Cadet Blizzard ed Ember Bear: così l'unità “segreta” russa ha colpito Nato e Ue

Recenti rapporti delle agenzie di intelligence occidentali rivelano che l'Unità 29155, una formazione delle forze speciali russe, è coinvolta in attacchi informatici mirati contro gli ucraini e le infrastrutture dei suoi alleati. Questi manovre si sono verificate sia in fase pre-conflitto che durante l'operazione speciale militare russa e sono attribuite al medesimo gruppo responsabile del tentato avvelenamento di Sergei Skripal e di sua figlia a Salisbury nel 2018.

Le analisi segnalano un significativo potenziamento delle operazioni informatiche da parte dell'Unità 29155, iniziato nel 2020 e documentato in una dichiarazione congiunta delle agenzie di intelligence di Regno Unito, Stati Uniti e di altri alleati. Tale intensificazione si inserisce in un contesto più ampio in cui i governi europei stanno implementando misure di sicurezza potenziate, in risposta a un “marcato aumento" delle attività di spionaggio da parte della Russia. Questo fenomeno è particolarmente accentuato a seguito dell'escalation del conflitto in Ucraina, che ha spinto le nazioni europee a rivedere le proprie strategie di difesa e cybersicurezza per fronteggiare le minacce emergenti.

I segnali di attacchi informatici rivolti a Kiev sono emersi prima dell'inizio del conflitto, e proprio per tale ragione recenti studi suggeriscono che l'unità russa ha esteso il suo raggio d'azione anche diverse nazioni europee. Secondo fonti autorevoli risulta, infatti, che un esperto di cyber warfare presso Chatham House, ha dichiarato che "informazioni recenti hanno rivelato un ampio spettro di obiettivi", comprendente agenzie governative e organizzazioni della società civile, sia nell'ambito dell'Unione Europea che della Nato.

I servizi segreti dei Paesi Bassi, della Repubblica Ceca, della Germania, dell'Estonia, della Lettonia, del Canada e dell'Australia hanno confermato che queste operazioni sono attribuibili a divisioni dell'Unità 29155 impegnate in missioni segrete classificate con i nomi in codice “Cadet Blizzard” ed “Ember Bear”. Questi gruppi, inoltre, sono stati associati alla campagna WhisperGate, che include attacchi mirati contro le istituzioni ucraine avvenuti già nel gennaio 2022, per "esplorare e interrompere" le linee di approvvigionamento di aiuti diretti a Kiev.

A cosa mirano?

Le operazioni hanno avuto come target infrastrutture critiche, agenzie statali e aziende operanti in settori strategici, tra cui finanza, trasporti, energia e sanità, estendendosi oltre i confini europei per includere anche aree in Asia e America Latina. L'analista ha sottolineato l'importanza di una consapevolezza pubblica elevata riguardo a queste attività, segnalando il pericolo che Mosca potrebbe condurre azioni di natura aggressiva. Inoltre, è stato evidenziato come le operazioni informatiche russe possano fungere da “preparazione per un attacco diretto agli alleati della Nato, con particolare attenzione alla raccolta di dati e al sabotaggio delle reti logistiche critiche in Europa”.

Le accuse degli Stati Uniti

Il dipartimento della Giustizia statunitense, da canto suo, ha recentemente accusato, sei hacker russi per la loro partecipazione ad operazioni di intrusione informatica e frode telematica. Di questi, cinque erano membri dell’Unità 29155 ed ufficiali del GRU, mentre il sesto era un civile già indagato, però, per reati simili.

L’analisi riferisce che i sospetti indicano che questi hacker hanno progettato attacchi mirati contro i sistemi governativi ucraini, con l'intento di reperire “dati sensibili, diffondere disinformazione e compromettere infrastrutture critiche”. Inizialmente, i bersagli erano non erano militari, ma le operazioni si sono rapidamente evolute, ampliando gli orizzonti ed estendendosi ai paesi che sostenevano Kiev, inclusi gli Stati Uniti e altre 26 nazioni della Nato.

Le destabilizzazione dell'Unità 29155 in Europa, Estonia e Paesi Bassi

Ulteriori rapporti suggeriscono che l'Unità 29155 sia coinvolta anche in operazioni d’interferenza politica in vari paesi europei, tra cui un tentativo di rovesciare il governo in Montenegro e una strategia di destabilizzazione in Moldavia. Queste affermazioni trovano supporto in analisi condotte da agenzie d’intelligence occidentali, come Europol e il National Intelligence Council degli Stati Uniti, che hanno segnalato la formazione di un'unità cibernetica all'interno del gruppo, per il quale si confermano operazioni informatiche dal 2020.

In Estonia, l'agenzia di sicurezza interna “Kapo” ha emesso ordini di arresto contro tre individui accusati di cyber-crimini. Queste manovre, da quanto si apprende, hanno mirato a compromettere la sicurezza nazionale e influenzare la stabilità del governo, evidenziando le crescenti minacce derivanti da operazioni di cyber warfare condotte da attori statali stranieri. Per tale ragione le autorità estoni ora stanno collaborando con agenzie internazionali, tra cui l'FBI e il GCHQ, per raccogliere prove e coordinare le indagini, sottolineando, nel contempo, l'importanza di una risposta collettiva alle minacce cibernetiche.

Infine, nei Paesi Bassi, l'Agenzia Militare di Intelligence (MIVD) ha segnalato che, sebbene il paese non abbia subito attacchi informatici diretti dall'Unità 29155, l'intera regione è considerata un obiettivo strategico. Secondo le valutazioni dei servizi segreti, le operazioni di questi cyber-soldati si focalizzano principalmente su governi occidentali e infrastrutture critiche, con l'obiettivo di ostacolare l'assistenza occidentale a Kiev.

L'analisi della MIVD precisa che queste tipologie di missioni possono comprendere attacchi di phishing, malware per infiltrarsi nelle reti governative e campagne di disinformazione mirate a minare la fiducia nelle istituzioni.

Tali tecniche, descritte nel rapporto "Cyber Threats to National Security" del Nato Cooperative Cyber Defence Centre of Excellence, hanno lo scopo non solo di compromettere l'efficienza delle forze armate, ma soprattutto quelle delle agenzie governative, contribuendo così a creare “un clima di forte incertezza generale”.