Hacken era una fiorente azienda di sicurezza informatica, che metteva a frutto le capacità dei giovani hacker etici di talento ucraini per proteggere le reti del paese dalle minacce.
Poi è iniziata la guerra.
Durante la notte, l’azienda con sede a Kiev si è trasformata in uno dei gruppi di hacker più attivi dell’Ucraina, progettando armi informatiche e lanciando attacchi alle infrastrutture critiche russe nel tentativo di interrompere l’invasione dell’Ucraina da parte di Mosca.
“Abbiamo ingegneri IT ed esperti di sicurezza informatica molto forti. E tutti loro, in questo momento, sono uniti come mai prima d’ora”, ha affermato in un’intervista Dmytro Budorin, amministratore delegato di Hacken. “Questo sarà, di gran lunga, l’esercito informatico più forte del mondo”.
Hacken non è solo. I membri della comunità di sicurezza informatica dell’Ucraina si sono organizzati su canali di messaggistica privata per concepire e coordinare campagne progettate per mettere sotto pressione il sovrano russo Vladimir Putin, invogliare i russi comuni a ribellarsi alla guerra e far crollare alcuni dei servizi essenziali del paese.
Questi gruppi includono uno gestito da Yegor Aushev, che ha co-fondato Hacken e ora gestisce Cyber Unit Technologies, una società di sicurezza informatica ucraina. Aushev ha detto a Reuters di essere stato contattato dal ministero della Difesa ucraino nelle prime ore dell’invasione russa per organizzare squadre offensive e difensive di esperti informatici per supportare il Paese durante la guerra. Roman Zakharov, un altro dirigente IT coinvolto nell’organizzazione dei cyber volontari ucraini, ha descritto i gruppi come “uno sciame auto-organizzato” all’Associated Press all’inizio di questo mese.
Il governo del presidente Volodymyr Zelenskyy ha sostenuto e diretto lo sforzo. All’inizio del conflitto, il ministro del digitale ucraino Mykhailo Fedorov ha chiesto la creazione di un “esercito informatico”. Da allora, i funzionari del governo hanno istruito i cyber volontari sui gruppi di messaggistica sicura e hanno mostrato i loro successi su canali pubblici come l’ esercito informatico dell’Ucraina di Telegram .
“Funziona molto bene. Tutti comunicano. Tutti si coordinano”, ha detto Budorin a proposito dello sforzo. “Le persone che vogliono hackerare, che hanno delle abilità, vengono ad esempio da noi e capiamo cosa possono fare e diamo loro dei compiti. E parliamo con i funzionari e loro si coordinano [con] noi in termini di ciò che dovremmo essere facendo. Una volta che abbiamo i risultati, glielo riferiamo”.
Per l’Occidente, i collettivi di hacker ucraini rappresentano un paradosso oltre che una sfida unica. I gruppi in effetti sembrano e agiscono in modo molto simile agli attori loschi che operano fuori dalla Russia da anni, affliggendo i governi occidentali con qualsiasi cosa, dagli attacchi ransomware alle infrastrutture critiche allo spionaggio nelle reti governative.
La differenza è che questa volta i governi occidentali simpatizzano per la causa degli hacker.
Colpire Mosca
Hacken è stato lanciato nel 2017 come progetto volto ad attingere alla ricca vena di ingegneri informatici dell’Ucraina . Il settore tecnologico del paese sta crescendo del 25-30% all’anno e il numero di specialisti IT è raddoppiato negli ultimi tre anni, secondo un sondaggio del settore del 2021 .
In pochi anni Hacken ha trasformato lo spirito imprenditoriale e il giovane entusiasmo dei suoi dipendenti e della comunità di hacker in un business fiorente, offrendo servizi di consulenza come audit, test di penetrazione e modellazione delle minacce a clienti negli Stati Uniti, Canada, Germania, Cina e altrove.
“L’Ucraina era il cervello dell’Unione Sovietica… Il nostro vantaggio competitivo sono le nostre capacità matematiche”, ha detto Budorin a POLITICO in un’intervista nel 2019 presso gli uffici dell’azienda, allora situata in un grattacielo ipermoderno a Kiev chiamato Parus Business Center .
Per anni, Hacken ha creato un’immagine e un marchio che hanno giocato con la grinta della sicurezza informatica. Le sue sale riunioni erano dipinte di nero come la pece e i suoi dipendenti sfoggiavano felpe nere. Il suo merchandising includeva magliette con il suo logo – in ingannevoli lettere techno-font – e uno slogan che diceva: “Lasciami hackerarlo per te”.
Era un’azienda che non solo giocava con la reputazione di essere vicina alla clandestinità degli hacker, ma prosperava anche all’interno della comunità e della cultura IT ucraine, che per anni ha aiutato gli ingegneri a eccellere nella sicurezza informatica. Alcuni, se non molti, degli esperti di sicurezza informatica ucraini si sono dilettati nell’hacking in zone grigie e in attività illegali di criminalità informatica. Tra ottobre e gennaio , infatti, le autorità del paese, insieme alle agenzie dell’UE e degli Stati Uniti, hanno condotto una serie di arresti di bande di ransomware di alto profilo.
Quando i carri armati russi sono entrati in Ucraina il mese scorso, la comunità di ingegneri intorno a Hacken ha trovato un altro obiettivo per la sua attenzione: le infrastrutture di Mosca.
“Tutti stavano cercando l’opportunità di come possiamo aiutare in questa situazione. Il nostro ruolo era identificare come potevamo aiutare e dirigere l’energia del nostro team e della nostra comunità”, ha detto Budorin.
Hacken ha distribuito strumenti per indirizzare i siti Web russi con valanghe di traffico per renderli non disponibili. Ha riscritto il suo software disBalancer , inizialmente progettato per fermare tali attacchi DDoS (Distributed Denial-of-Service), e lo ha trasformato in uno strumento più potente e offensivo chiamato Liberator , che può essere utilizzato anche da altri per lanciare attacchi ai siti web russi.
Il gruppo ha anche lanciato attacchi ai siti Web di propaganda russa e ha scansionato le vulnerabilità delle applicazioni mobili popolari, cercando di assumere il controllo e diffondere messaggi che chiedono la fine della guerra e scoraggiando i russi dall’unirsi e sostenere le operazioni militari del loro paese.
“Il primo messaggio è rivolto alle madri”, ha detto Budorin, spiegando come Hacken abbia diffuso messaggi sfatando le narrazioni russe e costruendo un’opposizione popolare contro l’invasione, cercando di “spingere le persone a scendere in piazza e mostrare che il regime di Putin sta per fallire.”
Sia Hacken che la Cyber Unit Technologies di Aushev hanno anche lanciato programmi “bug bounty”, incoraggiando gli ingegneri a segnalare le vulnerabilità nei servizi digitali russi da trasmettere a cybercriminali esperti da utilizzare per abbattere l’infrastruttura.
Nel caso di Hacken, ha chiesto alla sua comunità di cercare problemi nei servizi tra cui telecomunicazioni, banche, aziende energetiche, società di trasporto e logistica e società di vendita al dettaglio. “Passeremo queste informazioni alle forze informatiche ucraine per l’esecuzione”, si legge nell’appello .
È difficile giudicare il successo della componente di gruppo dell ‘”esercito IT”, in parte perché rivendicare il successo nel compromettere le infrastrutture russe può far parte di una strategia per gettare alla sprovvista il comando militare di Mosca.
Gli attivisti informatici ucraini “attualmente creano il più alto ‘rumore’ nel cyberspazio attorno al conflitto, ma non sempre il danno più alto”, afferma un recente rapporto di Check Point. Alcune delle affermazioni di più alto profilo di hack di successo finora includono un dump di dati personali di 120.000 soldati russi e un hack dell’agenzia spaziale russa, qualcosa che la Russia ha negato sia accaduto .
Non tutti sono d’accordo con le tattiche dei gruppi.
“Quello che stanno facendo, essenzialmente, è [violare] tutto ciò che rappresentano i programmi di ricompense dei bug. I programmi di ricompense dei bug dovrebbero fare il contrario e fungere da canali per aiutare a correggere le vulnerabilità”, ha affermato Stefan Soesanto, ricercatore senior del Centro per gli studi sulla sicurezza all’ETH di Zurigo. “Non dovrebbero fornire vulnerabilità alle parti coinvolte in conflitti armati internazionali e non dovrebbero mai aiutare nessuno a prendere di mira le infrastrutture civili”.
Nessuna regola in tempo di guerra
Il perno di Hacken significa che l’azienda è diventata di fatto un’unità di hacking offensivo, che effettua attacchi informatici su obiettivi stranieri su istruzione del governo ucraino e persino a volontà.
“Questa non è una specie di protesta di base. È davvero un’operazione militare diretta”, ha detto Soesanto.
I gruppi di hacker ucraini sorti nelle ultime settimane assomigliano a gruppi sostenuti dallo stato o condonati dallo stato che operano da anni dal territorio russo. Quegli ampi e disordinati gruppi di hacker russi sono stati per anni la rovina dei governi occidentali, attaccando con ransomware settori critici come le aziende energetiche e le banche, conducendo campagne di disturbo alle elezioni nazionali e irrompendo nei sistemi dei governi per spiarli.
In risposta all’hacking con sede in Russia, diplomatici in Europa, negli Stati Uniti e nei paesi alleati hanno mantenuto una posizione chiara nei forum internazionali come le Nazioni Unite, il Consiglio d’Europa e altrove, chiedendo a Mosca di essere complice degli attacchi e consentendo a questi gruppi operare dal suo suolo. Gli ambasciatori della sicurezza informatica hanno spinto per tracciare linee rosse su tali operazioni offensive informatiche.
In generale, lo spionaggio informatico delle agenzie di intelligence è considerato un gioco leale, ma qualsiasi atto che interrompe le infrastrutture critiche di un paese, sabotando i governi, condonando la criminalità informatica o danneggiando i diritti fondamentali alla privacy e ai diritti umani è considerato off-limits da un rapporto ampiamente approvato dall’ONU nel 2015 .
Il problema ora è come l’Occidente reagisce alle palesi e sfacciate campagne informatiche dell’Ucraina contro le infrastrutture russe.
Secondo Heli Tiirmaa-Klaar, ex ambasciatore generale dell’Estonia per la diplomazia informatica, “dobbiamo distinguere molto chiaramente tra tempo di pace e tempo di guerra”.
In tempo di pace, “il diritto internazionale sta fissando limiti chiari. [Sta] dicendo cosa possono fare e cosa non possono fare i paesi”, ha detto Tiirmaa-Klaar questo mese a un pubblico online presso la business school ESMT di Berlino, dove ora insegna. “Ci sono diversi strumenti che si applicano al tempo di guerra… purché siano strettamente limitati a scopi militari e non danneggino le infrastrutture civili”, ha aggiunto.
I cyber gruppi di volontari ucraini stanno causando una certa preoccupazione in Europa per due ragioni principali. Il primo è che diventa molto difficile attribuire ufficialmente quali stati stanno conducendo quali operazioni quando tali gruppi sono diretti solo vagamente da funzionari statali. L’altro è che le azioni dell’Ucraina nel cyberspazio potrebbero indurre la Russia a scatenare i propri gruppi di hacker, anche mirandoli a obiettivi occidentali, un’escalation che, teme l’Europa, attirerà gli stati dell’UE e della NATO nel conflitto.
La configurazione di Hacken rende le sue stesse azioni ancora più rischiose. L’azienda ha la sua sede ufficiale a Tallinn, dove ha costituito un’entità legale nel 2017 , ma l’intero team, circa 50 persone, sta attualmente operando dalla Spagna per motivi di sicurezza, ha detto Budorin, il che significa che lo stato spagnolo sta permettendo a un gruppo di condurre attacchi informatici alla Russia dal suo territorio.
Questi collegamenti con i paesi dell’UE e della NATO sollevano ancora una volta la questione di ciò che l’Occidente è disposto a condonare dai gruppi di hacker ucraini nel conflitto armato.
Secondo Budorin, i guerrieri online ucraini si attengono a linee guida etiche per mantenere il controllo degli aspetti cyber-offensivi del loro lavoro e limitare la privacy dei dati e i rischi per la sicurezza per le potenziali vittime dei loro attacchi.
“Abbiamo tutte le procedure appropriate. Tutte le vulnerabilità e i bug che riceviamo, l’accesso ad essi è solo con noi e [con] le autorità competenti”, ha affermato. “Ma se parliamo di divulgazione responsabile, andiamo, siamo in guerra, stiamo difendendo il nostro paese. Facciamo quello che dobbiamo fare”.