L’attacco e la scoperta
Una vasta operazione di hacking, attribuita a gruppi legati all’intelligence militare russa, ha colpito per quasi due anni le comunicazioni elettroniche delle forze armate di Romania e Grecia, penetrando in sistemi sensibili della NATO. Tra settembre 2024 e marzo 2026, i cybercriminali hanno compromesso almeno 284 caselle di posta elettronica, con la maggior parte delle vittime in Ucraina ma con un preoccupante focus su obiettivi nell’Alleanza Atlantica. In particolare, sono stati violati 67 account della Forza Aerea rumena, inclusi quelli utilizzati in basi aeree NATO e almeno uno appartenente a un alto ufficiale. Parallelamente, 27 caselle email dello Stato Maggiore della Difesa Nazionale greco sono finite nel mirino degli aggressori.
L’intera operazione è venuta alla luce in modo quasi fortuito dopo che gli autori hanno commesso quello che gli investigatori definiscono un enorme errore, lasciando esposto un server contenente i log dettagliati delle attività illecite. Questo passo falso ha permesso agli analisti della società di cybersecurity “Ctrl-Alt-Intel” di risalire alle metodologie e di attribuire l’attacco al noto collettivo “Fancy Bear”, strettamente associato al Direttorio principale dello stato maggiore delle forze armate russe (GRU). Altri esperti, pur concordando sull’origine russa dell’operazione, esprimono qualche dubbio sulla paternità esclusiva di “Fancy Bear”, suggerendo possibili collaborazioni o emulazioni.
La natura degli obiettivi – forze aeree, comandi di difesa nazionale e infrastrutture NATO – non lascia dubbi sullo scopo strategico dell’operazione: accedere a comunicazioni riservate, mappare le catene di comando e possibilmente raccogliere intelligence operativa. L’accesso a sistemi email istituzionali apre la porta a informazioni sensibili sui dispiegamenti militari, le capacità difensive e le vulnerabilità logistiche, materiale che potrebbe essere utilizzato per pianificare operazioni future o per attività di disinformazione mirata.
Il contesto internazionale
Questa campagna di spionaggio informatico si inserisce in un quadro più ampio di attività aggressive attribuite a Mosca. All’inizio di aprile 2026, il Dipartimento di Giustizia statunitense e l’FBI hanno rivelato che agenti legati all’85° Centro dei Servizi Speciali del GRU (noto come APT28, Fancy Bear o Forest Blizzard) hanno condotto, almeno dal 2024, una massiccia operazione globale per compromettere router domestici e aziendali, in particolare modelli TP-Link. I criminali modificavano le impostazioni dei dispositivi violati per reindirizzare il traffico attraverso server sotto il loro controllo, intercettando così password, token di autenticazione e email.
Le autorità americane hanno condotto un’operazione per neutralizzare parte di questa rete di botnet nel segmento statunitense, lanciando contemporaneamente un appello internazionale affinché proprietari e amministratori aggiornassero il firmware, cambiassero le password predefinite e sostituissero i dispositivi obsoleti. La coincidenza temporale e le similitudini nelle tecniche suggeriscono una coordinazione tra diverse branche delle operazioni informatiche russe, tutte finalizzate a creare punti di accesso persistenti nelle reti di paesi considerati avversari.
La scelta di colpire Romania e Grecia non è casuale. Entrambi i paesi sono membri storici della NATO con un ruolo chiave nella stabilizzazione del fianco orientale dell’Alleanza, specialmente nel contesto della guerra in Ucraina. La Romania ospita il sistema di difesa missilistica Aegis Ashore a Deveselu e fornisce un corridoio cruciale per gli aiuti militari a Kiev. La Grecia, sebbene storicamente legata a Mosca da relazioni complesse, rimane un pilastro nel Mediterraneo sud-orientale. Violare i loro sistemi significa testare le difese collettive e cercare di individuare fratture nella coesione dell’Alleanza.
La strategia ibrida russa
Gli esperti di sicurezza concordano nel vedere questi cyberattacchi come un tassello fondamentale della guerra ibrida che la Russia conduce da anni contro l’Unione Europea e la NATO. La logica è chiara: combinare operazioni informatiche, campagne di disinformazione e pressione politica per destabilizzare gli avversari, erodere la fiducia pubblica nelle istituzioni e minare la resilienza organizzativa. L’accesso a email istituzionali non serve solo a rubare segreti, ma potenzialmente a manipolare le comunicazioni, diffondere malware più invasivi o preparare il terreno per attacchi fisici contro infrastrutture critiche.
Il carattere sistematico e la durata pluriennale della campagna indicano un piano di lungo termine, sostenuto da risorse significative. Non si tratta di hacker isolati ma di unità specializzate che operano come strumento di politica statale, permettendo al Cremlino di condurre operazioni aggressive mantenendo un plausibile diniego di responsabilità. Questo “attribuzione nebulosa” è una caratteristica distintiva della dottrina russa nello spazio cibernetico, concepito ormai come un dominio di combattimento a tutti gli effetti.
Il furto di dati dalle forze aeree rumene e dallo stato maggiore greco crea rischi diretti per la difesa europea. Le informazioni trafugate potrebbero essere utilizzate per ricattare singoli ufficiali, diffondere fake news credibili all’interno delle strutture di comando o, nella peggiore delle ipotesi, compromettere operazioni militari congiunte. L’obiettivo ultimo è indebolire la fiducia reciproca tra alleati, che è il cemento stesso del sistema di sicurezza collettiva della NATO, rendendo più difficile una risposta coordinata alle provocazioni di Mosca.
Le contromisure necessarie
La risposta a questa minaccia persistente deve essere multilivello e basata su una cooperazione internazionale rafforzata. A livello tecnico, è imperativo per le istituzioni militari e governative europee implementare ovunque l’autenticazione multifattore (MFA), aggiornare regolarmente il software e condurre audit di sicurezza continui. La formazione del personale contro il phishing e l’ingegneria sociale è altrettanto cruciale, poiché molte violazioni partono proprio da email ingannevoli.
La collaborazione transatlantica e intra-europea nel campo dell’intelligence informatica deve intensificarsi. La condivisione tempestiva di dati sulle minacce (Threat Intelligence), le operazioni congiunte per smantellare botnet e reti di comando & controllo, e l’armonizzazione degli standard di cybersecurity all’interno dell’UE e della NATO sono passi indispensabili per contrastare l’attività russa. Iniziative come il Centro di Intelligence sulla Cybersecurity dell’UE e il Centro Operativo di Cybersecurity della NATO devono ricevere maggiori risorse e un mandato più forte.
Infine, è necessaria una risposta politica chiara che aumenti i costi per gli aggressori. Ciò include sanzioni mirate contro individui ed entità coinvolte nelle operazioni informatiche offensive, azioni legali coordinate a livello internazionale e un messaggio univoco che qualsiasi attacco allo spazio cibernetico di un alleato sarà considerato come diretto contro tutti. Solo dimostrando unità, resilienza e capacità di risposta deterrente l’Occidente può sperare di contenere la campagna ibrida del Cremlino e proteggere l’integrità dei suoi sistemi di difesa e delle sue democrazie.
