Cyber Attacco ad Aeroflot: L'AI e la Guerra Ibrida

Il mondo è in continua evoluzione, e con esso, anche le dinamiche dei conflitti. Le notizie che ci arrivano dal fronte cibernetico sono sempre più complesse e spesso, dietro a un attacco informatico, si nascondono strategie ben più articolate. L'ultimo episodio che ha scosso il settore aereo russo ne è la prova lampante.

Parliamo del cyber attacco che ha paralizzato Aeroflot, la compagnia aerea russa. Non è stato un semplice sabotaggio, ma un'operazione di guerra ibrida orchestrata con maestria dai gruppi filo-ucraini Silent Crow e Cyberpartisans BY. Un'azione durata un anno, basata sull'ingegneria sociale e sullo sfruttamento del fattore umano, più che su falle tecnologiche. Un vero e proprio "punto di svolta nella guerra cibernetica contemporanea", come ha commentato Pierluigi Paganini, analista di cybersecurity e CEO di Cybhorus, in un'intervista a Cybersecurity360 AI.

Quando il Fattore Umano Diventa la Vulnerabilità Maggiore

L'attacco a Aeroflot ha rivelato una serie di criticità che vanno ben oltre la semplice protezione informatica. L'incidente ha causato la cancellazione di oltre 50 voli, colpendo principalmente rotte interne e collegamenti con Bielorussia e Armenia. Il Cremlino ha definito la situazione preoccupante, e i pubblici ministeri hanno avviato un'indagine penale. Ma la vera sorpresa non è stata la sofisticazione tecnologica degli hacker, quanto la semplicità della loro strategia.

Pierluigi Paganini ha spiegato che non si è trattato solo di un sabotaggio riuscito, ma di un atto di guerra ibrida perfettamente orchestrata. La chiave del successo? Il fattore umano. È emerso che i sistemi critici di Aeroflot utilizzavano ancora Windows XP, un sistema operativo obsoleto di cui Microsoft non rilascia più patch da oltre un decennio. E come se non bastasse, il CEO della compagnia non cambiava la password da oltre tre anni. Questi dettagli, riportati da The Moscow Times, dipingono un quadro allarmante di scarsa consapevolezza e gestione superficiale della sicurezza informatica.

L'attacco ha avuto conseguenze devastanti: oltre 7.000 server interni compromessi e distrutti, 22 terabyte di dati sensibili esfiltrati e la cancellazione di backup. Il 28 luglio, ben 54 voli sono stati cancellati, provocando un crollo del 3,9% in Borsa per la compagnia aerea russa. Anton Gorelkin, un avvocato senior, ha sottolineato come la guerra sia combattuta su tutti i fronti, incluso quello digitale, e non ha escluso che gli 'hacktivisti' siano al servizio di Stati ostili. Un membro del parlamento, Anton Nemkin, ha aggiunto la necessità di identificare non solo gli autori, ma anche "coloro che hanno permesso fallimenti sistemici nella protezione".

La Guerra Liminale: Un Nuovo Scenario di Conflitto

Daniele Torre, CEO di Safecore.io, ha descritto l'attacco come "un'azione chirurgica, preparata per oltre un anno", definendola "cyber geopolitica dal basso". Si tratta di operazioni coordinate da gruppi non statali, mossi da motivazioni ideologiche e politiche, ma con "capacità da guerra digitale vera". L'esfiltrazione dei dati ha riguardato non solo la logistica di volo, ma anche lo storico dei voli, i dispositivi dei dipendenti (CEO incluso), le email aziendali, e dati provenienti da server di intercettazione e file confidenziali dei manager.

Gli attaccanti hanno persino pubblicato dettagli sull'infrastruttura critica di Aeroflot, evidenziando l'obsolescenza dei sistemi e la scarsa protezione. Sono stati compromessi 122 hypervisor, 43 ambienti ZVIRT (virtualizzazione russa), circa 100 interfacce iLO per gestire server fisici e 4 cluster Proxmox. L'accesso completo a migliaia di VM e a tutti i sistemi core, inclusi flight management (Crew, Sabre), ERP e CRM (Kasud, 1C, Sirax, SharePoint), Data Loss Prevention, sorveglianza e wiretapping, dimostra la profondità della violazione.

Nicola Iuvinale, Senior China Fellows presso Extrema Ratio, ha parlato di "guerra liminale", azioni condotte nella "zona grigia" tra pace e guerra, che sfruttano l'ambiguità per raggiungere obiettivi senza innescare un conflitto aperto. "Spionaggio, furto di dati e manipolazione dei sistemi di controllo delle reti strategiche nazionali (energia, acqua) sono tattiche chiave", ha affermato Iuvinale. "L'attacco ad Aeroflot sottolinea la vulnerabilità delle infrastrutture civili in un contesto di tensioni geopolitiche globali, dove il campo di battaglia si è esteso a ogni sistema interconnesso."

Le Implicazioni e il Futuro della Cybersecurity

Questo episodio ci rammenta, in modo duro, che la sicurezza informatica non è solo una questione tecnologica, ma un intreccio complesso di persone, processi e tecnologie. Non basta avere i sistemi più avanzati se la "prima linea di difesa" – l'utente – è vulnerabile a tecniche di social engineering. La pigrizia nel cambiare una password o la sottovalutazione dell'aggiornamento dei sistemi possono avere ripercussioni enormi, ben oltre il danno economico immediato.

In un'era dove la guerra ibrida è una realtà tangibile, le aziende e le istituzioni devono investire non solo in soluzioni tecnologiche all'avanguardia, ma anche e soprattutto nella formazione del personale e nella creazione di una cultura della sicurezza che permei ogni livello dell'organizzazione. Se un CEO non cambia la password per tre anni, il problema non è solo tecnico, ma strategico e culturale. Il futuro della cybersicurezza dipenderà sempre più dalla capacità di integrare intelligenza artificiale e sistemi avanzati con una robusta consapevolezza umana e procedure interne impeccabili. Solo così si potrà sperare di contrastare efficacemente le nuove forme di attacco che emergono nel panorama geopolitico globale.