Guerra /

Nella giornata di ieri è stato rivelato che gli Stati Uniti sono stati oggetto di un attacco informatico di grande portata che è durato almeno un mese. Gli hacker, come riporta Associated Press, hanno fatto irruzione nelle reti dei dipartimenti del Tesoro e del Commercio come parte di una campagna di cyber spionaggio globale.

La notizia degli attacchi, riportata per la prima volta da Reuters, è arrivata meno di una settimana dopo che FireEye, una delle principali società statunitensi di sicurezza informatica con contratti governativi e privati, aveva rivelato che gli hacker di un governo straniero si erano introdotti nella sua rete e avevano rubato gli stessi strumenti di hacking dell’azienda. Molti esperti sospettano che la responsabilità di questo attacco cibernetico sia da attribuire alla Russia, per via della “firma” lasciata nei sistemi e anche in quanto la società inizialmente colpita era sotto osservazione dall’Fbi sin dalla scorsa primavera.

L’obiettivo principale dell’attacco cibernetico, però, è stato un software di gestione del network creato da Solar Winds, i cui clienti includono anche enti federali, statali, locali e le principali società globali tra cui anche il Dipartimento del Tesoro, del Commercio, la stessa Fbi e altri enti collegati alla Difesa compresi tutti e cinque i rami delle forze armate statunitensi, il Pentagono, il Dipartimento di Stato, la Nasa, l’Agenzia per la Sicurezza Nazionale, il Dipartimento di Giustizia e la Casa Bianca.

Potenzialmente, quindi, ci troveremmo davanti ad una delle più grandi campagne di spionaggio cibernetico della storia, anche se per il momento sappiamo solo che le vittime di questo attacco sono, oltre agli enti governativi, società di consulenza, tecnologia, telecomunicazioni, compagnie attive nell’industria del petrolio e del gas in Nord America, Europa, Asia e Medio Oriente. Tutte accomunate dall’essersi affidate al medesimo software di Solar Winds, chiamato Orion Platform. Domenica, la Cybersecurity and Infrastructure Security Agency statunitense ha emesso un avviso di “sfruttamento attivo” della piattaforma Orion, che riguarda le versioni del software rilasciate a marzo e giugno, invitando tutte gli enti privati e federali a setacciare le loro reti alla ricerca di file compromessi.

FireEye ha affermato in un post nella giornata di domenica che la sua indagine sull’attacco informatico della propria rete aveva messo in luce “una campagna globale” rivolta ai governi e al settore privato che, a partire dalla primavera, aveva inserito malware in un aggiornamento del software di Solar Winds. La società non ha detto se ritenesse che ci fossero gli hacker russi dietro questo attacco ma i sospetti, sollevati da una fonte anonima, sono arrivati oggi.

Il malware ha fornito agli hacker l’accesso da remoto alle reti delle vittime con la peculiarità, data proprio dal software di Solar Winds, di avere l’accesso in modalità “Dio”, ovvero rendendo tutto visibile. Il “virus” cibernetico che ha infettato l’aggiornamento Solar Winds non ha seminato malware auto-propagante – come il NotPetya del 2016 che ha causato più di 10 miliardi di dollari di danni a livello globale – e quindi qualsiasi tentativo di infezione di un sistema ha richiesto una pianificazione meticolosa e una interazione manuale.

Gli attacchi cibernetici di questo tipo richiedono quindi molto tempo e capacità eccezionali, lasciando quindi intendere che possano essere messi in atto solo da organizzazioni di enti di Stato. Le agenzie governative federali statunitensi sono da tempo obiettivi prioritari per gli hacker stranieri. Nel 2014, pirati informatici collegati alla Russia sono stati in grado di entrare nel sistema di posta elettronica del Dipartimento di Stato, infettandolo così a fondo da dover essere tagliato fuori dal web mentre gli esperti lavoravano per eliminare il problema.

Secondo una fonte anonima del Washington Post gli hacker autori dell’attacco sono conosciuti con i soprannomi APT29 o Cosy Bear, e fanno parte del servizio di intelligence per l’estero della Russia, l’Svr (Služba Vnešnej Razvedki). Lo stesso gruppo che ha violato il Dipartimento di Stato e i server di posta elettronica della Casa Bianca durante l’amministrazione Obama.

La portata dell’attacco è davvero epocale, secondo le prime stime degli esperti, in quanto i prodotti Solar Winds sono utilizzati da più di 300mila organizzazioni in tutto il mondo.

Al Dipartimento del Commercio, gli hacker hanno preso di mira la National Telecommunications and Information Administration, un’agenzia che si occupa della politica di Internet e delle telecomunicazioni, ha riferito Reuters, e a quanto sembra sono stati anche fatti tentativi di rubare documenti sulla ricerca del vaccino contro il coronavirus. Del resto il controllo della distribuzione su scala globale di un vaccino realmente efficace garantisce un ritorno economico e di prestigio internazionale che fa gola a molti Paesi, soprattutto orientali, interessati a mettere in ombra – più di quanto abbiano fatto da soli – gli Stati Uniti sulla tematica della gestione della pandemia.

L’ambasciata russa a Washington, intanto, domenica ha definito “privi di fondamento” i rapporti sugli hacker russi. In una dichiarazione su Facebook si legge che “gli attacchi nello spazio cibernetico contraddicono i principi di politica estera del nostro Paese, i suoi interessi nazionali e l’intesa per la costruzione dei rapporti tra gli Stati. La Russia non conduce operazioni offensive nell’ambiente virtuale”.

Una dichiarazione doverosa e scontata, che però stona proprio per la sua chiosa finale: è assolutamente impensabile che una potenza globale come la Russia, oggi, non consideri di condurre operazioni offensive nel dominio cibernetico, anche in considerazione che è stato proprio un russo, il generale Gerasimov, a teorizzare gli attacchi informatici e informativi come parte della guerra ibrida.