Chi e che cosa si nasconde nella periferia nord-est di Mosca? Niente di meno che il fiore all’occhiello dei “cyberwarriors” (o guerrieri cibernetici) di Vladimir Putin “Il Grande”. Un esercito di giovani talenti ben addestrati, determinati e motivati in grado di procurare danni gravissimi alle infrastrutture informatiche e di servizio pubblico “nemiche”, come centrali elettriche, reti ferroviarie e telematiche. Gli attacchi mirano in particolare alla violazione delle intranet e delle banche dati sia di apparati dello Stato che di grandi aziende pubbliche e private, con particolare riferimento alle strutture sanitarie e agli istituti bancari. La punta di diamante di questo schieramento invisibile prende il nome della Ntc “Vulkan”, le cui operazioni segrete erano state sin qui inviolabili. Finché qualcuno dall’interno non ha fatto arrivare alla stampa occidentale (volendo così emulare la “Wikileaks” islandese e controbilanciare i “Pentangon-files” odierni) documenti segretissimi, denominati “Vulkan-files”, che coprono un periodo di tempo compreso tra il 2016 e il 2021.
Tutto il materiale, probabilmente trafugato da un addetto ai lavori contrario alle operazioni russe in Ucraina, è stato consegnato alcuni giorni dopo l’invasione del 24 febbraio 2022 al quotidiano tedesco Süddeutsche Zeitung da una fonte coperta. Qualche tempo dopo la stessa fonte ha condiviso dati e altre informazioni con la start-up d’investigazione giornalistica Paper Trail Media. Da quel momento in poi, giornalisti qualificati di ben 11 testate internazionali (tra le quali si citano Guardian, Le Monde e Washington Post, di cui si riportano in coda al presente articolo i relativi riferimenti bibliografici) hanno esaminato attentamente i files, in stretta collaborazione con le citate Zeitung e Trail Media. Le informazioni contenute nei Vulkan-files sono poi state confermate, per la parte tecnica, da cinque agenzie di intelligence che li hanno ritenuti autentici.
In questi documenti top-secret vengono rivelate le attività degli ingegneri della Vulkan a favore dell’apparato militare e dei servizi di intelligence russi, a supporto delle loro operazioni di hackeraggio. In questo quadro si inserisce sia la formazione degli operatori nelle fasi preliminari all’attacco a infrastrutture nazionali di Paesi “nemici”, sia il sostegno alle campagne di disinformazione e al controllo settoriale di reti digitali nazionali degli Stati-bersaglio. Tra gli estratti dei Vulkan-files vengono citati esempi illustrativi dei potenziali bersagli, quali: mappe con indicazione di siti sensibili statunitensi; dettagli di una centrale nucleare in Svizzera; raccomandazioni al governo russo di avvalersi di strumenti informatici di hackeraggio sottratti illecitamente nel 2016 alla Nsa (National Security Agency) e pubblicati online. La conclusione di alcuni esperti che hanno revisionato il materiale in possesso del consorzio mediatico è chiara: la Russia, grazie al “cyberwarfare”, coltiva l’obiettivo strategico di inibire la volontà a combattere del nemico, colpendone le infrastrutture civili sensibili e manipolandone i social media. Tra gli “utenti” istituzionali della Vulkan figurano: l’Fsb, il servizio segreto interno; le divisioni operative e di intelligence militari del Gou e del Gru; l’organizzazione Svr dei servizi di intelligence russi all’estero.
In base alla documentazione acquisita, la piattaforma Vulkan per il “cyberwarfare” è stata utilizzata dal gruppo di hacker denominato Sandworm, ritenuto dagli Usa responsabile di numerosi, devastanti attacchi di cyberwar. Tra i principali, le fonti dell’intelligence statunitense annoverano due gravi blackout della rete elettrica ucraina nel 2015; il sabotaggio dei giochi olimpici in Corea del Sud; la manipolazione politica via social media; le numerose interferenze nei processi elettorali del 2016, in occasione dell’elezione di Donald Trump e, successivamente, nel 2017, con le presidenziali francesi vinte da Emmanuel Macron; il furto di e-mail e la diffusione in Rete di notizie riservate, come avvenne con le mail di Hillary Clinton utilizzando un bot (prodotto tipico dell’Artificial Intelligence che simula un finto profilo social).
Tra l’altro, proprio Sandworm ha lanciato il micidiale virus informatico NotPetya, uno dei più potenti ed economici malware della storia, noto con il nome in codice Scan-V (strumento altamente performante al servizio del Gru russo per assecondare le sue strategie offensive di cyberwar e cyberattacco), che passa al setaccio la rete internet alla ricerca di vulnerabilità, puntualmente memorizzate per eventuali, successivi e dirompenti cyber attacchi. È rimasto tristemente famoso quello condotto in grande stile da Sandworm attraverso NotPetya, partito da postazioni ucraine per infettare poi i computer di mezzo mondo, paralizzando aziende di trasporto, strutture ospedaliere, sistemi postali, industrie farmaceutiche. Nei files Vulkan viene rivelato in parte il software su cui si potrebbe basare la prossima offensiva di Sandworm, gruppo hacker noto all’interno dei servizi con il numero in codice 74455.
Un altro sistema, denominato Amezit rappresenta una sorta di “Grande Fratello” le cui attività vanno dalla sorveglianza e dalla manipolazione di Internet nelle regioni sotto il controllo russo, alla diffusione attraverso i social media di disinformazione e fake news. Proprio grazie ad Amezit, nelle zone occupate e controllate dai russi in Ucraina è possibile rimuovere preventivamente il traffico dati ritenuto politicamente dannoso, prima che venga diffuso in rete. Un documento di 387 pagine chiarisce bene il funzionamento di Amezit. In primo luogo, sta ai militari garantirsi l’accesso all’hardware delle torri di radiotrasmissione dati e wireless, per intercettare l’intero traffico della zona interessata. Dopo di che, grazie ad Amezit è possibile, nell’ordine: identificare tutti gli utenti che si collegano alla rete; monitorare le loro ricerche sul web; registrare le informazioni che i sorvegliati si scambiano con amici e familiari. I documenti mostrano operazioni di monitoraggio su larga scala da parte dell’Fsb, sia in Russia che nelle zone controllate, utilizzando l’analisi semantica per registrare i contenuti “ostili”, in modo da identificare potenziali oppositori del regime facendo ricorso all’open source. Per Mosca, terrorizzata dalla protesta di massa, il controllo di Internet rimane infatti un’arma strategica per mantenere l’ordine interno.
Un terzo sistema ideato da Vulkan noto come Crystal-2V rappresenta un efficiente programma di addestramento per cyber pirati, in cui si insegnano metodi per sabotare reti ferroviarie, idriche ed elettriche e infrastrutture aeroportuali. Fondatori e manager della Vulkan sono Anton Markov e Alexander Irzhavsky, entrambi laureati all’accademia militare di San Pietroburgo e militari di carriera, congedatisi con il grado, rispettivamente, di capitano e di maggiore. Dal 2010 la loro compagnia privata fa parte a tutti gli effetti del conglomerato militare russo, il cui mondo sotterraneo attraversa agenzie di spionaggio, società commerciali e istituti di alta formazione.
La Vulkan venne lanciata all’epoca in cui la Russia stava rapidamente espandendo le potenzialità della sua guerra ibrida e del cyberwarfare, sostanzialmente a supporto dell’Fsb, fino all’arrivo nel 2012 di Sergej Šojgu come ministro della Difesa, che ha preteso da Putin di avere alle sue dirette dipendenze una propria divisione di “cyber warriors”. In questa configurazione complessa della cyber intelligence russa, Vulkan rappresenta un veicolo multifunzione di hackeraggio (più simile quindi a una società della Silicon Valley che a un’Agenzia di spionaggio), al cui interno si rileva una certa mobilità (sistematico-strategica?) di specialisti ingegneri e programmatori da un settore all’altro. In pratica, per condurre a buon fine le proprie missioni segrete, gli apparati statali di sicurezza fanno proprio affidamento proprio sul bacino privilegiato di consulenza di società come la Vulkan, in quanto strutture private “agili”.
Si giustifica così il ruolo strategico della Vulkan che sin dal 2011 ha beneficiato di speciali autorizzazioni di Stato per poter lavorare su progetti militari classificati e documentazione top-secret. Dai dati trafugati contenuti nei Vulkan-files si desume che la società (grande come una Pmi di piccole-medie dimensioni) abbia uno staff di 160 dipendenti, di cui almeno 60 unità sarebbero costituite da esperti sviluppatori di software. Oltre alla Vulkan, si pensa che altri contractor privati siano titolari di simili licenze speciali per il sostegno esterno alle attività di intelligence, anche se il loro numero complessivo non dovrebbe superare la decina di unità. Per quanto riguarda la facciata “pubblica”, che pure coesiste con l’attività coperta, la Vulkan offre i propri servizi di information security ad aziende e colossi statali come Sberbank (la più grande banca russa d’affari), Aeroflot e Ferrovie di Stato. I salari sono alti e la selezione avviene tra i più brillanti laureati del Bauman Moscow State Technical University, che storicamente fornisce impiegati e funzionari al Ministero della Difesa russo. I processi di lavoro sono organizzati in modo da garantire una rigorosa compartimentazione e segretezza operativa, per cui lo staff non viene mai a conoscenza della compresenza dei dipartimenti coinvolti all’interno di un medesimo segmento del processo.
C’è una speranza di venire fuori da questo incubo russo della Hybrid War di Putin? Forse. E sono proprio gli ingegneri e i programmatori superdotati e iper-connessi globalmente che potrebbero fare la differenza, data la loro estrema confidenza con il mondo libero occidentale (senza la cui tecnologia informatica gli algoritmi di Vulkan e di Amezit non avrebbero mai visto la luce!), sabotando dall’interno un regime fobico e oppressivo come quello voluto da Zar Putin.
Bibliografia
The Guardian, 31 marzo 2023: “Vulkan files leak reveals Putin’s global and domestic cyberwarfare tactis”; “Cyberwarfare leaks show Russian army is adopting mindset of secret police”.
The Washington Post, 31 marzo 2023: “7 takeaways from the Vulkan Files investigation”; “Secret trove offers rare look into Russian cyberwar ambitions”.
Le Monde, 1 aprile 2023: “Dans les coulisses de Vulkan, la cyberarmurerie des services russes”; “Vulkan Files: ce que les documents internes de l’entreprise russe révèlent des obsessions du Kremlin pour le contrôle d’Internet”.
Aggiornato il 13 aprile 2023 alle ore 11:41
