Cyber tregua USA-Russia ...e se passasse per le operazioni contro Trickbot?

(di Alessandro Rugolo)
12/10/20

A prestar fede al Washington Post, lo U.S. Cyber Command nei giorni scorsi è stato impegnato in una operazione preventiva avente come obiettivo la botnet Trickbot. L'operazione aveva lo scopo di complicare la vita ai gestori di una delle più estese botnet al mondo (probabilmente più di due milioni di pc infetti). Trickbot è impiegata per condurre campagne di ransomware ma anche per diffondere fake news allo scopo di influenzare gli elettori. 

L'effetto ricercato ha proprio a che fare con le elezioni presidenziali americane che si svolgeranno da qui a qualche settimana. Sempre secondo l'articolo, l'operazione è una conseguenza della nuova dottrina militare del comandante del U.S. Cyber Command (nonchè direttore della NSA) Paul Nakasone (foto): "Persistent engagement".

Il primo a segnalare ciò che accadeva alla botnet Trickbot è stato Brian Krebs sul suo sito, KrebsonSecurity, che ha spiegato come, a fine settembre, sia stato iniettato sulla catena di C2 di Trickbot un file di configurazione costruito ad arte per bloccare, almeno temporaneamente, la botnet. Circa dieci giorni dopo è accaduta la stessa cosa, facendo pensare che si sia trattato di una attività pianificata e non di un errore. 

Secondo la società di threat intelligence Intel 471, nel secondo attacco contro la botnet sono stati immessi dati sbagliati allo scopo di ritardarne le operazioni di ripristino. 

Perché prendersi il disturbo di "infastidire" le attività di una botnet lo svela al Washington Post un anonimo del U.S. Cyber Command, come abbiamo detto.

Si tratta principalmente di disturbare le operazioni di disinformazione condotte attraverso la botnet, dirette a influenzare le elezioni presidenziali americane. 

Credo sia interessante mettere questa notizia a sistema con quanto sta accadendo sul piano diplomatico nel campo cyber.

Sul New York Times del 25 settembre è apparso un interessante articolo in cui si afferma che il presidente russo, Vladimir Putin, avrebbe chiesto agli USA di stipulare una tregua nel cyberspace. Naturalmente Putin non ha ammesso di aver responsabilità nelle attività di influenza condotte nel corso di precedenti elezioni.

Il messaggio del presidente Putin è in quattro punti, semplice e lineare:

1° - Restaurare un dialogo bilaterale onnicomprensivo, ad alto livello, interagenzia, sulla questione chiave di assicurare la Information Security su scala internazionale;

2° - Mantenere dei canali di comunicazione sempre aperti tra le agenzie competenti (USA e Russia) per il tramite dei "Nuclear Risk Reduction Centers", i "Computer Emergency Respons Teams" e Ufficiali di alto livello sulle questioni relative agli organismi che si occupano di assicurare la sicurezza nazionale, comprese le informazioni.

3° - Sviluppare e concludere congiuntamente un accordo bilaterale intergovernativo sulla prevenzione di incidenti nello spazio delle informazioni a similitudine di quanto per la prevenzione di incidenti in alto mare del 25 maggio 1972.

4° - Scambiare, secondo un formato accettabile, garanzie di non intervento negli affari interni, compresi i processi elettorali, per mezzo di strumenti ICT e di high-tech.

Questa dichiarazione apre a due scenari:

- nel primo, la Russia mette le capacità Cyber sullo stesso livello di quelle nucleari e propone di studiare un qualche sistema per ridurne l'impiego in futuro;

- nel secondo scenario la Russia usa questa proposta come prosecuzione delle sue operazioni di influenza, cercando di spaccare l'opinione pubblica occidentale con una proposta di "pace cyber" che senza ombra di dubbio avrà molti seguaci e altrettanti oppositori!

Per approfondire:

https://krebsonsecurity.com/2020/10/attacks-aimed-at-disrupting-the-tric...

https://public.intel471.com/

https://www.washingtonpost.com/national-security/cyber-command-trickbot-...

https://www.nytimes.com/2020/09/25/world/europe/russia-cyber-security-me...

http://en.kremlin.ru/events/president/news/64086

Foto: U.S. Cyber Command / web