LA RUSSIA È GIÀ IN GUERRA CON L’EUROPA: GLI ATTACCHI INFORMATICI RUSSI CONTRO I PAESI DELL’UE SONO ALL’ORDINE DEL GIORNO, E ORA FRANCIA, GERMANIA E REGNO UNITO REAGISCONO CON SANZIONI E PROTESTE DIPLOMATICHE
COME FUNZIONA LA “RETE” DI PUTIN? C’È UN “ECOSISTEMA” SPECIALIZZATO IN INTRUSIONI INFORMATICHE, DIRETTAMENTE AL SERVIZIO DELL’INTELLIGENCE RUSSA …TRA I GRUPPI PIÙ ATTIVI E SOFISTICATI C’È “TURLA”, CHE NEGLI ULTIMI VENT’ANNI HA COLPITO GOVERNI E AZIENDE DELLA DIFESA E REALTÀ DEL SETTORE ENERGETICO E FARMACEUTICO, IN TUTTO IL CONTINENTE. IL GRUPPO OPERA DIRETTAMENTE DA UNA STRUTTURA DELL’FSB, L’EX KGB
L’Europa cerca di fare fronte comune contro i tentativi di destabilizzazione della Russia. Bruxelles
e Londra hanno deciso di colpire insieme la rete di hacker e cybercriminali accusata di agire per conto del Cremlino, varando per la prima volta un pacchetto coordinato di sanzioni contro il 16° Centro dell’Fsb, il servizio di intelligence russo.
Un segnale politico che si accompagna alla convocazione degli ambasciatori russi da parte di Unione europea, Francia, Germania e Regno Unito. A sollevare il caso è stato il ministro degli Esteri francese Jean-Noël Barrot.
Sul piano economico, invece, il 21° pacchetto di sanzioni contro Mosca resta ancora in sospeso. I Ventisette non hanno trovato l’intesa anche se, ha assicurato l’Alta rappresentante Kaja Kallas al termine del Consiglio Affari esteri, «siamo molto vicini» a un accordo. […]
Per l’Unione gli attacchi informatici russi rappresentano ormai una minaccia strutturale alla sicurezza del continente. Nel mirino del 16° Centro dell’Fsb sarebbero finiti negli ultimi anni Francia, Germania, Polonia, Cipro, Paesi Bassi, Austria, Slovacchia, Romania e Finlandia. Bruxelles accusa il servizio segreto russo di dirigere una rete di gruppi hacker, tra cui Turla, considerato tra i più sofisticati e attivi al servizio del Cremlino.
Tra gli episodi contestati figura l’attacco contro le infrastrutture energetiche polacche dello scorso dicembre. In Francia il gruppo avrebbe condotto campagne di spionaggio informatico fin dal 2010 ai danni di amministrazioni pubbliche e nel 2025 dell’industria della difesa. Anche diversi enti governativi tedeschi sarebbero stati bersaglio delle intrusioni.
Per la prima volta, l’Ue ha indicato pubblicamente come responsabile della campagna il 16° Centro del Servizio federale di sicurezza russo, noto come Unità 71330, formalmente “Centro per l’intelligence radioelettronica tramite le comunicazioni”. Si tratta dell’erede diretto della 16ª Direzione del Kgb, che fino al 1991 si occupava di intelligence sui segnali (Sigint) e sicurezza delle comunicazioni governative.
Secondo l’Alta rappresentante Ue per la politica estera, Kaja Kallas, il 16° Centro coordina un vero e proprio «ecosistema» di gruppi di minaccia informatica, tra cui spicca Turla, conosciuto in ambito investigativo anche con i nomi di Venomous Bear, Snake, Krypton, Uroburos o Secret Blizzard.
Attivo almeno dal 2004, Turla è uno degli attori di cyberspionaggio più sofisticati e longevi al mondo: negli ultimi vent’anni è stato collegato ad attacchi contro oltre 50 Paesi, colpendo governi, ambasciate, aziende della difesa e realtà del settore energetico e farmaceutico. Il gruppo opera prevalentemente da una struttura dell’Fsb nella città di Ryazan, a Sud-est di Mosca.
Le tecniche di Turla comprendono “spear-phishing”, attacchi “watering hole” (compromissione di siti visitati dai bersagli), backdoor sofisticate e, in passato, persino la compromissione di connessioni satellitari. Il malware storicamente più noto del gruppo, Snake, era stato smantellato nel 2023 da un’operazione internazionale coordinata da Fbi e alleati, dopo quasi vent’anni di monitoraggio.
Oltre a Turla, l’Fsb avrebbe attivato anche altri strumenti: ufficiali del Gru (l’intelligence militare russa), operatori cyber, sedicenti movimenti “spontanei” di hacktivisti e società private accusate di fornire sostegno operativo o di copertura alle attività di destabilizzazione del Cremlino.
L’Italia non compare, benché Roma abbia denunciato altri attacchi di origine russa.
Turla e Berserk Bear fanno capo all’Fsb. Sandworm e APT28 dipendono invece dal Gru. Accanto a loro agisce una zona grigia di società informatiche, criminali e hacktivisti di facciata, utile a moltiplicare le risorse e a rendere incerto il confine tra criminalità e Stato.
La campagna informatica si inserisce così in un’offensiva più vasta: trasformatori ferroviari sabotati, fabbriche di droni sorvegliate, molotov, pacchi incendiari e dispositivi capaci di interferire con i comandi delle navi.
Nel mondo fisico Mosca utilizza uomini usa e getta, reclutati online e pagati su Telegram. Nel cyberspazio usa gruppi dai nomi mutevoli, server rubati e reti di computer compromessi. Il principio è identico: tenere il mandante lontano dall’attacco e costringere l’avversario a dimostrare ogni passaggio.
L’obiettivo non è solo distruggere, ma sapere in anticipo cosa pensano le cancellerie occidentali dell’Ucraina, quali armi saranno consegnate, quanto reggerà il sostegno a Kyiv. E intanto si dimostra di poter raggiungere la vita quotidiana degli europei, restando appena sotto la soglia che giustificherebbe una risposta militare della Nato.
È la grammatica della guerra ibrida: non ha bisogno di invadere per logorare. Le sanzioni difficilmente fermeranno Turla. Servono soprattutto a dare un nome al mandante e a sottrarre a Mosca parte della sua ambiguità.
Il dato più inquietante, però, non è quanti attacchi siano già riusciti, ma quanti accessi restino sconosciuti.
La Russia non ha bisogno di provocare subito un blackout.
Le basta dimostrare di poterne provocare uno. È la guerra prima della guerra, invisibile finché un impianto smette di rispondere, un treno si ferma, una città rimane al freddo. Per ora, l’Europa risponde con gli strumenti che ha, mentre a Ryazan, c’è da scommetterci, si continua a lavorare
(da agenzie)
Leave a Reply