Gli Stati Uniti continuano la loro operazione di sminamento in vista di possibili attacchi informatici russi. Mercoledì 6 aprile, il Dipartimento di Giustizia degli Stati Uniti ha annunciato di aver inferto un duro colpo a una “botnet”, una rete di dispositivi elettronici infettati e controllati dai servizi di intelligence militari russi.
Le autorità statunitensi hanno spiegato che a marzo il Federal Bureau of Investigation (FBI) è riuscito a disconnettere le macchine infette dai server utilizzati dagli hacker per controllarle, costringendo in teoria questa botnet, chiamata Cyclops Blink, a diventare inutile. †
Questo annuncio arriva pochi giorni dopo che Joe Biden ha pubblicamente avvertito di possibili attacchi informatici russi. Le autorità statunitensi temono che il Cremlino ordinerà ai suoi hacker di lanciare offensive sulle infrastrutture critiche in risposta alle severe sanzioni internazionali che incombono sulla Russia da quando ha lanciato l’invasione dell’Ucraina il 24 febbraio.
Non si sa con certezza per cosa potrebbe essere utilizzato Cyclops Blink: potrebbe fungere da base per il lancio di operazioni di spionaggio e attacchi più distruttivi. È apparso nel 2019, questa rete di macchine “zombie” il controllo remoto consisteva in apparecchiature di rete utilizzate da piccole imprese o individui, in particolare commercializzate dalla società WatchGuard. Un difetto nel software che li esegue ha permesso agli hacker di infettarli e controllarli da remoto.
A questo punto non si conosce l’attacco del Ciclope Blink, ma le autorità statunitensi hanno preferito tirare fuori il tappeto sotto i piedi dei pirati per evitare che provocasse danni. Questa decisione di disattivare tecnicamente questa botnet – parte della sua infrastruttura tecnica era fisicamente ubicata negli Stati Uniti – è in linea con la strategia di Washington e dei suoi alleati, per diverse settimane, di comunicare con una certa trasparenza sulle attività russe legate alla invasione dell’Ucraina. L’esistenza di Cyclops Blink è stata pubblicamente e congiuntamente annunciata a febbraio da Stati Uniti e Gran Bretagna, che temevano che questa botnet sarebbe stata utilizzata in parallelo con l’invasione militare dell’Ucraina che si preparava allora ad attaccare Londra e Washington, denunciata pubblicamente.
Il GRU al lavoro
Le agenzie di intelligence britanniche e americane hanno nominato il gruppo di hacker, noto nel settore come Sandworm, come la mente dietro Cyclops Blink. Secondo la maggior parte degli analisti e anche la magistratura americana, si tratta di un’unità del GRU, il servizio di intelligence militare russo. Sono responsabili di numerosi attacchi informatici violenti all’Ucraina negli ultimi dieci anni, nonché di manipolazioni mirate alle elezioni presidenziali francesi del 2017 o alle Olimpiadi di Pyongchang nel 2018.
Questo gruppo era anche dietro un’altra botnet scoperta nel 2018: VPN Filter. Quest’ultimo era principalmente rivolto all’Ucraina e gli esperti dell’epoca temevano che potesse essere utilizzato per azioni di sabotaggio su larga scala. Le autorità statunitensi avevano già avviato un’operazione per impossessarsi dell’infrastruttura utilizzata dagli hacker per controllare le macchine infette. Misure che hanno consentito la totale scomparsa di questa botnet.
Oggi l’FBI spera anche di aver inferto un colpo mortale a Cyclops Blink, soprattutto perché quest’ultimo è molto più limitato, per numero di macchine infette, rispetto al suo predecessore: solo poche centinaia, contro diverse centinaia di migliaia per VPN Filter. Tuttavia, non si può escludere la possibilità che Cyclops Blink possa rinascere: una volta che gli hacker avranno privato dei mezzi per controllare da remoto i dispositivi infetti, tali dispositivi rimarranno vulnerabili a un’altra infezione malware fino a quando i loro proprietari non risolveranno il difetto software sfruttato dagli hacker.
Oltre ad annunciare l’operazione dell’FBI, Microsoft ha annunciato mercoledì 7 aprile di aver sequestrato sette indirizzi Web utilizzati da un altro gruppo di hacker, sempre del GRU. Secondo la società, questi nomi di dominio sono stati utilizzati per avviare operazioni di spionaggio contro l’Ucraina, in particolare i media, ma anche agenzie governative e gruppi di riflessione negli Stati Uniti e in Europa. “Crediamo che lo Stronzio [le nom qu’utilise Microsoft pour désigner ce groupe de pirates] ha cercato l’accesso a lungo termine ai sistemi informatici dei suoi obiettivi, ha fornito supporto tattico all’invasione fisica e ha esfiltrato informazioni sensibili”.scrive Microsoft nel suo comunicato stampa.
GIPHY App Key not set. Please check settings