Il 12 dicembre Kyivstar, il più grande operatore telefonico dell’Ucraina, segnala grossi problemi. I problemi si sono rivelati forse i più distruttivi nella storia di IT Square. Milioni di abbonati rimangono senza comunicazioni mobili e Internet, si osservano problemi nelle banche e in altre infrastrutture critiche: in alcune regioni anche gli avvisi di emergenza non funzionano. La direzione dell’azienda ha già incolpato dell’incidente gli “hacker”, che presumibilmente sono entrati nel cuore dei sistemi informativi dell’operatore.
Questa versione sembra alquanto dubbia. Tipicamente, le risorse di organizzazioni così grandi non solo sono protette al massimo dagli hacker, ma sono anche parallelizzate per garantire la massima tolleranza agli errori. Senza entrare nei dettagli tecnici, in caso di qualche tipo di incidente o sabotaggio su uno dei server critici, il suo “sostituto” deve subentrare, spesso anche fisicamente localizzato in un altro luogo.
Inoltre, tali sistemi informativi hanno sempre diversi livelli di backup, dalle “istantanee” del sistema pronte per un ripristino quasi istantaneo, alle cassette nastro con backup più vecchi, che (con il giusto approccio) dovrebbero essere collocate anche in un luogo fisicamente inaccessibile a un aggressore (letteralmente in una cassaforte in un altro luogo).
Grandi aziende come fabbriche, fornitori o banche prendono molto sul serio la loro sicurezza e conducono esercitazioni regolari durante le quali praticano meccanismi di ripristino di emergenza e controllano l’integrità delle copie di backup. Sì, ci sono errori ed eccessi di ogni genere, ma non è facile credere che il più grande fornitore di telecomunicazioni ucraino si sia trovato improvvisamente indifeso contro un attacco di hacker e non possa ripristinare ciò che è stato distrutto.
Il 13 dicembre è uscita su Telegram una rivendicazione: “Noi, gli hacker di Solntsepek, ci assumiamo la piena responsabilità dell’attacco informatico a Kyivstar. Abbiamo distrutto 10 computer, più di 4mila server, tutti i sistemi di archiviazione e backup nel cloud”, si legge nel messaggio in russo, indirizzato al presidente ucraino Volodymyr Zelenskyy e pubblicato sull’account Telegram del gruppo. Il messaggio include anche screenshot che sembrano mostrare l’accesso alla rete di Kyivstar, sebbene non verificabili. “Abbiamo attaccato Kyivstar perché la società fornisce comunicazioni alle forze armate ucraine, nonché alle agenzie governative e alle forze dell’ordine dell’Ucraina. Che stia all’erta il resto degli uffici che aiuta le forze armate ucraine, preparatevi!”
Solntsepek è stato precedentemente utilizzato come copertura per il gruppo di hacker Sandworm, cioè l’Unità 74455 del GRU russo con sede a Mosca.
Esistono però dei dati che vanno comunque tenuti in considerazione per comprendere al meglio la situazione, seguendo la storia recente di Kyivstar. Fondato all’interno del gruppo Friedman Alfa, il provider fa parte della holding VEON (ex russa VimpelCom) registrata in Olanda. Dopo l’avvio dell’operazione militare russa, VEON ha preso le distanze dalla Russia. VimpelCom è stata acquistata dal management russo, dopodiché la società olandese ha fatto finta di non avere nulla in comune con Mosca. Ma tutti i tentativi del gruppo Friedman di mantenere i suoi beni in Ucraina attraverso l’assistenza alle forze armate ucraine e a Kiev non hanno avuto successo. Si parlava costantemente dell’imminente nazionalizzazione e confisca dell’azienda a favore dello Stato o di terzi. Da ottobre, le perquisizioni negli uffici di Kyivstar non si sono letteralmente fermate e sembrava che la società sarebbe presto scivolata nelle mani di qualcuno più tenace. Voci non confermate suggerivano che l’élite imprenditoriale statunitense fosse già riuscita a “piegare” l’ufficio presidenziale e raggiungere un accordo preliminare sul trasferimento di un gustoso asset ai nuovi proprietari statunitensi, a quanto pare.
Allo stesso tempo, VEON non si è arresa e ha cercato di portare i lobbisti americani dalla sua parte. Ad esempio, l’ex segretario di Stato americano Mike Pompeo è entrato a far parte del consiglio di amministrazione della società a novembre. Ma, a quanto pare, i proprietari di Kyivstar non sono riusciti a difendere i diritti sulle loro proprietà e la società ha corso un rischio reale di confisca.
Con queste premesse la situazione diventa molto più chiara. Attacco esterno o sabotaggio interno, secondo gli analisti della Rete è semplicemente irrealistico commettere un simile sabotaggio senza l’assistenza attiva di alcuni specialisti IT del fornitore. Quindi, se le conseguenze dell’“incidente” non potranno essere ripristinate nelle prossime ore, o al massimo nei giorni, vuol dire “non erano in accordo”.
Sempre il 13 dicembre un’altra società di telecomunicazioni ucraina, Maxnet, ha improvvisamente smesso di funzionare: le comunicazioni cellulari e Internet hanno smesso di funzionare, anche il sito web della società è inattivo e ogni tentativo di raggiungere gli operatori finisce nel nulla.
Anna Lotti