Belarusian Cyber-Partisans e il Ransomware come strumento di guerra ibrida – by Marco Zaliani

Il 2022 è iniziato con un riacutizzarsi delle tensioni tra Russia e Ucraina. Tensioni iniziate nel 2014 con l’annessione della Crimea da parte della Russia e che, in questi giorni, stanno vivendo un nuovo impeto a seguito dell’ammassarsi di truppe russe proprio al confine tra i due stati. Se la giustificazione ufficiale data dai russi sono delle semplici esercitazioni militari, di certo la situazione è estremamente delicata e non mancano i contrasti tra la delegazione russa e quelle di alcuni paesi NATO che in questi giorni, a Parigi, stanno cercando una soluzione diplomatica per evitare un possibile confronto armato.[1] Accanto agli attori statuali, si sono inoltre mossi attori non-statali che sono ormai parte integrante del conflitto ibrido recente. Nello specifico, un gruppo di hacker attivisti bielorussi denominato “Belarusian Cyber-Partisans” ha affermato di aver violato le reti delle ferrovie nazionali bielorusse e di aver criptato la maggior parte dei server, dei database e delle workstation dell’azienda.[2] In aggiunta a ciò, hanno affermato di star distruggendo grandi quantità di dati senza però toccare i sistemi di sicurezza in modo tale da evitare incidenti.[3] Il gruppo ha poi affermato che era in possesso delle chiavi di criptazione (indispensabili per la decriptazione dei server) e che avrebbe restituito i sistemi delle ferrovie con la consueta operatività a seconda che due condizioni venissero rispettate:

  • Il rilascio immediato di 50 prigionieri politici che necessitano di cure mediche urgenti, da parte delle autorità bielorusse;
  • Il divieto assoluto di passaggio sul territorio della Bielorussia per le truppe russe che si stanno muovendo verso il confine ucraino.

Il gruppo non è nuovo ad attività simili. Già nel 2021, aveva compiuto numerose operazioni offensive contro il regime di Lukashenko per diffondere informazioni sulla corruzione, gli abusi e la repressione operata dal regime e dalla polizia.[4] La portavoce del gruppo, Yuliana Shemetovets, ha affermato, in relazione all’attacco alle ferrovie, che la motivazione risiede nel fatto che essi sono contrari alla presenza di soldati russi nel paese in quanto ne compromette la sovranità e rischia di trascinare la stessa Bielorussia in una guerra.[5]    
L’aspetto interessante di questo attacco è nell’uso di tecniche d’attacco Ransomware per scopi che non siano strettamente di guadagno economico tramite estorsione come accade abitualmente.[6] Questo tipo di malware, infatti, è solitamente caratterizzato dal fatto che chi attacca viola le reti del bersaglio per poi criptarle e chiedere un riscatto. Motivazioni che si discostano da quelle puramente economiche rappresentano uno cambiamento estremamente interessante nelle modalità di uso di questi strumenti. In uno scenario di guerra ibrida questo episodio potrà risultare un precedente importante di Ransomware sfruttati da attori non-statali per ricatti politici e per operazioni di contrasto in conflitti di più ampio respiro come quello russo-ucraino. [7]

[1] https://www.reuters.com/world/political-advisers-hold-four-way-talks-ukraine-paris-2022-01-22/

[2] https://www-zdnet-com.cdn.ampproject.org/c/s/www.zdnet.com/google-amp/article/belarusian-activists-launch-cyberattack-against-railway-in-protest-of-dictatorship-russian-troop-surge/

[3] https://www.bloomberg.com/news/articles/2022-01-24/hackers-say-they-breached-belarusian-rail-to-stop-russian-troops

[4] https://www.wired.it/internet/web/2021/08/30/bielorussia-hacker-governo-lukashenko/

[5] https://www-zdnet-com.cdn.ampproject.org/c/s/www.zdnet.com/google-amp/article/belarusian-activists-launch-cyberattack-against-railway-in-protest-of-dictatorship-russian-troop-surge/

[6] https://www.wired.com/story/belarus-railways-ransomware-hack-cyber-partisans/

[7] Ibidem