• Woody Marshall / News&Record via AP

Nuove misure contro la Russia per gli attacchi ransomware?

La “disattenzione” di Mosca nei confronti dei criminali informatici ha reso inevitabile l'escalation degli attacchi, affermano gli esperti. Ma cambiare questo tipo di approccio accomodante è più facile a dirsi che a farsi.

Cosa tocca la psiche americana più profondamente di una carenza di benzina? Se l'attacco al Colonial Pipeline è il termine di confronto, allora la risposta è niente. Il ransomware è stato un problema crescente da anni, con centinaia di attacchi criminali sfacciati contro scuole, ospedali e amministrazioni cittadine, ma è stato necessario un attacco che ha colpito le auto delle persone affinché gli Stati Uniti se ne rendessero davvero conto. 

L'attacco al Colonial Pipeline potrebbe aver portato solo a acquisti dettati dal panico più che a una vera scarsità di gas, ma ha spinto il paese a chiedere con insistenza una risposta dal presidente degli Stati Uniti. Il 10 maggio, dopo che l’azienda aveva pagato 4,4 milioni di dollari agli hacker responsabili, il presidente Biden ha esposto le sue argomentazioni. Sebbene non ci fossero prove del coinvolgimento diretto del governo russo nell'attacco al Colonial Pipeline, ha detto, Mosca ha la responsabilità di prendere misure nei confronti dei criminali che risiedono all'interno dei propri confini. 

La sua dichiarazione si basa su ciò che gli esperti sanno da tempo, vale a dire che la Russia è una superpotenza del crimine informatico in gran parte perché il confine tra legalità e criminalità organizzata è deliberatamente opaco.  "Abbiamo una storia ventennale di una Russia che ospita criminali informatici", afferma Dmitri Alperovitch, ex CTO della società di sicurezza cloud Crowdstrike e presidente di Silverado Policy Accelerator, un think tank incentrato sulla tecnologia a Washington, DC. “Nella migliore delle ipotesi chiudono un occhio nei confronti dei criminali informatici, nella peggiore li supportano e incoraggiano". Sapere cosa sta succedendo è una cosa, ma capire come cambiare la situazione è più complesso.

Le conseguenze sono imponenti

In base al diritto internazionale, gli Stati hanno la responsabilità di non consentire consapevolmente che il loro territorio venga utilizzato per la criminalità internazionale. Ciò accade più spesso nella pirateria, ma si applica anche al terrorismo e alla criminalità organizzata. Gli accordi globali significano che i governi sono obbligati a porre fine a tale attività criminale o, se mancano di tale capacità, a ottenere assistenza per farlo. 

La Russia, tuttavia, è nota per proteggere gli hacker criminali e persino cooptarli per intraprendere attacchi per suo conto. Più spesso, semplicemente tollera e ignora i truffatori finché il paese stesso non viene coinvolto dalle loro attività. Ciò significa che gli hacker salteranno regolarmente qualsiasi computer che utilizzi la lingua russa, per esempio, facendo in tal modo capiure l'esistenza di un accordo implicito.

Nel frattempo, il Cremlino respinge le richieste del resto del mondo, rifiutandosi di riconoscere che esiste un problema. L'11 maggio, ad esempio, poco dopo la dichiarazione di Biden, il portavoce del Cremlino Dmitry Preskov ha negato pubblicamente il coinvolgimento russo. Invece, ha criticato gli Stati Uniti per "essersi rifiutati di collaborare con noi in alcun modo per contrastare le minacce informatiche".

Il calcolo per la Russia è difficile da misurare chiaramente, ma alcune variabili sono sorprendenti: gli attacchi di ransomware destabilizzano gli avversari di Mosca e trasferiscono ricchezza agli amici di Mosca, il tutto senza particolari conseguenze negative. Ora gli osservatori si chiedono se incidenti di alto profilo come la chiusura del gasdotto cambieranno i conti.

"La domanda per gli Stati Uniti e l'Occidente è: 'Fino a che punto si è disposti ad arrivare se i russi non collaboreranno?'", afferma James Lewis, esperto di sicurezza informatica presso il Center for Strategic and International Studies. “Ciò che l'Occidente non è stato disposto a fare è agire con forza contro la Russia. Che tipo di sanzioni si impongono se qualche paese ignora le norme internazionali concordate?".

"Penso che dobbiamo fare pressione sulla Russia per fare in modo che si muova contro i criminali informatici", sostiene Alperovitch. “Non solo quelli direttamente responsabili di Colonial, ma l'intera sfilza di gruppi che hanno condotto attacchi di ransomware, frodi finanziarie e simili da due decenni. Non solo la Russia non l'ha fatto: si è sempre opposta strenuamente quando chiediamo l'arresto di individui, fornendo prove alle forze dell'ordine russe. Non hanno fatto niente. 

Esistono numerosi esempi di criminali informatici che collaborano con l'intelligence russa. L’attacco su larga scala, nel 2014, contro Yahoo ha portato ad accuse contro ufficiali dell'intelligence russa e criminali informatici. Evgeniy Bogachev, un tempo l'hacker bancario più prolifico del mondo, è stato collegato allo spionaggio russo. E nelle rare occasioni in cui gli hacker vengono arrestati ed estradati, la Russia accusa gli Stati Uniti di "rapire" i suoi cittadini. Gli americani ribattono che il Cremlino protegge i criminali, impedendo indagini e arresti.

Bogachev, per esempio, è stato accusato dagli Stati Uniti di aver creato una rete di hacking criminale responsabile del furto di centinaia di milioni di dollari tramite hacking bancari. La sua attuale residenza in una località turistica nel sud della Russia non è un segreto, meno che mai per le autorità russe che in un primo momento hanno collaborato alle indagini guidate dagli americani contro di lui, ma alla fine hanno rinnegato l'accordo. Come molti altri, è irraggiungibile a causa della protezione di Mosca. 

Per essere chiari: non ci sono prove che Mosca abbia diretto l'hackeraggio al Colonial Pipeline. Ciò che gli esperti di sicurezza e intelligence sostengono è che la tolleranza di lunga data del governo russo e le occasionali relazioni dirette con i criminali informatici sono al centro della crisi del ransomware. Consentire a un'economia criminale di crescere senza controllo rende praticamente inevitabile che vengano colpiti obiettivi infrastrutturali critici come ospedali e gasdotti. Ma se la ricompensa è alta e il rischio finora è basso, il problema diventa insostenibile.

Quali sono le opzioni?

Pochi giorni prima che il gasdotto venisse violato, un rapporto storico, Combating Ransomware, è stato pubblicato dall'Institute for Security and Technology. Assemblato da una speciale task force composta da governo, università e rappresentanti delle più grandi aziende dell'industria tecnologica americana, è stata una delle opere più complete mai prodotte sul problema. La sua raccomandazione principale era quella di costruire un processo coordinato per dare la priorità alla difesa dal ransomware da parte dell’intero governo degli Stati Uniti. La fase successiva, vi si afferma, richiederebbe iniziative internazionali per combattere il problema del ransomware multimiliardario.

"La precedente amministrazione non pensava che questo problema fosse una priorità", afferma Phil Reiner, il responsabile del rapporto. Oggi, il menu standard americano di opzioni per rispondere agli attacchi di pirateria informatica varia dall'invio di una nota di protesta a incriminazioni individuali, da sanzioni a livello statale ad azioni informatiche offensive contro gruppi di ransomware. 

Gli esperti dicono che è importante convincere gli alleati a riconoscere pubblicamente i problemi ed essere meno titubanti. L'affermazione pubblica di Biden secondo cui il Cremlino è responsabile del crimine informatico perpetrato dal suolo russo potrebbe essere un segnale per Mosca di potenziali conseguenze se non interviene, anche se il presidente non ha detto quali potrebbero essere tali conseguenze. Il fatto che il ministro degli Esteri del Regno Unito, Dominic Raab, abbia presto condiviso questo sentimento è un segno di crescente consenso internazionale. 

"L’indirizzo prevalente è quello della cautela e i russi lo sanno e lo sfruttano", dice Lewis. “Colonial non ha cambiato completamente la situazione, ma l’impressione è che ci si stia allontanando da una risposta timida". L'azione può essere ostacolata per paura di un'escalation o perché il cyberattacco può passare in secondo piano rispetto ad altre questioni importanti per le relazioni Russia-Stati Uniti, come il controllo degli armamenti o l'Iran. Ma ci sono tentativi in corso per espandere le opzioni di azione ora che gli alti dirigenti di entrambe le sponde dell'Atlantico vedono chiaramente il ransomware come una minaccia alla sicurezza nazionale. 

Oggi, la Casa Bianca sta lavorando attivamente con partner internazionali, il Dipartimento di Giustizia sta creando una nuova task force per il ransomware e il Dipartimento per la sicurezza interna sta intensificando le iniziative per affrontare il problema. "E’ un problema risolvibile", dice Reiner, ex alto funzionario del Consiglio di sicurezza nazionale sotto Obama. “Ma se non si interviene, peggiorerà. Continueranno ad attaccare scuole, ospedali, aziende. Chi minaccia la sicurezza con i ransomware non si fermerà finché non pagherà qualche prezzo.

(rp)