L’invasione dell’Ucraina e il futuro del dominio ‘cyber’ del campo di battaglia
|
C'è un passaggio, nel suo discorso di fine anno, in cui il presidente ucraino Volodymyr Zelensky riconosce che, in una guerra di resistenza, ogni cittadino è importante. Chi brandisce un'arma lo è quanto chi impugna il volante di un'automobile, il timone di una barca o di un aereo, un bisturi o tutte le persone che siedono dietro a un computer portatile. Il passaggio in questione è il seguente:
In guerra tutti sono importanti. Chi impugna un'arma, il volante di un'auto, il timone di una nave o di un aereo, un bisturi o un puntatore. Chi sta dietro a un computer portatile, chi guida una mietitrebbia o un treno. Chi si trova a un posto di blocco o a una centrale elettrica. Giornalisti e diplomatici, lavoratori dei servizi pubblici e soccorritori. Tutti. Chi lavora. Chi studia all'università o a scuola. E anche chi sta solo imparando a camminare. Tutto questo è per il loro bene. I nostri figli. La nostra gente.
Possiamo notare come la menzione di chi siede dietro a un computer portatile abbia una posizione di preminenza nel breve elenco di Zelensky. Questa non è una scelta casuale.
Quella che si combatte da quasi un anno nel cuore dell'Europa dell'Est può essere considerata come la prima guerra su larga scala combattuta nell'epoca contemporanea. Le tecnologie digitali e informatiche vi giocano perciò un ruolo di primo piano.
Un ruolo che è stato meno dibattuto e approfondito rispetto a quello giocato da alcuni sistemi d'arma più tradizionali che, nel corso di questi mesi, hanno goduto di una certa fama e visibilità come, per esempio, le armi anticarro portatili (Jawelin, NLAW), i sistemi di artiglieria (M777, HIMARS), i sistemi di difesa aerea (Gepard, NASAMS, Iris-T, Patriot) o i moderni carri armati da battaglia (Challenger, Leopard, Abrams).
Per spiegare questa asimmetria è utile ricorrere al concetto di "operazioni pentadimensionali", così come viene teorizzato da Charles Heal e Robert J. Bunker in Fifth dimensional operations.
Nella periodizzazione operata dai due autori, la diffusione delle tecnologie dell'informazione nelle società postmoderne introduce una quinta dimensione, la cosiddetta dimensione cyber, alle tradizionali dimensioni (durata, lunghezza, altezza e profondità) che determinavano la natura del campo di battaglia. Tale dimensione coesiste con lo spazio fisico, ma è da esso separata attraverso una barriera sensoriale.
Nel contesto del campo di battaglia, il cyberspazio rappresenta perciò tutto ciò che accade al di là dei sensi e l'obiettivo di ogni operazione condotta all'interno di questo dominio è quello di agire segretamente per rendere contigui due spazi separati, senza che il nemico sia consapevole di quanto sta accadendo.
In questa definizione rientrano perciò anche le due principali forme di guerra informatica che vengono individuate da John Arquila e David Ronfeldt in un saggio seminale pubblicato nel 1997, intitolato Cyberwar is coming! e contenuto in una collettanea pubblicata da RAND, In Athena’s camp. Preparing for conflict in the information age.
La raccolta analizza il modo in cui le trasformazioni prodotte dall'età dell'informazione determinano una serie di cambiamenti ed evoluzioni nella natura del campo di battaglia. È in questo contesto che Arquila e Ronfeldt propongono una tassonomia delle forme di guerra informatica che distingua tra netwar da una parte e cyberwar dall'altra.
Entrambe hanno a che vedere con la conoscenza ma differiscono tra loro perché la prima, la netwar, opera a livello della società attraverso forme di comunicazione connesse in rete, mentre la seconda, la cyberwar, opera a livello delle infrastrutture civili e militari. Entrambe sono state osservate all'opera nel corso dell'invasione dell'Ucraina e, oggi, a un anno di distanza dall'inizio del conflitto, ci sono elementi utili a valutarne l'efficacia in relazione agli obiettivi politici e militari di entrambi i paesi coinvolti.
L'obiettivo delle operazioni di netwar o information warfare, sostiene il colonnello Richard Szafranski in A Theory of information warfare, è disgregare, danneggiare o modificare ciò che la popolazione bersaglio sa o crede di sapere su se stessa e il mondo che la circonda. In questo modo una forza armata può fare pressione sull’avversario e costringerlo ad abbandonare il conflitto o a modificare la sua condotta bellica.
La capacità di condurre con efficacia operazioni di questo tipo da parte delle unità militari e di intelligence russe è un tema ampiamente trattato e dibattuto fin dal 2013. È allora che il generale russo Valery Gerasimov (attuale comandante in capo delle truppe russe in Ucraina) espone, in un articolo pubblicato sulla rivista Military-industrial kurier, i fondamenti di una dottrina della guerra contemporanea così peculiare da aver preso il suo nome. È perciò interessante osservare il modo in cui le forze armate ucraine hanno provato a operare su un terreno dove, almeno in apparenza, si trovavano ad affrontare un avversario più preparato ed esperto.
Al centro della strategia di netwar ucraina c'è infatti la cosiddetta IT Army, una piattaforma pubblica di crowdsourcing attorno a cui è stato possibile raccogliere una community IT internazionale, allo scopo di condurre operazioni di guerra informativa.
"Interagendo con la piattaforma" spiega a Valigia Blu un ingegnere informatico ucraino che ha partecipato per alcuni mesi ad azioni della IT Army (e che preferisce restare anonimo) "non si ha accesso soltanto agli strumenti informatici, tutti di facile utilizzo, necessari per condurre gli attacchi e salvaguardare la propria identità, ma anche ai canali Telegram dove vengono pubblicate le liste di obiettivi da colpire e le diverse tipologie di azioni da intraprendere."
Tra queste azioni ci sono attacchi DDoS contro servizi servizi come banche o assicurazioni; violazioni e defacciamenti di siti governativi o di media; invio di informazioni dirette alla popolazione nemica; e attivismo sulle reti sociali attraverso la condivisione di informazioni e contenuti relativi alla guerra, il sostegno a campagne rivolte all'opinione pubblica internazionale, il blocco e la segnalazione di account avversari.
Queste attività sono coordinate attraverso i canali riconducibili alla piattaforma ed eseguite quotidianamente da volontari. Pur non essendo inquadrati all'interno di unità dell'esercito regolare, i volontari partecipano ad azioni dal carattere militare.
Diverso è il discorso relativo alle operazioni di cyberwar che "sono condotte da team che operano con un maggior grado di segretezza e integrazione nelle strutture dell'esercito regolare" spiega la nostra fonte.
A oggi due sono le teorie principali del ruolo della cyberwar nei conflitti contemporanei. La prima teoria, detta "sostitutiva", pensa le operazioni cyber come in grado di degradare la capacità di difesa del nemico in tempo di pace, al punto da rendere inutili forme di intervento più evidenti e a rischio escalation. La seconda, detta "complementare", le pensa invece come una forma di ausilio alle operazioni dette “cinetiche”, ovvero svolte sui tradizionali domini del campo di battaglia. L'obiettivo diventa così sia minare che ostacolare la capacità di resistenza del nemico attraverso la manipolazione dell'informazione, l'indebolimento delle infrastrutture critiche e dei centri di comando e controllo.
Data la natura segreta e invisibile che caratterizza questo genere di dottrina non è facile ricostruire il modo in cui le operazioni di cyberwar sono state condotte nel corso dell'invasione dell'Ucraina. Una prima, parziale ricostruzione è stata tentata in un report curato dalla Microsoft digital security unit pubblicato il 27 aprile del 2022, che ha mappato in particolare l'attività offensiva dell'esercito russo.
Secondo gli analisti della società americana, nei primi mesi del conflitto sono stati osservati attori russi, statali e indipendenti, condurre operazioni distruttive e di spionaggio nel dominio cyber, come parte di uno sforzo bellico di scala più vasta.
Alcune delle intrusioni osservate sono avvenute in modo coordinato con attacchi cinetici condotti nei domini tradizionali del campo di battaglia. Gli analisti tuttavia sono sono stati in grado di capire se questi attacchi facciano parte di un unico disegno operativo o se si sia trattato di sforzi indipendenti, volti a raggiungere l'obiettivo comune della forza d'invasione.
Phishing e compromissione di server e IT provider sono alcune delle tecniche più utilizzate allo scopo di avere accesso ai sistemi ucraini al cui interno condurre operazioni distruttive, di sottrazione di dati o di persistenza con obiettivi di spionaggio e sabotaggio di infrastrutture critiche civili e militari.
Nel periodo analizzato, dal 24 febbraio all'8 aprile del 2022, sono stati documentati 40 attacchi di carattere distruttivo, il 40% di essi rivolto a infrastrutture critiche, mentre il 32% verso i sistemi delle istituzioni di governo locale.
Il numero degli attacchi distruttivi rivolti ai sistemi ucraini è aumentato in modo considerevole e osservabile nelle settimane precedenti l'invasione e gli obiettivi verso cui sono stati rivolti coerente con lo sforzo teso a distruggere la capacità ucraina di resistere all'invasione.
A conclusioni simili giunge un altro report, intitolato Cyber threat activity related to the Russian invasion of Ukraine e pubblicato dal Canadian center for cybersecurity.
Gli analisti canadesi evidenziano che l'attività di controspionaggio russo sia stata condotta anche contro soggetti in paesi appartenenti alla NATO e apertamente solidali con l'Ucraina. Sottolineano anche il fatto che, in aiuto del paese invaso, sono intervenute numerose aziende e network di attori privati. Reti e attori che, rispondendo all'appello del ministro della Trasformazione digitale Mykhailo Fedorov (mente e cuore della strategia di resistenza digitale ucraina), hanno supportato le forze armate ucraine nella difesa dei loro sistemi IT e delle loro infrastrutture ed effettuato operazioni contro diversi asset digitali russi, mostrando quanto, nel dominio cyber, i rapporti tra attori statali e privati siano necessari per dare vita a efficaci forme di difesa.
Ciononostante l'invasione dell'Ucraina non sembra aver confermato le ipotesi formulate nei due principali approcci teorici con cui la cyberwar è stata formulata nella dottrina militare contemporanea.
Questa almeno è l'opinione espressa da Nadiya Kostyuk ed Erik Gartzke in un articolo intitolato Why Cyber Dogs Have Yet to Bark Loudly in Russia’s Invasion of Ukraine. Secondo gli autori infatti, alla luce dei dati emersi nel corso dei primi mesi dell'invasione dell'Ucraina, tali teorizzazioni sembrano essere ancora molto lontane dal diventare realtà.
Nel caso della teoria "sostitutiva", perché i domini cyber e convenzionale oggi rispondono a obiettivi molto diversi e distanti tra loro. Nel caso della teoria "complementare", perché ottenere una coordinazione tra forze cyber e convenzionali è complesso, in quanto entrambe necessitano di fasi preparatorie con esigenze diverse e si manifestano in modi differenti tra loro.
A dispetto delle attese dunque, sia l'uso sostitutivo che quello complementare del dominio cyber nel corso dell'invasione dell'Ucraina non si sono palesati, ma è stato però possibile constatare un uso indiretto e complementare di tali operazioni soprattutto con l'obiettivo di influenzare lo spazio informativo avversario.
È perciò su questa dimensione, sostengono Kostyuk e Gartzke, che si concentrerà in futuro lo sviluppo delle operazioni condotte nel dominio cyber, perché esso, alla prova dei fatti, appare essere indipendente dai domini convenzionali sia a livello di obiettivi che nelle azioni necessarie ad attuarli. Può essere elaborato così un terzo approccio teorico alla relazione tra i domini convenzionali e quello cyber del campo di battaglia, che ne postula appunto l'indipendenza, poggiando su due pilastri.
Il primo è il ruolo della rete come facilitatore dei conflitti internazionali, dovuto alla combinazione di ubiquità delle sue infrastrutture, facilità ed economicità di accesso. Mentre il secondo è lo spostamento degli obiettivi dei conflitti dall'acquisizione di territorio a quella dell'informazione. Alla luce di questo approccio, in cui, oggi molto più che in passato, l'informazione è una delle fonti primarie del potere economico, politico e militare, le operazioni cyber si concentreranno sempre di più sul suo controllo e utilizzo come strumento per l'acquisizione di obiettivi politici.
Immagine in anteprima via nata.getarchive.net