L’FBI è convinta: gli hacker russi sono dentro le infrastrutture critiche americane ed europee. Dalle centrali elettriche agli impianti nucleari, fino ai sistemi di aviazione, di chiusura e apertura delle dighe, non c'è zona nevralgica esente dal controllo di Mosca.
Il Dipartimento di sicurezza nazionale degli Stati Uniti, insieme all’Intelligence, ha prodotto un lungo report in cui dettaglia, con precisione disarmante, le varie attività cyber che i tecnici russi avrebbero seguito, sin dal marzo del 2016, per infilarsi nelle reti delle organizzazioni private e pubbliche che forniscono servizi essenziali ai cittadini.
I risultati a cui sono giunti DHS e FBI derivano da indagini svolte anche da varie agenzie informatiche, tra cui Symantec, che già lo scorso anno aveva legato diversi malware individuati nelle maglie digitali dei network USA a gruppi di smanettoni russi, tra cui i Dragonfly.
Sanzioni approvate anche per questo
Sono state anche le recenti affermazioni sulle inferenze hacker a spingere l’approvazione, con la firma di Trump, delle tanto discusse sanzioni contro Mosca, arrivate dopo oltre un mese e mezzo dal termine fissato dal Congresso. Gran parte si basano sulla produzione e diffusione di fake news ad opera della Internet Research Agency, con lo scopo di manipolare le preferenze di voto della campagna elettorale del 2016 negli States. Un incipit dei difficili rapporti telematici tra i due paesi era già arrivato con la faccenda Kaspersky e il divieto di commercializzazione imposto a Huawei.
L’industria delle bufale
Principale accusato della fabbrica dei troll è il patron della Internet Research AgencyViktorovich Prigozhin, peraltro già incriminato dal procuratore speciale Robert Mueller all’interno delle indagini inerenti il Russiagate. Le misure sulle intrusioni hi-tech sono parte di un pacchetto più ampio, che il Segretario al Tesoro Steven Mnuchin svelerà presto, con l’intento di vietare, o limitare pesantemente, l’accesso al sistema finanziario e fondiario statunitense a società legate al governo russo. Le sanzioni inoltre sono rese possibili, in termini legali, dal Countering America's Adversaries Through Sanctions Act, proposta divenuta legge l’8 febbraio del 2017.
Come agiscono gli hacker del Cremlino
I funzionari di FBI e DHS hanno individuato due categorie di vittime: gli obiettivi accidentali e quelli mirati. Il gioco comincia col violare i computer dei primi, spesso usando software pre-installati non protetti dovutamente per contrastare i criminali. Una volta dentro, gli hacker prendevano il controllo della macchina, trasformandola in una sorta di cavallo di Troia per inculcare minacce maggiori nei network presi come bersaglio. In che modo?
I computer zombie non appartenevano certo a utenti comuni ma a compagnie e organizzazioni legate in qualche modo alle mete finali. Facciamo un esempio: un fornitore antivirus potrebbe aver accesso, per vari motivi, ai server dove sono contenuti i dati più sensibili di un’azienda; la piattaforma cloud proprietaria (cioè non i vari Dropbox o Drive ma soluzioni create ad-hoc per i clienti) avrà diritto di leggere e modificare altri archivi mentre il servizio di chat interno ha visione di database sui dipendenti, i file condivisi e così via.
Occupare i canali di ingresso
Bucare ognuna di questi piccoli (o grandi, dipende) soggetti vuol dire mettere dei punti fermi su un’ipotetica cartina di attacco, quasi fosse una mappa del Monopoli. A seconda del grado di complessità del passaggio da valicare, gli hacker sfruttavano i varchi dei vari software per farsi largo nella rete, sia tramite porte (i cosiddetti gate) già aperte che scassinate per l’occasione. Non sappiamo quanti e quali programmi abbiano permesso ai russi di intrufolarsi nei canali di impianti critici ma lo schema sotto aiuta a comprendere la ramificazione di una centrale e le pedine (i vari colori delle sezioni) mosse dai presunti moscoviti.
Danni globali
Al di là delle questioni politiche, è evidente che uno scenario del genere apre a grossi problemi di sicurezza su scala globale. Stando a Symantec, gli hacker sarebbero in grado di generare blackout estesi e potenzialmente devastanti. Non fermiamoci alla mancanza di elettricità ma pensiamo all’apertura inattesa di una diga, al rilascio di sostanze tossiche nell’ambiente o allo spegnimento dei radar che monitorano il traffico aereo. Eventi che abbiamo visto solo al cinema ma che sui quali gli esperti mondiali ammoniscono da anni.
Chi sono gli hacker
Il report appena diffusi getta nuova luce sul numero di gruppi che agirebbero per conto del Cremlino. Sono almeno tre, di cui uno focalizzato sul furto di documenti a scopo politico (è il caso dell’hacking al Comitato Nazionale Democratico), uno attivo nel campo fake news (la Internet Research Agency) e il terzo impegnato a sovvertire l’operato delle infrastrutture americane ed europee.
C'è anche l’Europa
Si, perché i primi segnali dei cybercriminali si sono avuti proprio nel nostro continente. Soprattutto in Ucraina quando, nel dicembre del 2015, il malware BlackEnergy spense tre centrali elettriche, lasciando senza corrente quasi 600 mila famiglie. Non si hanno dettagli su attacchi dalle nostre parti ma questo non vuol dire considerarsi esenti da eventuali crisi. Una buona percentuale del gas e dell’energia usata in Italia arriva da impianti in Russia, Slovenia e Austria, al centro della guerra cibernetica.
Per Washington poi, ci sarebbero sempre i russi dietro il lancio di NotPetya, ransomware che l’estate scorsa paralizzò siti web governativi e agenzie finanziarie lungo tutta l’Europa, con in testa l’Ucraina (con l’80% sul totale delle strutture interessate) e poi proprio noi, al pari di Israele, Serbia, Romania, Stati Uniti, Lituania e Ungheria.
