Russia e Ucraina: schermaglie cyber impattano ferrovie e metropolitana

Il conflitto cyber fra Russia e Ucraina si sta giocando su piani molteplici. Campagne di spionaggio, attacchi distruttivi, InfoOps e operazioni hacktiviste compongono, soprattutto dal versante russo, un contesto di minacce che si ibridano per ottenere risultati più efficaci. Dal versante ucraino, che vanta apertamente la partecipazione dei semplici cittadini alla difesa cyber del Paese, vengono promosse perlopiù operazioni di sabotaggio e controffensiva, spesso giocate tra livello APT e dimensione hacktivista.

In queste dinamiche si collocano una serie di attacchi mirati a causare disservizi nei trasporti pubblici, che sono stati lanciati tra la fine di marzo e i primi giorni di aprile come reciproca rappresaglia.

Lunedì 24 marzo, un’offensiva su larga scala ha impattato l’operatore ferroviario Ukrzaliznytsia, interrompendone i servizi online, inclusa l’app mobile utilizzata per l’acquisto dei biglietti, senza però impattare l’operatività dei collegamenti. L’offensiva, attribuita a una probabile mano russa, è stata definita dalle Autorità ucraine “sistematica, complessa e multistrato”.

L’ipotesi degli analisti è che sia stata impiegata una minaccia sviluppata da un attaccante che avesse ben presenti le specifiche dell’infrastruttura presa di mira. Per il ripristino dei servizi sembra sia stato necessario ricorrere ai backup attraverso una delicata procedura di verifica e l’implementazione di misure di sicurezza aggiuntive.

L’impatto di qualsiasi operazione contro i collegamenti ferroviari in Ucraina si deve valutare tenendo conto del fatto che, dall’avvio della guerra, sono stati chiusi tutti gli aeroporti e che i treni sono utilizzati per evacuare civili e soldati feriti, fornire medicine alle zone in crisi e per l’esportazione di prodotti agricoli e minerari in Europa.

A distanza di una settimana esatta, è stata interrotta l’operatività sia del portale web che dell’app mobile della metropolitana di Mosca. Nel dettaglio, il sito è stato oggetto di un defacement con la visualizzazione di un messaggio che, eloquentemente, somigliava a quello visualizzato dagli utenti ucraini dopo l’attacco ad Ukrzaliznytsia. Inoltre, numerosi utenti hanno lamentato l’impossibilità di ricaricare le proprie tessere, sia da remoto che presso i validatori degli autobus e le biglietterie automatiche. Le Autorità locali hanno attribuito i disservizi ad una normale manutenzione tecnica.

Il 1° aprile, anche la società ferroviaria statale russa RZD ha subìto un attacco che ha temporaneamente interrotto il sito web e l’app. RZD ha confermato che i servizi online non erano disponibili a causa di un DDoS. Questa è almeno la seconda volta dall’inizio dell’anno che RZD deve far fronte a incursioni contro i propri servizi digitali. Nel caso precedente, un gruppo filoucraino avrebbe rivendicato un data breach da oltre 500.000 record al portale aziendale.

Le recenti rappresaglie fra Russia ed Ucraina sono le ultime di una lunga serie. Fra giugno e luglio 2023, le forze della controffensiva ucraina hanno violato una videoconferenza delle Ferrovie russe e lanciato DDoS contro RZD.

A dicembre dello stesso anno, il gruppo hacktivista KillNet e l’avversario Solntsepek, presumibilmente associato a Sandworm, hanno rivendicato indipendentemente l’uno dall’altro la compromissione della Telco Kyivstar in quello che è stato valutato il più imponente di tutti questi attacchi. L’offensiva contro Kyivstar sarebbe stata disposta come ritorsione verso le operazioni rivendicate dalla Defence Intelligence of Ukraine ai danni di Rosaviatsia, l’Agenzia Federale Russa per il Trasporto Aereo, e del Servizio Fiscale Federale russo (FTS).

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sui nostri servizi di Threat Intelligence