Dominare lo spazio virtuale: la cyberwarfare come strumento della guerra ibrida di Putin

Parte 3
I CYBERCOMMANDOS DEL GRU

1. Introduzione
Nella seconda parte di questo studio abbiamo cercato di delineare il concetto russo di “guerra ibrida” (gibridnaya voyna) quale dimensione olistica di un confronto esistenziale con “l’Occidente collettivo”, prescindente dalla classica dicotomia guerra/pace.

Abbiamo anche evidenziato una serie di strategie operative in cui la guerra ibrida può essere scomposta, secondo la suddivisione indicata da Janis Berzins. Una di queste è il dominio del cyberspazio da acquisire sia mediante azioni cinetiche come hackeraggi e attacchi fisici alle infrastrutture da remoto (1), sia mediante azioni cognitive, quali disinformazione e propaganda.

Ambedue queste modalità vengono costantemente sfruttate da Mosca, che nei tre decenni successivi alla caduta dell’URSS ha sviluppato importanti capacità di influire sull’ambiente virtuale, cercandone i punti deboli e studiando l’Occidente molto di più di quanto l’Occidente non abbia studiato la Russia.

Con tale premessa, nei prossimi paragrafi proveremo a descrivere i concetti che applica e le risorse di cui dispone il GRU nella conduzione della cyberwarfare.

2. Definire l’ambiente
La cyberwarfare dunque, come parte della guerra ibrida. Ma cosa intendono esattamente i russi per cyberwarfare?

Dal loro punto di vista la guerra informatica è un concetto piuttosto vasto che include operazioni psicologiche, disinformazione, guerriglia elettronica ed attività informatiche vere e proprie sia cinetiche che cognitive, il tutto compreso nell’ambito della guerra informativa (informatsionnoye protivoborstvo). Tale concetto è stato esplorato in diversi documenti ufficiali tra il 2014 ed il 2016 (2) fino alla definizione ufficiale rilasciata dal MoD che descrive la guerra informativa come “un tipo di lotta in cui l’informazione funge da risorsa, mezzo e obiettivo [ed in cui] politica, economia e altri obiettivi vengono raggiunti distruggendo le informazioni della controparte e preservando le proprie“.

Questa lotta prevede sia azioni cinetiche come “la distruzione dell’informazione, delle reti e dei sistemi altrui“, sia cognitive, ovvero “l’impatto dell’informazione sulla popolazione e sul personale militare“. Alla definizione dei termini è seguita la fissazione dei confini del cyberspazio, che per i russi è un ambiente posto all’intersezione tra hardware, software, infrastrutture e contenuti: il tutto da proteggere come estensione dello spazio nazionale fisico adottando politiche omnicomprensive di sicurezza informatica (infosec classiche ma anche protezione cognitiva interna, ovvero censura e controllo del web) nonché armi informative in senso lato; tra queste sono incluse:

?Disinformazione
?Guerra Elettronica (EW)
?Disturbo alla navigazione (geoloc ecc)
?Psyops
?Distruzione reti fisiche/virtuali nemiche

Ecco quindi identificati un ambito operativo, degli obiettivi da colpire e viceversa da proteggere e delle armi da usare senza limiti di tempo, ovvero senza distinzione tra guerra e pace.

Obiettivo generale di questa dimensione del confronto che in Russia chiamano informatsionnaya sfera, è l’acquisizione di effetti strategici sull’avversario già a partire dal tempo di pace attraverso la neutralizzazione fisica e/o virtuale delle infrastrutture civili critiche del nemico: trasporti, energia, servizi finanziari ed architettura C5, la cui disabilitazione porterebbe uno stato al collasso senza necessità di intervento dell’hard power.

Ma quali sono le risorse che Mosca utilizza per combattere questa guerra sporca e silenziosa?

3. Definire le risorse
Come già detto nelle parte1 e parte2, la comunità russa di intelligence comprende due principali agenzie di impianto civile, FSB e SVR eredi dirette del KGB sovietico ed una di impianto militare GRU dipendente dal MoD. Dopodiché, nell’ambito della guerra informativa si era aggiunta una quarta entità, vale a dire la IRA o Internet Research Agency, che fino al luglio 2023 faceva parte del network privato di Prigozhin e che da allora dovrebbe essere stata disciolta a seguito delle note vicende.

*La community russa di intelligence e relative cyberrisorse. Si noti come la fonte riporti il 6° Direttorato anziché il 12°*

Ciò premesso, anche in questa terza parte il nostro focus si limiterà alle risorse organizzate ed utilizzate dal GRU, che negli ultimi anni si sarebbe in parte sovrapposto allo FSB nello spazio ex-sovietico ed allo SVR in quello esterno: un rimescolamento non inusuale nella feroce competizione di spazi e risorse tra servizi russi, ulteriormente consolidato nel 2022 dalla débacle dello FSB in Ucraina.

La scalata del GRU nella community dell’intelligence russa avvenne a partire dal 1997 anche grazie all’assorbimento del GLAVPUR che gli aprì le porte del comparto psyops, disinfoprop, cyberwarfare ed influenza politica. Tale innesto ebbe come conseguenza l’attivazione del 12° Direttorato GRU, anche noto come Unità 45807, sotto al quale furono accorpate le capacità psyops e disinfoprop del disciolto GLAVPUR.

Uno dei primi risultati di questo inserimento del GRU, non si sa quanto gradito dagli altri servizi, sono state le operazioni contro l’Estonia nel 2007 e contro la Georgia nel 2008, ambedue le volte del tipo DDoS, che nel caso della Georgia disabilitarono fino a 12 giorni oltre 50 bersagli identificati. Seguirono poi diverse altre operazioni: di intrusione informatica in Ucraina (2014), USA (2016), Sud-Corea (2018) e di destabilizzazione diretta in Moldavia (2014) e Montenegro (2016).

*Organigramma del 12° Direttorato ©Molfar*

Secondo gli analisti di Molfar e Meduza il 12° Direttorato disponeva di una unità centrale di comando, coordinamento e controllo operativo denominata Tower, ovvero Unità 74455, che a sua volta gestiva sette sub-unità numerate individualmente: 61886, 51428, 61535, 26165, 54777, 29155 e 45055 che andremo ora ad esaminare:

? Unità 45807
Corrisponde al 12° Direttorato, ovvero uno dei 15 in cui è suddiviso il GRU. Basato a Mosca, presso il comando centrale GRU. Nel 2012 sarebbe stato riclassificato come Direzione.

?? Unità 74455 Bashnya (Tower)
Rappresenta il centro comando del 12° Direttorato anche noto come Centro principale tecnologie speciali (GTsST). Basato a Mosca è correlato al 4° Istituto Centrale di Ricerca Scientifica del Ministero della Difesa. Risponde agli ordini del col. Aleksandr Osadchuk, che avrebbe rimpiazzato il gen. Oleg Ivannikov responsabile dell’abbattimento in Donbas del volo malese MH17, di cui abbiamo parlato nella parte1. Secondo l’intelligence UK il reparto o possibilmente il suo dipartimento informatico è noto come Sandworm e VodooBear ed avrebbe cominciato ad operare nel 2009.

Si compone di crittografi, personale specializzato in psyops e tecnici informatici, con attenzione allo sviluppo di software e malware particolarmente aggressivi come NotPetya, KillDisk e Industroyer. Nella fattispecie la componente informatica sarebbe suddivisa in tre sottogruppi: Kamacite (intrusione), Electrum (DDoS) e Telebots (virus, malware). Tra gli obiettivi la pianificazione delle operazioni di hackeraggio delle risorse avversarie e di interferenza politica. Nel 2018 tre ufficiali del reparto sono stati inclusi tra i 12 inquisiti dalla Corte Distrettuale del US DoC per interferenza nelle elezioni USA 2016; nel 2020 altri sei ufficiali sono stati accusati di cyberattacchi al Comitato Olimpico e negli attacchi col virus NotPetya ad infrastrutture energetiche ed industriali ucraine nel 2017.

*L’unità 7455. La sede ed i suoi ufficiali inquisiti negli USA*

???Unità 61886
Reparto di radio-intelligence. Ospita al suo interno il 107° Centro Servizi Speciali. Dal reparto dipendeva l’ufficiale Vitaly Stanevka, dal 2020 distaccato in Svezia con passaporto diplomatico. Espulso come persona non grata nell’aprile 2022.

???Unità 51428
Reparto di radio-intelligence satellitare.Al suo interno contiene il 99° Centro Servizi Speciali di Zagoryansky presso Mosca

???Unità 61535
Basato a Mosca. Al suo interno contiene il 136° Centro Servizi Speciali, specializzato su ruoli di C5 per unità speciali.

???Unità 26165
Nucleo informatico attivo dagli anni 2000 specializzato nella creazione di malware e nella conduzione di attacchi informatici e di intrusione volti a carpire informazioni, già a partire dal 2004, nei sistemi militari e civili ucraini 2014, tedeschi 2015, USA 2016 e sudcoreani 2018. Basato a Mosca in Prospettiva Komsomolsky. Comandante col. Yuriy Shikolenko (da 09/22) che avrebbe rimpiazzato il col. Viktor Netyksho. L’unità, al cui interno opera l’85° Centro Servizi Speciali, focalizzato su crittografia e algoritmica, è suddivisa in due dipartimenti: operazioni e sviluppo & supporto, con quest’ultimo che avrebbe creato il cosiddetto X-Agent usato contro i server del partito democratico USA. Nel 2016 l’unità avrebbe effettuato un attacco contro la francese TV5 Monde, mascherata da gruppo hacker ISIS CyberCaliphate e nel 2017 avrebbe tentato di disturbare le elezioni presidenziali francesi. Sempre nel 2017, avrebbe tentato di carpire i dati di indagine relativi al volo malese MH17. Nel 2018 nove ufficiali del reparto sono tra i 12 inquisiti dalla Corte Distrettuale del DoC per interferenza nelle elezioni USA 2016, violando i server del partito democratico. (3) Secondo l’intelligence UK l’unità controlla il gruppo hacker Fancy Bear (APT28, Pawn Storm, Strontium), mentre il Robert Lansing Institute attribuisce al gruppo dei tentativi di effrazione a siti nucleari civili e petroliferi USA nel 2014-15, celati sotto l’identità di Energetic Bear e Dragonfly ed in parte attuati in collaborazione con Sandworm (74455). Per l’FBI le identità Energetic Bear e Dragonfly sono invece riconducibili allo FSB Unità 71330. (4)

???Unità 54777
Al suo interno contiene il 72° Centro Servizi Speciali, focalizzato su psyops e diffusione di fake news e dezinformatsiya nel cyberspazio. Di questa unità abbiamo parlato diffusamente nella parte2

???Unità 29155
Nucleo tattico non informatico al comando del gen. Oleg Kushnir, succeduto al gen. Andrey Averianov. Basato a Senezh, presso Mosca, nello stesso compound del K-SSO, il comando forze speciali del GRU (Unità 99450) di cui abbiamo parlato nella parte1 e dal quale la 29155 trarrebbe parte dei propri operatori. L’unità è infatti specializzata in sabotaggi fisici di strutture sensibili ed in targeted killings. Sarebbe responsabile degli attacchi ai depositi militari in Repubblica Ceca, nei tentati omicidi di Skripal in UK e Gebrev in Bulgaria e di tentativi di destabilizzazione in Moldavia, Montenegro e Catalogna (2017). Al suo interno contiene il 161° Centro Addestramento Speciale per la formazione di specialisti di intelligence informatica. Secondo Bellingcat, l’unità sarebbe coinvolta nella ricerca e sviluppo del Novichok ed avrebbe preso parte alle operazioni in Crimea nel 2014.

???Unità 45055
Basata a Mosca. Al suo interno contiene il 64° Centro Servizi Speciali, focalizzato in infowar militare verso paesi esteri.

4. Maskirovka
Un aspetto importante del modo di agire dei cybercommandos del GRU è quello della cosiddetta maskirovka, vale a dire l’utilizzo di false identità di gruppo per deviare l’attenzione politica su altri bersagli, ovvero per sfruttarne la popolarità in rete generando effetti psicologici. Tali identità sarebbero collegate a Tower, anche se non è del tutto chiaro in quali termini, potendo trattarsi in taluni casi di team civili di cybercriminali o hacker “patriottici”, assoldati su missione.Secondo la società di sicurezza informatica Mandiant, recentemente (12/9/22) acquisita da Google, a partire dal 2014 sono state identificate le seguenti identità:

?CyberBerkut
Gruppo affiliato al GRU, attivo circa dall’estate 2014, in concomitanza con l’insurrezione in Donbas. Responsabile del DDoS a siti istituzionali polacchi, ucraini e tedeschi pro-Maidan. Si sarebbero fatti passare inizialmente come hacker ucraini pro-Yanukovich ma le loro tracce informatiche porterebbero in Russia. Le loro azioni sono collegate a quelle dell’Unità 26165 FancyBear o ATP28 con modalità distruttive DDoS, sottrazione dati e cyber-spionaggio. Sono focalizzati su Ucraina, NATO e Germania. Una delle loro azioni è avvenuta il 16/3/14 giorno del cosiddetto referendum di Crimea, contro siti web pubblici della NATO. Avrebbe cessato le attività nel 2017. Secondo il Lansing Institute, sarebbe una risorsa esterna riconducibile allo FSB.

?CyberCaliphate
Nome adottato dalla Unità 26165 nel 2015 per rivendicare un attacco alla rete TV5 Monde attribuendone la responsabilità agli hacker dell’ISIS.

?Yemeni CyberArmy
Secondo Mandiant, nel 2015 il GRU avrebbe assunto l’identità di un gruppo hacktivista yemenita preesistente, noti per avere violato un archivio saudita collegato al ruolo di Ryadh nella guerra civile in Yemen.

? Guccipher 2.0
Identità assunta dal GRU nel 2016 nel contesto della violazione dei server DNC con successiva diffusione dei documenti elettorali del partito democratico USA. Guccipher, aka Marcel Lehel Laz?r è un hacker romeno, che al momento della violazione DNC si trovava in carcere.

? AnPoland
Identità assunta nel 2016 dal GRU per violare ed inabilitare i server della Agenzia mondiale antidoping (WADA) e della Corte arbitrale dello sport (CAS), sotto la falsa copertura di Anonymous Poland.

?Fancy Bear
Identità assunta dal GRU tra il 2016 ed il 2018 nel corso di una campagna di influenza e danneggiamento di organizzazioni collegate alle olimpiadi di Rio.

?CadetBlizzard
Gruppo attivo dal 2020 come DEV-0586 ma individuato a partire dal febbraio 2023, resosi responsabile di attacchi WhisperGate contro agenzie governative ucraine e fornitori di servizi IT a partire dal gennaio 2022, ovvero nell’imminenza dell’invasione. Utilizza modalità distruttive principalmente contro obiettivi legati alla sicurezza nazionale ucraina. Molto attivo tra febbraio e giugno 2022 e poi nuovamente da inizio 2023.

Ulteriori identità utilizzate dal GRU nel 2022 sono quelle di CyberArmyofRussia, Team XakNet, Infocenter e FreeCivilian; cosa che lascia intendere da parte del GRU una specie di esternalizzazione di incarichi a team di cybercriminali e hacktivisti, o meglio la loro cooptazione nei programmi di disturbo dell’agenzia.

Secondo gli analisti di Mandiant i cyberattacchi del GRU seguono un playbook basato sul basso rilevamento ed articolato in 5 fasi:

?predisporre gli accessi agli obiettivi da colpire sfruttando le vulnerabilità dei possibili ingressi via router, VPN, firewall e server di posta, garantendosi libertà di entrate ed uscite furtive;

? muoversi nell’ambiente violato attraverso le componenti del sistema operativo o altri software, effettuando ricognizioni, spostandosi tra i sistemi e rubando dati, senza rilasciare malware;

?forzare l’accesso ai Criteri di gruppo garantendosi un ingresso permanente occulto al cuore del sistema in vista del rilascio di malware;

?al momento prescelto rilasciare malware, ransomwre, wiper ed altri software distruttivi;

?rivendicare il proprio successo sulle reti web a prescindere dai risultati effettivi, amplificando la narrativa.

Nel periodo preso in esame da Mandiant, tra gennaio 2022 e maggio 2023 il solo GRU avrebbe effettuato 23 cyberattacchi contro l’Ucraina, prendendo di mira enti governativi, rete telefonica, istituzioni finanziarie, media, rete energetica e trasporti, utilizzando almeno una ventina di malware diversi, tutti progettati per essere distruttivi.

*Fasi, mappa e malware dei cyberattacchi contro l’Ucraina febbraio 22-maggio 23 ©Mandiant*

In tal senso va sottolineato come gli attacchi GRU abbiano quale obiettivo prevalente la disabilitazione dei target, diversamente da quelli attuati da SVR e FSB che sono invece tarati su modalità non-distruttive orientate all’intrusione per spionaggio a lungo termine e sottrazione dati in modalità furtive (acquisizioni di webcam, microfono e keylogging), come rappresentato in figura.

*Mappa dei cyberattacchi contro l’Ucraina nel febbraio-luglio 2022. Le identità UNC2589 e INVISIMOLE sono considerate risorse FSB* ©Trustwave

Anche per questa ragione gli attacchi distruttivi portati dal GRU tendono ad essere rivendicati dai loro autori nelle chat e nel dark web, mentre quelli di spionaggio, sono meno rilevabili e quindi di più difficile attribuzione.

Non per questo gli uni devono essere considerati meno pericolosi degli altri: semplicemente hanno una tempistica di insidia diversa a cui deve corrispondere una diversa reazione. Si tratta in ogni caso di armi nonché di una nuova dimensione della guerra che si aggiunge a quelle tradizionali.

5. Conclusioni
La cyberwarfare è diventata uno strumento essenziale dei conflitti moderni e le armi cibernetiche altrettanto indispensabili quanto quelle fisiche stante la crescente molteplicità dei sistemi collegati e delle interconnessioni tra di essi sul campo di battaglia, nonché tra questo e l’ambito civile.

La sempre più sofisticata architettura dei sistemi disponibili (trasmissione, ricezione, elaborazione, visualizzazione, intercettazione) se da un lato amplifica a dismisura le capacità di una forza armata, agendo come moltiplicatore di forze, dall’altro apre nuove finestre di vulnerabilità non sempre palesi ma rivelate solo al momento del danno, a favore di attori dotati di capacità e risorse: cosa che necessariamente porta ad ulteriori misure di protezione ed all’adozione di ulteriori sistemi che a loro volta amplificano la complessità dello scenario.

Secondariamente, in quanto non limitata da vincoli territoriali o temporali, la cyberwarfare è lo strumento ideale nel contesto della guerra ibrida, tanto nella dimensione pre-cinetica di non-pace/non-guerra, quanto nello scenario di guerra conclamata, tanto in termini di danno effettivo quanto di implicazioni psicologiche, tanto nella disinformazione, quanto nella propaganda.

È quindi naturale, con tali implicazioni, che la guerra cibernetica con tutti i suoi tools venga padroneggiata con sempre crescenti potenzialità ed efficacia da agenzie di intelligence dotate di risorse per l’implementazione di obiettivi sia tattici che strategici a breve, medio e lungo termine.

Note

(1) Si pensi all’attacco col virus Stuxnet del 2010 attuato in modalità inside threat, che riuscì a disabilitare migliaia di centrifughe per l’arricchimento dell’uranio della centrale nucleare iraniana di Natanz.
(2) Military doctrine (2014), National Security Strategy (2015), Foreign Policy Concept (2016), Information Security Doctrine (2016).
(3) L’attacco di APT28 contro i server del partito democratico USA sarebbe avvenuto in rimpiazzo al team APT29 dello FSB, che per un anno aveva tentato inutilmente di ottenere risultati.
(4) Una analisi sulla attribuzione di Energetic Bear allo FSB piuttosto che al GRU è questa

Link

https://arachnedigital.medium.com/cadet-blizzard-a-novel-russian-threat-actor-shaping-the-cyber-landscape-b146095bd3dd

https://www.baltictimes.com/estonian_security_agency_caught_person_recruited_by_russia_s_gru/

https://www.bellingcat.com/news/uk-and-europe/2020/10/23/russias-clandestine-chemical-weapons-programme-and-the-grus-unit-21955/

Ukrainian hacktivists acquired first-ever photo of the GRU hacker unit commander wanted by the FBI for meddling in the U.S. election

https://www.mandiant.com/resources/blog/gru-disruptive-playbook

https://meduza.io/en/feature/2018/09/23/yeah-it-s-the-gru-hq-so-what

https://molfar.com/en/blog/russian-psyop-and-hacking-attacks

https://www.reuters.com/article/us-ukraine-nato/nato-websites-hit-in-cyber-attack-linked-to-crimea-tension-idUSBREA2E0T320140316/

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/overview-of-the-cyber-weapons-used-in-the-ukraine-russia-war/

https://www.wsj.com/articles/russian-disinformation-campaign-aims-to-undermine-confidence-in-pfizer-other-covid-19-vaccines-u-s-officials-say-11615129200

Segnalibro