Le elezioni americane si avvicinano sempre di più e per questo motivo anche le attività di interferenza, condotte da diversi gruppi di aggressori, si stanno modificando. Qualunque attacco volto a cambiare gli esiti del voto richiederebbe, visto che ormai siamo agli sgoccioli, un qualcosa di eclatante come ad esempio una campagna di “hack and leak” o una divulgazione di documenti creati ad-hoc. In caso contrario è probabile che gli attaccanti si concentrino su operazioni volte a minare la fiducia nelle istituzioni che potrebbero quindi essere avviate anche dopo le fasi di conteggio finale dei voti.
I pericoli per gli elettori Il rilascio di materiali trafugati e falsificati, ripuliti attraverso l’uso di persone o terze parti, e amplificati dai media e dai social media è una tattica che abbiamo visto essere stata ripetutamente utilizzata dagli avversari nel contesto delle elezioni e di altri eventi. L’attività di compromissione e la successiva fuga di notizie è stata utilizzata da attaccanti russi, nord coreani e altri ancora sconosciuti come mezzo per mettere in cattiva luce organizzazioni prese di mira.
I tempi delle attività di “hack and leak” possono variare. I preparativi a lungo termine possono lasciare il posto ad altre necessità specifiche. Ad esempio, Guccifer 2.0 è comparso all’improvviso sulla scia delle rivelazioni su APT28 e la compromissione del DNC, e allo stesso tempo c’è stato un allontanamento dal piano originario di rilasciare i materiali trafugati attraverso siti internet come ElectionLeaks e DCLeaks.
“Le tempistiche in questi casi possono anche essere dettate da quali terze parti vengono utilizzate per pubblicare i leak (i dati trafugati), infatti, le terze parti coinvolte potrebbero avere le proprie tempistiche e il rilascio dei leak potrebbe subire dei ritardi”, commenta Gabriele Zanoni, EMEA Solutions Architect di FireEye. “Un processo editoriale, per esempio, potrebbe essere di ostacolo per le tempistiche di pubblicazione, in altri casi invece abbiamo visto che gli aggressori hanno aspettato a pubblicare fino all’ultimo momento, come avvenuto nel caso dei MacronLeaks”.
Le terze parti e i personaggi coinvolti sono una vera e propria caratteristica nel contesto di queste operazioni. Anche se di rado il loro utilizzo ostacola la corretta attribuzione degli incidenti, queste terze parti forniscono una “copertura” adeguata che permette ai veri autori di mantenersi a distanza dagli avvenimenti. I personaggi fittizi, spesso creati o sfruttati in questi incidenti, includono ad esempio gruppi di attivisti non meglio precisati senza alcuna storia precedente e con ideologie confuse che vengono usate per cercare di spiegare le loro azioni. Inoltre FireEye rileva un numero sempre maggiore di attaccanti sfruttare il nome di Anonymous per nascondere le loro azioni, il nome di AnonymousPoland è stato utilizzato dai cyber aggressori del GRU per portare avanti un attacco particolarmente sofisticato contro le organizzazioni legate alle Olimpiadi.
Altre tipologie di terze parti che vengono sfruttate in questi casi includono i media, le organizzazioni che hanno come scopo quella di pubblicare i materiali trafugati e i personaggi politici più radicali. Anche se i principali media sono diventati più cauti su questi temi, le testate meno tradizionali e che godono di una forte base utenti nei social media sono ancora un mezzo potente per trasmettere queste informazioni agli elettori. In precedenti incidenti FireEye ha visto personaggi politici, con un numero significativo di follower sui social media, diffondere i documenti che avevano ricevuto dall’intelligence militare russa attraverso proprio i social media.
Gli avversari stanno già attaccando le possibili organizzazioni che potrebbero “fornire” loro materiali interessanti da poter trafugare e poi pubblicare. Anche se grazie a un lavoro eccezionale è stata rilevata una parte di questa attività, è possibile che altre intrusioni siano sfuggite all’attenzione generale.
C’è inoltre da dire che ci potrebbero essere casi in cui vengono creati ad-hoc dei documenti falsi per poi aggiungerli ai materiali di un leak. Inserire questi documenti all’interno di autentici materiali sottratti, rende il materiale contraffatto difficile da individuare. Questi documenti falsificati sono stati al centro di operazioni come “Secondary Infektion” e “Operation Ghostwriter”. Nelle ultime operazioni che l’azienda ha seguito, questi materiali falsi sono stati direttamente propagandati da certi media nel tentativo di avviarne una rapida divulgazione.
Indebolire le istituzioni alle elezioni
In definitiva, quasi tutte queste campagne di “information operation” minano la società, seminando diffidenza e facendo leva sulle spaccature preesistenti, in particolare le operazioni che mirano alla legittimità delle elezioni sono ben pianificate e spesso non correttamente interpretate.
“Queste operazioni possono già essere in corso ora e potranno durare più a lungo delle elezioni stesse. L’opportunità e l’utilità di attaccare le elezioni del 2020 potrebbe non terminare quindi per ancora diverso tempo, soprattutto date le circostanze uniche di quest’anno”, aggiunge Zanoni.
L’obiettivo degli attacchi ai sistemi di voto è stato spesso ritenuto un esempio di come si potrebbero apportare modifiche ai voti con lo scopo di cambiare direttamente l’esito delle elezioni. Tuttavia questo scenario richiederebbe un enorme sforzo su una moltitudine di sistemi. Uno scenario più probabile potrebbe essere invece un singolo incidente che però attiri l’attenzione su se stesso e sollevi interrogativi sull’integrità o sulla disponibilità dei sistemi usati per il voto. Nel 2014, l’APT28 ha ottenuto l’accesso a un sito web appartenente alla Central Election Commission dell’Ucraina e ha falsamente annunciato la vittoria di un certo candidato. L’intrusione non ha cambiato i risultati ma è stato difficile da ignorare. Avere come obiettivo questi sistemi è di per sé un mezzo di interferenza, in quanto solleva necessariamente interrogativi su azioni sconosciute compiute dall’avversario. Per esempio, anche se non ci sono prove che Sandworm, l’unità 74455 del GRU, abbia fatto qualcosa per cambiare i risultati delle elezioni quando hanno attaccato i sistemi elettorali nel 2016, anche solo sapere che questi sistemi sono stati presi di mira potrebbe essere sufficiente a minare la fiducia degli elettori.
Anche il ransomware è un mezzo di disturbo che potrebbe essere sfruttato per interferire con i processi elettorali. Finti ransomware, che non erano destinati quindi a un ritorno economico, sono stati utilizzato in diverse occasioni dal GRU. L’incidente NotPetya ne è un esempio. Questa tecnica garantisce una sufficiente “copertura”, soprattutto se si considerano i numerosi incidenti che le organizzazioni statali e municipali hanno già incontrato.
Per screditare la legittimità delle elezioni è possibile ricorrere ad azioni coordinate (anche se portate avanti da persone non “autentiche”), ad esempio prima ancora che i risultati delle elezioni fossero resi noti nel 2016, i blogger pro Cremlino avevano già preparato la campagna #DemocracyRIP: qualsiasi discrepanza o la poca chiarezza associata ai risultati sarebbe stata utilizzata come leva per screditare le elezioni.
Previsioni “Le circostanze di questa elezione offriranno un’opportunità unica per gli attaccanti di poter interferire”, conclude Zanoni. “Qualsiasi operazione infatti trarrebbe beneficio dal clima di sfiducia e di disaccordo su quanto è emerso nel 2016. Tuttavia ora le “information operation” non sono più così “oscure” come lo erano un tempo ed è diventato chiaro come riconoscere i loro meccanismi e ne conosciamo i loro stessi limiti, questo è quello che ci aiuta ad isolare i loro effetti”.
