, ma da operatori statali che si nascondono dietro l’identità di “attivisti”.
Il vecchio hacktivismo è morto; auguro breve vita al nuovo hacktivismo, arma governativa che non ha il coraggio di dire il suo nome.
L'articolo Hacktivismo 2.0: quando dietro “Anonymous” c’è uno Stato è tratto da Futuro Prossimo.
