"Stiamo entrando in un'era di operazioni di sabotaggio da parte della Russia." Una nuova strategia di guerra informatica.
- Sia la Russia che la Cina stanno cercando di ottenere l'accesso alle reti energetiche, di trasporto e di telecomunicazioni ben prima di un potenziale conflitto, avverte John Hultquist, analista capo del Google Threat Intelligence Group.
- Gli attacchi preventivi sono una nuova strategia di guerra informatica. Il sabotaggio può colpire catene logistiche, ferrovie o porti nel momento in cui si verifica una minaccia militare.
- La Russia ha iniziato a reclutare bambini in Europa per condurre attività di spionaggio per suo conto.
- Secondo la fonte della CSI, gruppi criminali sponsorizzati dallo Stato stanno già utilizzando malware basati su modelli linguistici. Il primo malware basato sull'intelligenza artificiale è già stato distribuito in Ucraina.
- Le questioni relative alla sicurezza informatica, comprese quelle relative alla guerra russa in Ucraina, sono state discusse durante le conferenze "New Industry Forum" e "Defense Industry" . Vi invitiamo a seguire le dirette dei dibattiti tenutisi in entrambi gli eventi.
In Polonia si è parlato molto delle minacce informatiche poste da attori legati alla Russia. Tuttavia, nell'agosto 2025, 23 agenzie di intelligence internazionali , tra cui una polacca, hanno rivelato una campagna con cui la Cina stava ottenendo l'accesso a infrastrutture critiche in tutto il mondo.
- Purtroppo, ci sono alcune limitazioni a ciò di cui possiamo parlare pubblicamente. Non posso rivelare nomi specifici, dati tecnici o organizzazioni che sono state attaccate, ma posso fornire una panoramica generale del meccanismo dell'attacco.
Ok, restiamo nei limiti di ciò che può essere rivelato.
Nel complesso, si trattava di una campagna molto interessante, mirata a un settore specifico: le reti di telecomunicazioni . Gli aggressori sfruttavano una profonda competenza e una conoscenza approfondita della tecnologia sottostante. Hanno sfruttato queste conoscenze per eludere il rilevamento e muoversi all'interno dei sistemi all'insaputa dei loro proprietari.
A cosa serve tutto questo?
"Probabilmente si trattava di monitorare i messaggi di testo dei politici negli Stati Uniti. In genere, l'obiettivo di tali attività è monitorare individui di importanza politica o strategica. Questo può essere fatto in vari modi: hackerando un computer, un telefono cellulare o accedendo alle infrastrutture di telecomunicazione e intercettando i messaggi trasmessi. La maggior parte del cyberspionaggio consiste nell'intercettare le conversazioni di individui importanti, utilizzando varie tecniche."
Quindi possiamo dire che inviare messaggi di testo non è sicuro per i politici e che dovrebbero usare altri sistemi di messaggistica?
"Non direi che sia intrinsecamente pericoloso, ma dobbiamo certamente essere consapevoli che tali messaggi sono un bersaglio per gli attori statali. Negli ultimi anni, abbiamo anche osservato che stanno iniziando a cercare altri canali di comunicazione per i politici."
Ad esempio, qualche anno fa in Moldavia, l'account Telegram di un politico è stato compromesso e le informazioni rubate sono trapelate online. Abbiamo assistito a tentativi molto simili durante le recenti elezioni in quel Paese. Gruppi legati alla Russia, in particolare, stanno tentando di intercettare le conversazioni su Signal. Sanno che lì avvengono molte conversazioni altamente riservate.
Dobbiamo difenderci oggi dagli attacchi che potrebbero far parte del prossimo conflitto.Sulla base delle osservazioni delle attività nel cyberspazio, possiamo dedurre che la Cina si stia preparando a operazioni di vasta portata? Prima dell'aggressione russa su vasta scala contro l'Ucraina nel 2022, abbiamo assistito a un'ondata di attacchi informatici. Possiamo quindi parlare di uno schema ricorrente?
"Poco prima dell'inizio dell'offensiva, si è verificato un attacco informatico ai servizi satellitari che fornivano comunicazioni al governo e all'esercito ucraino. L'attacco è stato breve, ma è stato effettuato proprio nel momento peggiore possibile, con conseguenze devastanti. Era certamente pianificato con largo anticipo."
Sebbene da tempo assistiamo a simili preparativi da parte della Russia, ora la Cina sta iniziando a fare lo stesso, anche per quanto riguarda le infrastrutture critiche negli Stati Uniti.
Al momento stiamo assistendo a un fenomeno che chiamiamo "digging in": ovvero l'accesso anticipato ai sistemi, molto prima che si verifichi un conflitto.
Di cosa hanno paura gli esperti americani dalla Cina?
"Quando ero nell'esercito, sono stato addestrato a trasportare equipaggiamento militare su rotaia. Noi non trasportiamo carri armati attraverso il Paese su camion: li carichiamo sui treni. Quindi, se qualcuno blocca ferrovie, porti o terminal logistici, potrebbe paralizzare temporaneamente la capacità degli Stati Uniti di rispondere rapidamente militarmente."
Ciò non significa che stiano pianificando un'azione militare immediata, ma vogliono essere preparati a qualsiasi eventualità. Se una guerra o un'altra aggressione è imminente, potrebbe essere troppo tardi per tentare di hackerare e controllare infrastrutture critiche.
Questo è un momento molto interessante per noi, perché in pratica stiamo combattendo una guerra in anticipo.
Dobbiamo difenderci oggi dagli attacchi che potrebbero far parte del prossimo conflitto?
"Sì, sta già accadendo, costantemente. Alcuni attori sono eccezionalmente efficaci in questo: l'FSB ha ripetutamente ottenuto l'accesso a infrastrutture critiche negli Stati Uniti e in Europa. Anche l'agenzia di intelligence militare russa (GRU) ha condotto attività simili. La buona notizia, tuttavia, è che in molti casi sono stati individuati e rimossi dai sistemi. Anche se, naturalmente, continuo a temere che abbiano ancora un accesso parziale in alcuni luoghi."
Cosa succederebbe se tale accesso venisse mantenuto?
Purtroppo, stiamo entrando in un'era di sistematiche operazioni di sabotaggio da parte della Russia . Sono certamente in corso azioni nel cyberspazio volte a distruggere le infrastrutture al momento opportuno. I russi utilizzano due di queste tecniche in Ucraina da anni.
Nel primo approccio, gli aggressori ottengono l'accesso al sistema elettrico o idrico e ne danneggiano i componenti in modo tale che il ripristino della piena funzionalità richieda molto tempo. Spesso scelgono un obiettivo in grado di innescare un effetto domino, ovvero di interrompere non solo un singolo sistema, ma anche molti processi correlati. Ad esempio, un attacco a una centrale elettrica non solo distrugge l'impianto stesso, ma mette fuori uso anche l'intera infrastruttura che da esso dipende.
E la seconda tecnica?
La seconda strategia consiste nell'attaccare la supply chain del software. Questa strategia sfrutta il funzionamento del software moderno: aggiornamenti costanti da repository centrali o produttori.
Gli hacker penetrano nell'azienda che fornisce gli aggiornamenti e sostituiscono il pacchetto legittimo con uno contenente il loro codice dannoso. Quando gli utenti scaricano l'aggiornamento, installano di fatto un trojan horse, che apre una via d'accesso ai loro sistemi. Se un attacco di questo tipo è sufficientemente diffuso, può portare alla distruzione di infrastrutture critiche, poiché il malware raggiunge migliaia di ambienti diversi contemporaneamente.
C'è un ultimo elemento molto interessante in tutto questo, che rende la questione ancora più complessa: i gruppi che utilizzano queste tecniche fanno tutto il possibile per nascondere il vero colpevole.
"Il caos diventa uno strumento per indebolire le istituzioni e le società"Cosa significa?
"La responsabilità degli attacchi viene spesso attribuita ad hacktivisti o criminali informatici. Il ransomware può essere lanciato camuffato da attacco a scopo di lucro. In realtà, tuttavia, non ha uno scopo finanziario, ma mira piuttosto a paralizzare il sistema. Russia e Iran, in particolare, stanno creando l'apparenza di attacchi criminali per nascondere azioni statali. Il loro obiettivo, tuttavia, non è danneggiare permanentemente i sistemi, ma intimidire il pubblico e minare la fiducia nelle istituzioni."
È una forma di attacco psicologico e informativo, mirato a spaventarci e dividerci. È molto efficace perché se tutti sanno chi c'è dietro l'attacco, l'effetto propaganda svanisce. Ma se la società discute su chi sia il colpevole, allora la fiducia nello Stato e nelle sue istituzioni diminuisce.
Una situazione simile si è verificata in Polonia dopo l'attacco dei droni.
"Certo, questo è un ottimo esempio. La Polonia ha subito due attacchi in quel periodo. Il primo è stato un'incursione fisica di droni sul suo territorio. Il secondo è stato un attacco di disinformazione, una campagna di menzogne sull'origine dei droni. Questo secondo elemento – caos informativo, accuse reciproche e indebolimento dei fatti – sta diventando uno strumento per indebolire le istituzioni e le società."
I cinesi stanno forse iniziando a usare gli stessi metodi dei russi?
"La differenza è che la Russia ha già ripetutamente 'premuto il grilletto', il che significa che ha effettivamente lanciato attacchi informatici distruttivi. Tuttavia, siamo convinti che la Cina non solo stia prendendo piede nelle nostre infrastrutture, ma stia anche testando la possibilità di indebolire la nostra volontà di agire. Inoltre, la loro attività è di natura di intelligence: questo è il punto con cui abbiamo iniziato la nostra conversazione."
Quindi si tratta di raccogliere dati e analizzarli?
"Sì, come sempre nello spionaggio. A volte gli avversari lo fanno in modi sorprendentemente semplici, ad esempio inviando inviti a degustazioni di vini a politici e diplomatici. Questi messaggi sembrano del tutto innocenti: 'Degustazione di vini presso l'ambasciata greca a Berlino - clicca per confermare la partecipazione'. Ma quando il diplomatico clicca, il suo computer viene infettato."
Torniamo alle infrastrutture. Gli avversari attaccano le infrastrutture critiche esclusivamente dall'esterno? Oppure, come nello spionaggio classico, tentano anche di infiltrarsi fisicamente nell'organizzazione, impiegando il proprio personale?
- Esiste sempre la minaccia del cosiddetto accesso ravvicinato o minaccia interna, ovvero una situazione in cui qualcuno all'interno dell'organizzazione facilita l'accesso o svolge personalmente attività per conto di un paese straniero.
Uno dei segnali più inquietanti di questo tipo riguarda un caso recente nei Paesi Bassi , in cui l'intelligence russa avrebbe assunto bambini per avvicinarsi agli edifici e hackerare le reti Wi-Fi. I servizi segreti russi stanno assumendo sempre più spesso terze parti per svolgere vari compiti sul campo.
Prima lo facevano da soli, ora lo esternalizzano ad altri.
"È interessante notare che, nella stessa città, L'Aia, diversi anni fa, diversi membri di una squadra che attacca regolarmente la Polonia sono stati arrestati. Avevano un'antenna nella loro auto adattata per intercettare e hackerare le reti Wi-Fi degli edifici vicini. Il loro obiettivo era l'Istituto per la Proibizione delle Armi Chimiche (OPCW), che all'epoca stava indagando sull'avvelenamento di Skripal (un ufficiale dell'intelligence militare russa che agiva come doppio agente per i servizi segreti britannici - ndr). Il GRU voleva sapere quali fossero i risultati, quindi ha cercato di hackerare la rete Wi-Fi dell'edificio. Oggi non devono più farlo da soli: possono semplicemente assumere adolescenti online."
Ma come possiamo impedire che i bambini vengano reclutati dai russi o dai cinesi?
Sarà molto difficile. Vorrei sottolineare quanto sia difficile affrontare un'altra sfida simile, il cosiddetto problema dei lavoratori IT nordcoreani.
In cosa consiste?
Con il crescente spostamento del lavoro informatico da remoto, la Corea del Nord ha iniziato a inviare in massa i suoi specialisti IT a lavorare per aziende occidentali , principalmente negli Stati Uniti, ma sempre più anche in Europa. Li impiegano sotto false identità, spesso tramite intermediari (i cosiddetti facilitatori). In Tennessee, uno studente gestiva un'attività del genere dal suo dormitorio. Questo è un problema enorme e reale : molti di questi dipendenti hanno ottenuto l'accesso ai sistemi delle più grandi aziende del mondo. Non stiamo parlando di posizioni entry-level: lavorano come specialisti IT a pieno titolo, con accesso a risorse critiche.
Si sono già verificati casi di ricatto: quando questi dipendenti venivano licenziati, utilizzavano l'accesso ai sistemi per estorcere denaro o dati.
Come difendersi da tali attacchi?
"Lo scambio di informazioni da parte nostra è fondamentale. Oggi sappiamo molto su questi gruppi, spesso conoscendo anche i nomi degli individui coinvolti. Aggiorniamo costantemente le informazioni sulle tecniche e sui metodi operativi. Vogliamo condividere queste informazioni con i difensori polacchi, tra gli altri."
"Se ce l'abbiamo, i laboratori in Cina ci stanno lavorando"Hai anche capacità offensive in Google (Mandiant)?
- No, ci occupiamo esclusivamente di difesa e raccolta di informazioni. Le operazioni offensive sono di competenza degli stati, a volte di contractor che lavorano per i governi. Non è questo il nostro obiettivo o la nostra competenza.
Come vedi lo sviluppo futuro del cyberspazio?
Non ho ancora parlato di IA, ma ora devo farlo. C'è molto clamore intorno all'IA, ma secondo me è solo l'inizio. I nostri avversari usano l'IA da diversi anni ormai, il più delle volte per fabbricare immagini e testi. Ricordate il sito web ThisPersonDoesNotExist?
Certo. È stato utilizzato per generare foto di persone dall'aspetto naturale che in realtà non esistevano.
Appena una settimana dopo il suo debutto, abbiamo assistito al primo utilizzo da parte di avversari per creare falsi profili a scopo di ingegneria sociale e disinformazione. Sono molto rapidi nell'adottare le innovazioni tecnologiche.
Tuttavia, una vera svolta è arrivata negli ultimi mesi. Uno dei principali attori che hanno attaccato la Polonia, il gruppo APT28, è stato sorpreso a lanciare malware basati sull'intelligenza artificiale in Ucraina. È la prima volta che assistiamo a qualcosa di simile.
A cosa serviva esattamente l'intelligenza artificiale?
Dopo l'infezione, il malware ha avuto accesso all'LLM (curiosamente, quello cinese) tramite API per generare dinamicamente comandi operativi. Gli antivirus spesso rilevano schemi di comando statici; in questo caso, i comandi sono stati generati "in tempo reale", aggirando così il rilevamento. È come spostare tutti i componenti attraverso un gateway e assemblare l'arma dall'altro lato. Questo è stato il primo caso, e ne stanno emergendo altri. I malware basati sull'intelligenza artificiale diventeranno sempre più diffusi.
In quali altri ambiti l'IA aiuterà gli avversari?
"Penso che verrà utilizzato per individuare vulnerabilità nei sistemi. Abbiamo fatto qualcosa di simile in Google: il programma 'Big Sleep'. In condizioni controllate, abbiamo già individuato decine di vulnerabilità e le abbiamo corrette. E poiché disponiamo di questo, i laboratori di Mosca e Pechino ci stanno sicuramente lavorando. E non ho dubbi che ci arriveranno. E a quel punto la portata dello sfruttamento delle vulnerabilità zero-day salirà alle stelle."
La seconda tendenza sarà senza dubbio legata all'automazione degli attacchi di rete. Oggi, dopo aver preso piede nell'infrastruttura, gli avversari "pensano in modo subdolo": quali sono le mie opzioni, quali strumenti dovrei usare, dove sono le password, ecc. L'intelligenza artificiale può automatizzare tutto questo: selezionare un'opzione, avviare un progetto sul server successivo e andare avanti. Questa è una cattiva notizia.
E buono?
La buona notizia è che l'intelligenza artificiale sarà anche la risposta. Poiché le minacce sono autonome, anche le difese devono essere almeno parzialmente autonome.
Qualcosa di simile a una partita a scacchi giocata da due computer?
Sì, risolto immediatamente. Ci stiamo già lavorando, anche con gli agenti di supervisione, il cui ruolo è garantire che gli altri agenti non vengano dirottati. Il ritmo del cambiamento è frenetico, a volte è davvero difficile tenere il passo.
Chi sta “vincendo” oggi?
Fortunatamente, la maggior parte delle capacità si sta sviluppando nell'ecosistema tecnologico occidentale, quindi abbiamo un vantaggio. Ma se rallentiamo e perdiamo la concentrazione, perderemo questo vantaggio.
Supponiamo che tu sia il Primo Ministro della Polonia e che tu debba reagire entro il prossimo anno. Cosa fai?
Innanzitutto, è necessario definire un profilo di minaccia per il Paese in base alla cronologia degli incidenti e alle motivazioni dell'avversario. Quindi, è necessario stabilire le priorità di difesa in base a questo profilo. E, soprattutto, è necessario accettare che il profilo cambierà rapidamente, consentendo ai servizi (militari e di sicurezza) di adattarsi al nuovo profilo in modo proattivo, piuttosto che reattivo.
Altrimenti, ci troveremo a difenderci dalle minacce dell'IA con strumenti pre-IA, e questo finirà male.
wnp.pl
