All’interno dell’escalation che sta portando l’Ucraina a diventare terreno di scontro con la Russia, la cyberwar è inevitabilmente uno dei campi di battaglia. Lo è stato già in passato, in particolare in occasione dell’attacco in Crimea, ma lo è soprattutto in queste ore concitate che hanno portato alla dichiarazione notturna di Vladimir Putin circa quella che definisce una “operazione speciale” in Donbass. In queste ore iniziano a trapelare maggiori dettagli circa il tipo di attacco che la Russia (pur negando ovviamente ogni addebito) sta portando avanti.
Gli attacchi DDoS, in particolare, sembrano essere diffusi, ma comunque al di sotto dei livelli registrati già qualche settimana fa quando si tentava evidentemente di preparare il terreno all’avanzata odierna. Molti siti governativi ucraini sono stati affondati proprio nelle ore in cui il Governo si riuniva per dichiarare lo stato di emergenza e per convocare i cittadini arruolabili a presentarsi all’esercito. Un messaggio, più che altro, per ostacolare le operazioni in atto e destabilizzare il flusso di informazioni tra Governo e cittadinanza.
HermeticWiper: non solo DDoS
Ma nelle ore successive è emerso qualcosa di ben più raffinato della sola prova di forza dei DDoS:
Breaking. #ESETResearch discovered a new data wiper malware used in Ukraine today. ESET telemetry shows that it was installed on hundreds of machines in the country. This follows the DDoS attacks against several Ukrainian websites earlier today 1/n
— ESET Research (@ESETresearch) February 23, 2022
Su centinaia di PC ucraini è stato trovato un nuovo malware, che i ricercatori ESET hanno battezzato come HermeticWiper: si tratterebbe di codice di nuova concezione, preparato da tempo e usato ora per creare danni ai sistemi sotto attacco. Si tratta infatti di un codice distruttivo, che sostituisce i file fermando i sistemi, per poi riavviare la macchina rendendola instabile e in molti casi non fruibile. Il malware sfrutta inoltre un certificato utile a farsi riconoscere come legittimo dal sistema, aggirando così blocchi preventivi, firmato dalla CHENGDU YIWO Tech Development Co. (gruppo a capo del software di data recovery EASUS). L’installazione del file Win32/KillDisk.NCV indica l’inizio delle attività del malware sul sistema.
The Wiper binary is signed using a code signing certificate issued to Hermetica Digital Ltd 3/n pic.twitter.com/sGCl3Lbqc1
— ESET Research (@ESETresearch) February 23, 2022
Non un attacco finalizzato alla raccolta di dati, insomma, ma un vero e proprio bombardamento digitale avente il solo fine di fermare l’attività del sistema colpito. In gennaio l’Ucraina aveva già dovuto affrontare la minaccia del precedente WhisperGate, ma in questo caso il codice sarebbe più raffinato ed efficace. Il codice sarebbe stato riscontrato, oltre che in Ucraina, anche in Lettonia e Lituania (ulteriore campanello di allarme per un attacco che per molti versi è ricollegato a nuovi afflati di Unione Sovietica ispirati da Putin nel proprio discorso alla nazione). Nel mirino vi sarebbero enti finanziari e contractor in collaborazione con il Governo locale.
Poche ore dopo la scoperta del malware, Putin ha lanciato la propria offensiva. La cosiddetta “operazione speciale” è teoricamente descritta come una gita di peacekeeping in Donbass, ma le esplosioni della notte e gli attacchi informatici lasciano immaginare qualcosa di ben più grave. La parola torna alle diplomazie.