Un’operazione coordinata fra il Comando cibernetico dell’US DoD e la società di Bill Gates ha dimostrato quanto una partnership sia importante per bloccare con successo gli attacchi di pirateria informatica.
Grazie a Microsoft e all’US Cyber Command (USCYBERCOM) del Pentagono è stata temporaneamente disabilitata una delle più grandi operazioni di hacking del mondo, gestita da cyber criminali russofoni, che rischiava di paralizzare le elezioni presidenziali americane del prossimo novembre nel giro di tre settimane.
Non appena Microsoft, la scorsa settima, ha iniziato le operazioni di smantellamento cercando di paralizzare la rete di computer conosciuta come TrickBot, dalla quale provenivano gli attacchi ransomware(*) ai sistemi informatici, ha scoperto che anche qualcun altro stava cercando di fare la stessa cosa. Infatti, l’USCYBERCOM, a quanto risulta non in coordinamento con l’azienda di Bill Gates, aveva già iniziato ad hackerare a sua volta i server di comando e controllo di TrickBot in tutto il mondo alla fine del mese di settembre.
In particolare l’USCYBERCOM, seguendo un modello elaborato nel 2018 per le elezioni statunitensi di “metà mandato”, ha dato il via a una serie di attacchi preventivi segreti contro gli hacker russofoni che potrebbero aiutare in questo modo il presidente Vladimir Putin a interrompere il conteggio e la certificazione dei voti il prossimo novembre. Allo stesso tempo Microsoft, Symantec e altre compagnie americane stavano facendo la stessa cosa.
La controffensiva nei confronti di TrickBot
Secondo Intel 471, una società di intelligence e sicurezza informatica, c’erano stati due attacchi a TrickBot prima che Microsoft ricevesse l’autorizzazione per iniziare le sue operazioni: il primo il 22 settembre e il secondo il 1° ottobre. Il blog “KrebsOnSecurity”, che si occupa si sicurezza e crimini informatici, è stato il primo a segnalare che un’entità sconosciuta era responsabile della ripetuta interruzione, verificatasi nelle settimane precedenti, della botnet(**)Trickbot, la minaccia globale che ha infettato milioni di computer e viene utilizzata per diffondere ransomware. L’entità era riuscita a inviare un comando a tutti i sistemi zombie (computer dirottati) infettati dal malware per disconnettersi dai server di comando e controllo dell’organizzazione criminale. Oltre a ciò, era riuscita a inondare il database di TrikBot con milioni di record falsi progettati per confondere gli operatori della botnet.
Diverse fonti hanno poi riferito al “Washington Post” che l’entità sconosciuta non era altro che un’operazione congiunta tra USCYBERCOM e Microsoft.
Il successivo tentativo di Microsoft è stato diverso e potenzialmente più dannoso. La società ha chiesto a un tribunale federale della Virginia di obbligare i provider di web hosting a mettere offline gli operatori di TrickBot, sostenendo che i criminali informatici stavano violando il “Digital Millennium Copyright Act” degli Stati Uniti utilizzando il codice di Microsoft per scopi criminali.
Microsoft ha iniziato a elaborare una strategia su come abbattere TrickBot già ad aprile, ma ha aspettato fino a ottobre per agire, temendo che una mossa frettolosa avrebbe dato agli hacker russi il tempo di riorganizzarsi entro novembre. Gli operatori TrickBot avevano aggiunto una “capacità di sorveglianza” che permetteva loro di spiare computer infetti e documenti dei funzionari elettorali. Da lì gli esperti hanno ipotizzato che non sarebbe stato difficile per i criminali informatici, o attori statali, paralizzare i sistemi elettorali nei giorni precedenti alle elezioni e in quelli successivi.
“Abbiamo interrotto Trickbot tramite un’ingiunzione del tribunale che abbiamo ottenuto e un’azione tecnica che abbiamo eseguito in collaborazione con fornitori di telecomunicazioni in tutto il mondo”, ha scritto Tom Burt, corporate vice president of customer security and trust di Microsoft, spiegando la manovra legale in un post sul blog “Microsoft on the issue”. “Ora abbiamo isolato l’infrastruttura chiave in modo che coloro che utilizzano Trickbot non saranno più in grado di avviare nuove infezioni o attivare ransomware già presenti nei sistemi informatici.”
Un successo di breve durata
Nonostante l’operazione abbia riscosso successo nel separare un gran numero di sistemi infettati dalla rete TrikBot, questo successo ha avuto vita breve. Infatti, i “signori della botnet” sono ancora in possesso di una grande quantità di informazioni sensibili. Tra l’altro, hanno iniziato immediatamente a ricostruire il loro database, riuscendo in pochi giorni a tornare alle “normali” operazioni di ransomware.
A partire dal 2016, quando è apparsa per la prima volta, TrickBot è stata utilizzata per qualsiasi cosa, dal furto delle credenziali bancarie all’attacco di paesi, città e ospedali tramite ransomware con richieste di pagamento di un riscatto. Finora non era mai stata diretta contro l’infrastruttura elettorale: “Immaginate che quattro o cinque distretti elettorali siano stati colpiti da ransomware il giorno delle elezioni”, ha detto Tom Burt. “la benzina gettata sul fuoco delle attuali discussioni intorno alle nostre elezioni e alla validità dei risultati. Sarebbe una storia enorme. Andrebbe avanti per sempre. E sarebbe una grande vittoria per la Russia. Brinderebbero con la vodka fino al prossimo anno. Questo è un rischio che voglio eliminare.”
L’interferenza elettorale: una sfida per la comunità internazionale
Quale sia la connessione fra TrickBot e il Cremlino è ancora una questione aperta, ma l’accelerazione degli attacchi ransomware ai cittadini e alle agenzie governative statunitensi ha portato i funzionari e i dirigenti di Microsoft a temere che gli attacchi verranno utilizzati per bloccare i sistemi elettorali a novembre. Da alcune interviste rilasciate la scorsa settimana dai dirigenti delle aziende coinvolte, si evince come queste si fossero messe alle calcagna dei criminali russi per interrompere qualsiasi attacco prima delle elezioni. “Questi operatori di TrickBot sono i migliori”, aveva detto Eric Chien, uno dei principali ricercatori di Symantec (e uno dei primi a identificare Stuxnet, il codice scritto da Stati Uniti e Israele per attaccare le centrifughe nucleari iraniane un decennio fa). “Se questi strumenti fossero usati durante le elezioni, col senno di poi ci sentiremmo molto in colpa. Ci chiederemmo: ‘Perché abbiamo aspettato?’”
Le botnet come TrickBot rappresentano una sfida importante a causa della loro continua evoluzione e, sebbene non siano una novità per CYBERCOM, che è un Comando relativamente giovane nell’ambito delle forze armate statunitensi, il suo comandante, il generale Paul M. Nakasone, e il suo senior adviser, Michael Sulmeyer, si sono resi conto che “il Cyber Command deve fare di più che prepararsi per una crisi futura: deve competere con gli avversari oggi”. USCYBERCOM ha collaborato con la NSA per istituire la task force Russia Small Group, progettata per garantire che il processo elettorale democratico si svolgesse senza interferenze e impegnatasi nelle missioni offensive “hunt forward” con l’obiettivo di aiutare le nazioni alleate a rilevare malware sulle proprie reti, consentendo anche agli Stati Uniti di imparare e migliorare le proprie difese.
Le sfide che riguardano l’interferenza elettorale preoccupano la comunità internazionale, e botnet come Trickbot rimangono la minaccia principale per le elezioni americane del 2020. Il Cyber Command si è impegnato a continuare nelle operazioni offensive succitate in coordinamento con le nazioni alleate e con le aziende tecnologiche.
Microsoft, invece, ha già avvertito i funzionari che hacker cinesi, iraniani e russi stanno già prendendo di mira le organizzazioni della campagna di Trump e Biden. Tuttavia, è probabile che si limitino a ostacolare l’accesso al voto, piuttosto che a impedirlo.
Il coinvolgimento della Russia
Burt non aveva certezze su dove fossero basati i cyber criminali al di fuori dell’Europa orientale, ma era certo che fossero di lingua russa e che abbiano sviluppato uno strumento e un’operazione sofisticata e redditizia. Oltre a infettare i computer, catalogano anche elenchi di computer infetti e vendono l’accesso a sistemi informatici di elevato valore ad altri cyber criminali che commettono, ad esempio, frodi bancarie.
Alcuni esperti di sicurezza avvertono che non ci sono prove che suggeriscano che gli attacchi verso le reti americane abbiano qualcosa a che fare con l’intelligence russa e che tutta questa vicenda crei solamente un allarme eccessivo: “I legami tra i servizi di intelligence russi e il fiorente elemento criminale informatico del paese sono ben consolidati”, ha affermato John Hultquist, direttore threat intelligence presso la società di sicurezza informatica FireEye. “La Russia è ben consapevole che i criminali informatici che ospita sono diventati un serio problema per i suoi avversari”, ha aggiunto “Questi cyber criminali rappresentano probabilmente una minaccia maggiore per la nostra infrastruttura critica rispetto ai loro servizi di intelligence. Dovremmo iniziare a chiederci se la loro tacita approvazione del crimine informatico non sia soltanto un matrimonio di convenienza, ma una strategia deliberata per attaccare l’Occidente”.
(*) Ransomware è un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto (ransom in inglese) da pagare per rimuovere la limitazione.
(**) Botnet, o “rete di bot”, è una rete composta da un gran numero di computer dirottati da malware (detti bot o zombie) al fine di raggiungere gli obiettivi dell’hacker che l’ha creata. Assumendo il controllo di centinaia o anche migliaia di computer, le botnet vengono utilizzate per inviare spam o virus, rubare i dati personali o lanciare attacchi DDoS (Distributed Denial of Service).