Nella sua lotta contro gli hacker russi, l'amministrazione Biden sta facendo progressi

Pubblicato: 2022-01-23

Il 14 gennaio 2022, l'FSB, il servizio di intelligence nazionale russo, ha annunciato di aver sciolto la famigerata organizzazione criminale di ransomware REvil con sede in Russia. L'FSB ha affermato che le azioni sono state intraprese in risposta a una richiesta delle autorità statunitensi.

La mossa segna un drammatico cambiamento nella risposta della Russia agli attacchi informatici criminali lanciati contro obiettivi statunitensi dall'interno della Russia e arriva in un momento di accresciute tensioni tra i due paesi.

La politica e le azioni statunitensi in risposta agli attacchi informatici collegati alla Russia sono cambiate nettamente da quando l'amministrazione Biden è entrata in carica.

Il presidente Joe Biden ha affrontato apertamente il presidente russo Vladimir Putin sulla sua responsabilità in merito agli attacchi informatici internazionali e l'amministrazione Biden ha adottato misure senza precedenti per imporre costi ai criminali informatici russi e vanificare i loro sforzi.

Dopo essere entrato in carica, Biden ha immediatamente affrontato le difficili sfide degli agenti dell'intelligence russa e dei criminali in attacchi informatici da prima pagina a società private e infrastrutture critiche.

Come studioso delle operazioni informatiche russe, vedo che l'amministrazione ha compiuto progressi significativi nella risposta all'aggressione informatica russa, ma ho anche chiare aspettative su ciò che la difesa informatica nazionale può e non può fare.

Compromesso della catena di fornitura del software

L'hacking di SolarWinds effettuato nel 2020 è stato un attacco riuscito alla catena di fornitura globale del software. Gli hacker hanno utilizzato l'accesso a migliaia di computer per spiare nove agenzie federali statunitensi e circa 100 società del settore privato.

Le agenzie di sicurezza statunitensi hanno affermato che un sofisticato gruppo di hacker, "probabilmente di origine russa", era responsabile dello sforzo di raccolta di informazioni.

Il 4 febbraio 2021, Biden si è rivolto a Putin in una dichiarazione rilasciata al Dipartimento di Stato. Biden ha affermato che i giorni in cui gli Stati Uniti si sono ribaltati di fronte agli attacchi informatici russi e alle interferenze nelle elezioni statunitensi "sono finiti".

Biden ha promesso di "non esitare ad aumentare i costi per la Russia". Il governo degli Stati Uniti non aveva in precedenza emesso atti d'accusa o imposto sanzioni per spionaggio informatico, in parte per la preoccupazione che potessero sfociare in azioni reciproche da parte di Mosca contro gli hacker della NSA e della CIA.

Tuttavia, il 15 aprile 2021 il Dipartimento del Tesoro degli Stati Uniti ha emesso sanzioni contro il Servizio di intelligence estero russo, l'SVR.

Biden ha anche firmato un ordine esecutivo per modernizzare la sicurezza informatica del governo federale. Ha ordinato alle agenzie di implementare sistemi che rilevano le incursioni informatiche, come quello che ha individuato l'attività di SolarWinds a Palo Alto Networks.

Parallelamente, le sue agenzie di sicurezza hanno pubblicato strumenti e tecniche utilizzate dalle bande SVR e ransomware per aiutare le organizzazioni a difendersi da loro.

Le sanzioni economiche e le barriere tecniche, tuttavia, non hanno rallentato gli sforzi di SVR per raccogliere informazioni sulla politica estera degli Stati Uniti. Nel maggio 2021, Microsoft ha rivelato che gli hacker associati alla Russia hanno sfruttato il servizio di posta di massa Constant Contact.

Travestendosi da Agenzia statunitense per lo sviluppo internazionale, hanno inviato e-mail dall'aspetto autentico con collegamenti a più di 150 organizzazioni, che, se cliccate, hanno inserito un file dannoso che consentiva l'accesso al computer.

Attacchi ransomware

Sempre a maggio, la chiusura del Colonial Pipeline da parte di un attacco ransomware da parte della cyber gang russa DarkSide ha interrotto il flusso di quasi metà del gas e del carburante degli aerei verso la costa orientale.

I conducenti in preda al panico si sono precipitati a fare il pieno di serbatoi mentre i prezzi sono saliti alle stelle. Un mese dopo, i consumatori si sono affrettati a trovare alternative alla carne dopo che REvil ha infettato il trasformatore di carne bovina e suina JBS USA con un ransomware.

Biden ha affermato che la Russia ha "una certa responsabilità per affrontare questo". In un vertice a Ginevra a giugno, ha consegnato a Putin un elenco di infrastrutture critiche off-limits che meriterebbero una risposta degli Stati Uniti se attaccate.

È probabile che i servizi di intelligence e le forze dell'ordine russi abbiano una tacita comprensione con i criminali informatici e possano chiudere le loro risorse.

Sebbene non contasse su Putin per esercitare influenza, la Casa Bianca ha formato una task force di ransomware per attaccare le bande.

Il primo passo è stato l'utilizzo di un programma antiterrorismo per offrire ricompense fino a 10 milioni di dollari per informazioni sugli hacker responsabili delle violazioni delle infrastrutture critiche sanzionate dallo stato.

In stretta collaborazione con partner internazionali, il Dipartimento di Giustizia ha annunciato l'arresto di un cittadino ucraino in Polonia, accusato dell'attacco ransomware REvil contro Kaseya, un fornitore di software informatico.

Il Dipartimento di Giustizia ha anche sequestrato 6,1 milioni di dollari in criptovaluta da un altro operatore REvil. Le autorità rumene hanno arrestato altri due coinvolti negli attacchi di REvil.

Le forze dell'ordine statunitensi hanno sequestrato 2,3 milioni di dollari pagati a titolo di riscatto a DarkSide da Colonial Pipeline utilizzando una chiave privata per sbloccare bitcoin. E il Dipartimento del Tesoro ha interrotto gli scambi di valuta virtuale SUEX e Chatex per aver riciclato i proventi del ransomware.

Le sanzioni del Dipartimento del Tesoro hanno bloccato tutte le loro proprietà negli Stati Uniti e vietato ai cittadini statunitensi di condurre transazioni con loro.

Il gen. Paul Nakasone, Direttore della National Security Agency, ha testimoniato davanti alla House Intelligence Committee il 15 aprile 2021. Al Drago/Pool via AP
Il gen. Paul Nakasone, Direttore della National Security Agency, ha testimoniato davanti alla House Intelligence Committee il 15 aprile 2021. Al Drago/Pool via AP

Inoltre, il principale cyberwarrior degli Stati Uniti, il generale Paul Nakasone, ha riconosciuto per la prima volta in pubblico che l'esercito americano ha intrapreso un'azione offensiva contro i gruppi di ransomware. A ottobre, il Cyber ​​Command degli Stati Uniti ha bloccato il sito Web REvil reindirizzando il traffico, impedendo al gruppo di estorcere le vittime. Dopo che REvil si è reso conto che il suo server era stato compromesso, ha cessato le operazioni.

Limiti delle risposte statunitensi

La Russia conduce o condona attacchi informatici da parte di gruppi statali e criminali che sfruttano le lacune del diritto internazionale ed evitano di oltrepassare i confini della sicurezza nazionale.

A ottobre, l'SVR ha intensificato i tentativi di irrompere nelle società tecnologiche per rubare informazioni sensibili. I funzionari statunitensi consideravano l'operazione uno spionaggio di routine. La realtà che il diritto internazionale non vieti lo spionaggio di per sé impedisce le risposte degli Stati Uniti che potrebbero fungere da forti deterrenti.

Allo stesso modo, dopo che la banda informatica BlackMatter ha effettuato un attacco ransomwware a una cooperativa agricola dell'Iowa a settembre, la banda ha affermato che la cooperativa non contava come infrastruttura critica. L'affermazione della banda si riferisce a obiettivi di attacchi informatici che richiederebbero una risposta nazionale da parte del governo degli Stati Uniti.

Nonostante questa ambiguità, l'amministrazione ha scatenato l'esercito per vanificare gli sforzi dei gruppi di ransomware, mentre le forze dell'ordine hanno dato la caccia ai loro leader e ai loro soldi e le organizzazioni negli Stati Uniti hanno rafforzato le difese dei loro sistemi informativi.

Sebbene gli hacker controllati dal governo possano persistere e i gruppi criminali potrebbero scomparire, ricostruire e rinominare, a mio avviso gli alti costi imposti dall'amministrazione Biden potrebbero ostacolarne il successo.

Tuttavia, è importante tenere a mente che la difesa informatica nazionale è un problema estremamente impegnativo ed è improbabile che gli Stati Uniti siano in grado di eliminare la minaccia.

Nota del redattore: questo articolo è stato scritto da Scott Jasper, docente senior in affari di sicurezza nazionale presso la Naval Postgraduate School, e ripubblicato con il permesso di The Conversation sotto una licenza Creative Commons. Leggi l'articolo originale.

Hai qualche idea su questo? Fatecelo sapere in basso nei commenti o trasferite la discussione sul nostro Twitter o Facebook.

Raccomandazioni della redazione:

  • I truffatori rubano gli assegni dalle cassette postali e li trasformano in bitcoin: ecco come lo fanno
  • Nissan potrebbe essere la più grande minaccia per Tesla in questo momento: ecco perché
  • Computer Space ha rivoluzionato l'industria dei giochi: ecco perché probabilmente non ne hai sentito parlare
  • L'indagine del WSJ su Facebook potrebbe finalmente mettere Mark Zuckerberg in grossi guai
La conversazione