Nota Generale. Per via della varieta di acronimi e titoli anche simili tra loro, i reparti informatici o strettamente correlati dello FSB sono stati evidenziati in rosso
1. Introduzione
Dopo il GRU e lo SVR è arrivato il turno dello FSB, Federal’naya Sluzhba Bezopasnosti, il servizio russo di sicurezza interna, principale successore del KGB sovietico dal quale ha ereditato anche il corpo guardie di frontiera che presidia i confini della Federazione Russa.
Compito principale dello FSB, da 20 anni guidato da Aleksandar Vasiljevič Bortnikov, è la protezione dello homefront rispetto a qualsiasi genere di minaccia ipotizzabile, compresa la raccolta di informazioni relativamente alla dissidenza interna, crimine organizzato, terrorismo e separatismo anche al di fuori dei confini russi (1).
Quella dello FSB è in effetti una “giurisdizione allargata” in quanto oltre al territorio russo comprende l’intero spazio ex-sovietico (Ucraina inclusa), che viene quindi considerato alla stregua di un “cortile di casa” (2). È allo FSB infatti che va attribuita buona parte di responsabilità nel fallimento iniziale in Ucraina, in particolare relativamente alla mancata neutralizzazione di Zelensky ed all’errata valutazione (non si sa se per superficialità oppure piaggeria verso Putin) circa le reali attitudini della popolazione ucraina nei confronti della Russia: fallimento che ha portato alla parziale epurazione del 5° Servizio di Sergei Beseda, responsabile sull’Ucraina, vale a dire il dipartimento affari esterni dello FSB incaricato, tra l’altro, di azioni dirette di destabilizzazione, sovversione ed omicidi mirati, fino alla realizzazione di colpi di stato nello spazio ex-sovietico.
 |
| Figura 1. La leadership FSB |
2. Organigramma generale
Abbiamo accennato al 5° Servizio denominato “Informazioni operative e comunicazioni internazionali”: ebbene, la struttura interna dello FSB comprende il direttorato centrale e nove servizi, oltre ad otto direttorati separati.
Relativamente ai servizi, che rappresentano le sub-divisioni operative dello FSB, risultano essere i seguenti (Figura 2):
🔹Direttorato Centrale. È il reparto comando di Bortnikov e contiene al suo interno diversi dipartimenti speciali, tra cui il 16° Centro intelligence elettronica. Sovrintende anche al famigerato carcere di Lefortovo.
🔹1° Servizio controspionaggio (SKR). Dal 2015 è agli ordini di Vladislav Menshchikov, nominato a rimpiazzo di Oleg Siromolotov. Contiene al suo interno il 18° Centro sicurezza informatica e delle informazioni (unità 64829).
🔹2° Servizio ordine costituzionale ed antiterrorismo (SZKSiBT). Da marzo 2006 è agli ordini di Alexey Sedov, noto alle cronache italiane. Contiene al suo interno il Centro Attività Speciali (TsSN) che dispone delle unità Spetsnaz Tier-1 Alpha e Vympel più o meno paragonabile alla Delta Force ed al Seal Team 6 americani.
🔹3° Servizio tecnico-scientifico, fino dicembre 2023 agli ordini di Eduard Chernovoltsev, poi dimissionato per uno scandalo e rimpiazzato da Mikhail Yuryevich Mikhailov. Contiene al suo interno l’8° Centro per la sicurezza delle informazioni, il 10° Centro Ricerche nonché l’11° Centro Equipaggiamenti Speciali.
🔹4° Servizio sicurezza economica (ZKS o SEB). Contiene, tra gli altri, un Direttorato “M”, anticorruzione e controspionaggio ministeriale (UVB). Fino al luglio 2016 era agli ordini di Yurij Yakovlev, rimpiazzato da Sergei Korolev (2016-2021). Questo servizio è il coltello puntato alla gola degli oligarchi russi e pare che nel 2010 sia stato spostato dal 4° Servizio al Direttorato Centrale, quindi sotto il diretto controllo di Bortnikov.
🔹5° Servizio informazioni operative e relazioni internazionali. È il reparto analisi e pianificazione strategica responsabile del fallimento in Ucraina dal 2005 al 2022 agli ordini di Sergei Beseda.
🔹6° Servizio organizzazione e personale (SOCR) dal 1999 al 2023 agli ordini di Evgenij Lovyrev. Rimpiazzato da Alexandr Kotov.
🔹7° Servizio di supporto amministrativo e audit.
🔹8° Servizio di frontiera comprendente il corpo delle Guardie di Frontiera.
🔹9° Servizio sicurezza interna, ovvero il controspionaggio interno all’FSB.Nelle righe seguenti prenderemo in esame i soli 1° Servizio e 3° Servizio nei quali sono concentrate le principali capacità informatiche dello FSB, riservandoci ad eventuali future occasioni l’analisi sugli altri servizi.
Nelle righe seguenti prenderemo in esame i soli 1° Servizio e 3° Servizio nei quali sono concentrate le principali capacità informatiche dello FSB, riservandoci ad eventuali future occasioni l’analisi sugli altri servizi.
 |
| Figura 2. Organigramma generale dello FSB |
3. Il Primo Servizio Controspionaggio
Il 1° Servizio controspionaggio (SKR), che deriva dal Secondo direttorato principale del KGB, è uno degli elementi portanti dello FSB ed al suo interno contiene diversi direttorati ed uffici tra cui un dipartimento controspionaggio militare (DVKR) incaricato di monitorare le forze armate, posto agli ordini di Nikolai Petrovich Yuryev ed identificato come unità 70850.
Compito istituzionale del 1° Servizio è il contrasto “classico” alle attività dei servizi segreti stranieri entro i confini della federazione russa, compreso il monitoraggio di giornalisti e media; all’interno del servizio, ad esempio, è presente un dipartimento DCO preposto a contrastare i servizi segreti avversari e specificatamente la CIA e il servizio britannico MI6.
Non solo: con il passare del tempo il 1° Servizio ha esteso le proprie attività alle operazioni informatiche all’estero ed al contrasto alla cybercriminalità russa, in questo appoggiato dal dipartimento K del Ministero Affari Interni.
Comandante del 1° Servizio è il primo vicedirettore FSB, nello specifico Vladislav Menshchikov nominato il 7/4/2015. Vice comandante è il maggiore generale Dmitry Viktorovich Minaev organizzatore, nel 2017, dell’omicidio di due alti ufficialii dell’intelligence ucraina SBU.
Di rilevante importanza, all’interno dell’attuale 1° Servizio, è il 18° Centro CIB, derivato dal precedente Direttorato per la Sicurezza Informatica e delle Informazioni, noto anche come UKIB.
1° Servizio. Organigramma generale
🔹Dipartimento operazioni di controspionaggio (DCO). Comandante, Alexander Vasilievich Zhomov.
🔹Direzione coordinamento e analisi attività di controspionaggio (UKAKD). Comandante, Aleksandr Petrovich Roshchupkin.
🔹Dipartimento supporto informativo per le attività investigative (UIOSA)
🔹Ufficio Eventi Speciali.
🔹Dipartimento controspionaggio militare (DVKR). Comandante generale Nikolay Petrovich Yuryev.
🔹Centro per la sicurezza informatica TSiB , con all’interno il 18° Centro CIB. Comandante Sergey Skorokhodov.
 |
| Figura 3. Diagramma evolutivo delle unità informatiche del 1° Servizio FSB |
4. Il Terzo Servizio Tecnico Scientifico
È la componente di ricerca, studio e sperimentazione dello FSB. Nei suoi centri e laboratori vengono progettate e testate tutte quelle soluzioni tecniche e dispositivi poi utilizzati durante le missioni. Contiene al suo interno diverse componenti, vale a dire:
🔹8° Centro per la sicurezza delle informazioni. Organismo inizialmente esterno allo FSB focalizzato sulla crittografia delle comunicazioni. Inizialmente esterno allo FSB, viene in seguito assorbito e messo in competizione con il Centro TsIB del 1° Servizio.
🔹10° Centro Ricerche (unità 35533) con il centro tecnologie speciali NII-1 (unità 34435).
🔹11° Centro Equipaggiamenti Speciali (unità 68240) di Vladimir Bogdanov, che a sua volta controlla un centro ricerca criminalistica (NII-2): quest’ultimo coinvolto negli avvelenamenti di Navalny e Kara-Murza.
🔹Direzione comunicazioni speciali. Organismo preposto alla sicurezza e monitoraggio della rete di telecomunicazioni interna FSB.
🔹Dipartimento organizzativo e analitico. Posto agli ordini di Dmitri Silantyev si occuperebbe della revisione delle procedure interne
🔹Centro studi e sviluppo. Dal 2012 agli ordini di Alexey Yuryevich Maruev, si occupa di elaborare modelli tecnici di risposta a scenari di crisi, ad esempio in materia di antiterrorismo ed eventi di massa, comprese simulazioni antisabotaggio e stress-test contro obiettivi statici e dinamici.
5. Direttorato Sicurezza Informatica del 1° Servizio
Nel corso del 1998, nell’ambito dello FSB, venne costituito un nuovo dipartimento denominato Upravlenie Kompyuternoy I Informatsionnoy Bezopasnosti, ovvero Direttorato per la sicurezza informatica e delle informazioni acronimizzato in UKIB: tale dipartimento fu sostanzialmente messo in competizione con la FAPSI, agenzia che nel 1991 aveva rilevato dal disciolto KGB il 16° dipartimento spionaggio elettronico e decrittazione, ribattezzato nell’ambito della FAPSI come 3° Direttorato GURRSS, (Glavnoye Upravlenie Radioelectronnoi Razvedki Na Setyah Svyazi) ossia Direzione principale dell’intelligence elettronica (SIGINT) nelle comunicazioni). Il 3° GURRSS e quindi la stessa FAPSI furono agli ordini di Vladislav Sherstyuk.
Il predominio della FAPSI nell’intelligence elettronica fu però intaccato dall’emergere dello FSB che nel 1998, sotto la direzione di Putin, procedette all’attivazione del sopramenzionato Direttorato UKIB.
La nascita dell’UKIB segnò l’inizio del declino della FAPSI, che l’11 marzo 2003 venne disciolta e smembrata tra gli altri servizi di sicurezza (SVR, FSO e FSB): allo FSB in particolare fu trasferito l’Intero GURRSS che venne quindi rinumerato 16° Servizio intelligenza elettronica ELINT (Unità 71330) (3) mentre lo stesso UKIB fu riconfigurato come centro TsIB ovvero Tsentr Informatsionnoy Bezopasnosti (Centro Sicurezza Informazioni) dal 2017 posto agli ordini di Sergey Skorokhodov e contenente al suo interno il 18° Centro CIB (unità 64829). Tutto questo processo è graficamente descritto nella Figura 3.
Centro Sicurezza informazioni TsIB del 1° Servizio
Si tratta del servizio preposto alla protezione tecnica delle reti informatiche, al monitoraggio e repressione delle attività clandestine, compresa la criminalità informatica ed alla raccolta di informazioni sul Web.
Un ulteriore compito dello TsIB è la censura informatica in collaborazione con l’agenzia federale Roskomnadzor attraverso il sistema di monitoraggio della rete SORM-3. All’uopo fin dal 2000 sui computer del Ministro della difesa e del Ministero affari interni sono stati installati sistemi di monitoraggio della rete internet.
Proprio per via del suo ruolo, lo TsIB si ritrova ad avere contatti con hacker e gruppi cybercriminali di varia natura: da qui la pratica frequente di reclutarli come collaboratori in alternativa alla galera.
Lo TsIB è stato per lungo tempo agli ordini di Andrey Gerasimov, poi rimpiazzato il 26/7/2017 a causa di una epurazione provocata dall’arresto per tradimento di alcuni dei suoi dipendenti, tra cui l’ex direttore del primo dipartimento TsIB Sergey Mikhailov ed il suo subordinato Dmitri Dokuchaev. Dopo tale rimpasto la posizione di Gerasimov sarebbe stata affidata al suo vice, Sergey Skorokhodov.
L’accusa di tradimento, a quanto pare sostenuta dal GRU, sarebbe stata quella di avere trasmesso informazioni ai servizi USA relativamente alle intrusioni dello stesso GRU nei server del Partito Democratico americano del 2016. Questo evento avrebbe causato un ridimensionamento del ruolo dello TsIB con attribuzione di talune delle sue funzioni all’8° Centro. Sarebbe invece sopravvissuta al ridimensionamento la parte più propriamente informatica dello TsIB, vale a dire il 18° Centro CIB, passato sotto il diretto controllo di Skorokhodov.
Secondo i dati disponibili, la configurazione interna dello TsIB risultava la seguente:
🔹Primo dipartimento operativa: si occupa essenzialmente del monitoraggio web e della censura e rimozione di materiali dalla rete. Dal 2017 opera agli ordini di Jahongir Yuldashev.
🔹Secondo dipartimento operativo. Posto agli ordini di Oleg Kashentsov.
🔹Direzione tecnologia dell’informazione (UIT). Posta agli ordini di Alexei Grachev, rimpiazzo di Dmitri Pravikov, coinvolto nell’epurazione.
Nei primi anni 2000 si delinea quindi l’assetto generale delle risorse di cyberintelligence dello FSB, poi implementate nel 2014 ed arrivato ai giorni nostri, che riassumiamo come segue (Figura 3):
Direttorato Centrale
– 16° Centro (ex GURRSS)
🔹🔹🔹Stazioni SIGINT
🔹🔹🔹Turla APT
1° Servizio
– 18° Centro CIB (ex UKIB) 64829
🔹🔹🔹Callisto Group APT
🔹🔹🔹Gamaredon (Blue Alpha) APT
3° Servizio Tecnico-Scientifico NTS
– 8° Centro (TsZI), ex-GUPS-FAPSI
🔹🔹CERT
– 10° Centro Ricerche
🔹🔹Istituto Ricerca NII-1
– 11° Centro Equipaggiamenti Speciali
🔹🔹Istituto Ricerca NII-2 criminalistica
 |
| Figura 4. Organigramma delle risorse informatiche dello FSB (bordatura rossa) suddivise per dipendenza gerarchica |
6. I nuclei informatici dello FSB
Dopo aver descritto la struttura che li contiene passiamo ora alla disamina dei nuclei informatici a disposizione dello FSB.
16° Centro
Originato dal 3° Direttorato GURRSS della FAPSI, diviene 16° Centro TsRRSS nel marzo 2003 e per lungo tempo risponde agli ordini di Sergei Buravlev, stretto sodale della prima ora di Sherstyuk, comandante della FAPSI.
A differenza del 18° Centro, collocato all’interno del 1° Servizio, il 16° Centro si troverebbe alle dirette dipendenze del Direttorato centrale e quindi a disposizione di Bortnikov, unitamente a diversi altri uffici e dipartimenti, sia specializzati, sia di natura più generale.
Col tempo il 16° Centro acquisisce una doppia identità operativa:
🔹da un lato mantiene le capacità SIGINT di intercettazione, decifratura ed elaborazione dei segnali elettronici attraverso diverse stazioni d’ascolto disseminate in prossimità delle frontiere NATO.
🔹Dall’altro lato, a partire dal 2010, introduce e consolida importanti capacità di intrusione informatica mediante appositi team di cyberincursori in grado di violare i sistemi avversari: in questo, assieme al 18° Centro, è uno dei due nuclei informatici offensivi a disposizione dello FSB, meglio conosciuto in Occidente come Berserk Bear, Dragonfly, Energetic Bear, Venoumous Bear ecc., vale a dire con i nomignoli dei team di volta in volta attori di minacce informatiche.
Altresì, secondo l’onomastica militare russa il 16° Centro è identificato come unità 71330.
Classificato come APT (Advanced Persistent Threat), il centro è ritenuto responsabile di numerose operazioni informatiche in Europa e Nordamerica mediante diversi metodi intrusivi analizzati anche dai Kaspersky Lab: tra questi le attività di phishing perpetrate tra il 2002 ed il 2017 ad oltre 3.300 funzionari di 500 aziende ed agenzie federali del comparto energetico americano, con conseguente emissione da parte dell’FBI nel 2021 di mandato di cattura contro tre ufficiali russi del 16° Centro ritenuti autori delle violazioni.
Oltre a ciò, sono attribuite al 16° Centro le campagne informatiche contro gli entourage di Navalny (2017) e Khodorkovskiy (2020), nonché lo sviluppo di malware come Snake largamente utilizzato per quasi 20 anni tra il 2004 ed il 2023 contro almeno 50 paesi.
 |
| Il mandato di cattura FBI contro i tre agenti hacker del 16° Centro |
Come sopra accennato il 16° Centro si serve di gruppi hacker, ma anche di imprese private hi-tech russe fornitrici di servizi, tra cui SyTech a sua volta violata nel 2019 da un gruppo hacker denominato 0v1ru$, con furto di 7,5 Tb di dati, poi diffusi al pubblico relativi ai progetti FSB commissionati alla stessa SyTech, compresa una raccolta dati sugli utenti dei social media e la deanonimizzazione del traffico TOR. SyTech, formalmente società privata è in realtà una emanazione dell’Istituto di Ricerca Kvant a suo tempo controllato dal KGB ed ora passato sotto l’egida FSB come laboratorio di sviluppo armi informatiche.
Un dettaglio importante: le attività del 16° Centro non sono di natura immediatamente distruttiva né puntano al sabotaggio fisico dei sistemi violati (acquedotti, reti elettriche, del gas, dei servizi, delle TL e trasporti, sanitarie ecc.), bensì di infiltrazione occulta e monitoraggio a lungo termine con l’intento di tracciare mappe dei sistemi e delle procedure avversarie e relative vulnerabilità: il tutto al fine di fornire quei dati, strumenti e capacità di interferenza ai decision-makers del Cremlino, necessari ad elaborare scenari applicabili in situazione di crisi.
18° Centro
A differenza del 16° Centro, focalizzato sulle intrusioni all’estero, il 18° Centro appare concentrato prevalentemente sul fronte del controspionaggio interno, comprese le operazioni offensive in territorio ucraino.
Per tale ragione il 18° Centro CIB, noto anche come Unità 64829, si trova all’interno del 1° Servizio ed avrebbe a disposizione almeno due team APT noti come Callisto e Gamaredon:
🔹 per quanto riguarda Callisto (aka Coldriver), si tratterebbe di un gruppo attivo dal 2015 nello spionaggio informatico ai danni di Europa Occidentale, Caucaso e Stati Uniti, nonché l’Ucraina da dopo l’invasione. In particolare, Callisto avrebbe preso di mira entità private collegate con il supporto all’Ucraina, oltre ad ONG ed istituzioni occidentali.
🔹 Per quanto riguarda Gamaredon, si tratterebbe di una APT identificata nel 2013 e rivelatasi particolarmente attiva a partire dalla fase propedeutica all’invasione dell’Ucraina. Fin dal 2021 infatti fonti ucraine indicano Sebastopoli come base di Gamaredon, da dove sarebbero partite campagne di spear-phishing e di infiltrazione attraverso vulnerabilità Zero-Days, attuate mediante tools informatici noti ma costantemente aggiornati, a conferma delle elevate capacità tecniche del gruppo. Nel solo 2022 Gamaredon avrebbe colpito l’Ucraina con ben 70 attacchi informatici oltre ad alcuni indirizzati contro la Lettonia (gennaio 2022).
Secondo gli analisti britannici il 18° Centro avrebbe perpetrato diverse operazioni ai danni di obiettivi nello UK sotto il nomignolo di Star Blizzard.
8° Centro
Si tratta di una unità informatica (TsZI) specializzata in crittografia e sicurezza delle comunicazioni, interna al Dipartimento Tecnico Scientifico NTS e posta agli ordini di Andrei Ivashko, che si dice sia amico e sodale di Konstantin Malofeev.
L’8° centro proveniva dalla FAPSI dove era conosciuto con l’acronimo di GUPS (Direzione principale per la sicurezza delle comunicazioni) e fino al 2016 aveva fatto parte degli elementi di supporto tecnico dello NTS. A sia volta lo NTS, che sovrintende alla ricerca tecnologia ed ai corsi di sicurezza informatica nelle università russe e comprende una divisione UOTM responsabile delle intercettazioni, era stato agli ordini di Nikolai Klimashin, altresì membro del consiglio di sicurezza della federazione.
Nel 2017 dopo l’epurazione dello TsIB, il GUPS venne elevato ai ruoli operativi con il titolo di 8° Centro o più estesamente Centro per la Protezione delle Informazioni e le Comunicazioni Speciali (TsZI).
All’interno dell’8° Centro opera il CERT o Centro Nazionale di Coordinamento sugli Incidenti Informatici (NKTsKI), vale a dire un team di risposta alle emergenze informatiche, costituito nel 2018 ed incaricato di prevenire, individuare ed eliminare le minacce alle reti ed alle infrastrutture.
10° Centro
Si tratta di una unità scientifica codificata 35533, inserita all’interno del 3° Servizio NTS e dotata di un istituto di ricerca denominato NII-1, impegnato nello studio, sperimentazione e sviluppo di componentistica elettronica per sistemi informatici e relativo software. Il centro ha inoltre l’incarico di reperire microelettronica dall’estero, compresa quella sottoposta a sanzioni. Tra le altre attività vi sono programmi di ricerca nel campo dei segnali digitali, reti wireless, crittografia, sistemi di riconoscimento vocale e antropomorfia digitale (A.I.).
Il NII-1 deriva da un precedente centro ricerche controllato dal KGB e denominato TsNIIST, ovvero Istituto centrale di ricerca scientifica di tecnologia speciale, incaricato di produrre tra l’altro mezzi tecnici e strumenti di rilevamento per ambienti chimici e nucleari.
Dal 2018 il 10° Centro risponde agli ordini di Yurij Germanovich Ugolnikov, mentre nel 2012, l’FBI avrebbe bloccato il trasferimento di componentistica elettronica destinata alla unità 35533.
Conclusioni
Storicamente l’Unione Sovietica ha sempre prestato molta attenzione alla disinformazione, allo spionaggio ed alla propaganda, meticolosamente supportate da laboratori e centri studio.e ricerca d’eccellenza, in larga misura tutt’ora attivi nella Russia di Putin. Ne deriva quindi una notevole capacità offensiva a livello informatico in grado di provocare al nemico danni potenzialmente gravi, sia in un contesto di guerra ibrida sia di guerra aperta, soprattutto a causa della scarsa consapevolezza e percezione che in Occidente ed in particolare in Europa, si ha verso questo genere di minaccia e verso i danni che ne potrebbero derivarne ai fragili ecosistemi socioeconomici delle democrazie, intrinsecamente permeabili e difficilmente controllabili.
Si impone quindi, soprattutto in previsione di una resa dei conti definitiva tra Occidente e Russia, che lo scrivente ritiene inevitabile, che l’Europa si attrezzi a livello continentale, con sistemi ed assetti comuni e con l’attivazione di un cybercommando in grado di coordinare le agenzie nazionali e di imporre adeguate strategie di difesa e di risposta alle aggressioni che verranno.
(1) In Russia non esiste una vera e propria compartimentazione del lavoro informatico tra le tre agenzie di intelligence, né un cybercommando unificato che ne coordini le operazioni, le quali vengono invece attribuite a livello presidenziale attraverso il Consiglio di Sicurezza, sulla base di scelte tecnico-operative ma anche politiche. Sono quindi piuttosto frequenti le sovrapposizioni di ruolo e talvolta anche le duplicazioni nelle attività come nel caso dell’incursione ai server del Partito Democratico USA, attuate in tempi diversi dallo SVR e dal GRU apparentemente all’insaputa l’uno dell’altro.
(2) Nel 1992 a seguito di una serie di accordi politici tra Mosca e le ex-repubbliche sovietiche erano state precluse allo SVR le attività di spionaggio nei paesi ex-URSS firmatari dell’accordo. Si era quindi creato un vuoto informativo che Mosca aveva ben presto riempito allargando oltreconfine la giurisdizione dello FSB mediate l’attivazione del 5° Servizio: escamotage che aveva consentito a Mosca di perseguire le proprie attività di intelligence nelle repubbliche ex-URSS, pur rispettando formalmente gli accordi.
(3) Nella vecchia URSS e quindi in Russia, SIGINT riguardava la mera intercettazione dei segnali elettronici ma non la loro decrittazione, mentre ELINT era la branca che decifrava i segnali intercettati.
