Per più di due anni, il generale Paul Nakasone ha promesso che, sotto la sua guida, il Cyber Command degli Stati Uniti si sarebbe “difeso in avanti”, trovando avversari e interrompendo preventivamente le loro operazioni. Ora quella strategia offensiva ha assunto una forma inaspettata: un’operazione progettata per disabilitare o smantellare Trickbot, la botnet più grande del mondo, ritenuta controllata dai criminali informatici russi. In tal modo, Cyber Command ha stabilito un precedente nuovo, molto pubblico e potenzialmente disordinato per il modo in cui gli hacker statunitensi si batteranno contro attori stranieri, anche quelli che lavorano come criminali non statali.
Nelle ultime settimane, Cyber Command ha condotto una campagna per interrompere la raccolta di oltre un milione di computer della banda Trickbot dirottati con malware. Ha violato i server di comando e controllo della botnet per tagliare le macchine infette dai proprietari di Trickbot e ha persino iniettato dati spazzatura nella raccolta di password e dettagli finanziari che gli hacker avevano rubato dalle macchine delle vittime, nel tentativo di rendere le informazioni inutili. Le operazioni sono state segnalate per la prima volta da Il Washington Post e Krebs sulla sicurezza. Secondo la maggior parte delle misure, queste tattiche, così come un successivo tentativo di interrompere Trickbot da parte di società private tra cui Microsoft, ESET, Symantec e Lumen Technologies, hanno avuto scarso effetto sulle operazioni a lungo termine di Trickbot. I ricercatori sulla sicurezza affermano che la botnet, che gli hacker hanno utilizzato per piantare ransomware in innumerevoli reti di vittime, inclusi ospedali e strutture di ricerca medica, si è già ripresa.
Ma anche nonostante i suoi risultati limitati, il targeting Trickbot di Cyber Command mostra la crescente portata degli hacker militari statunitensi, affermano osservatori di cyberpolicy ed ex funzionari. E rappresenta più di un “primo”, afferma Jason Healey, ex membro dello staff della Casa Bianca di Bush e attuale ricercatore sul conflitto informatico presso la Columbia University. Non solo questo è il primo caso confermato pubblicamente di Cyber Command che attacca i criminali informatici non statali, sebbene quelli le cui risorse sono cresciute al livello da rappresentare un rischio per la sicurezza nazionale, è in realtà il primo caso confermato in cui il Cyber Command ha attaccato gli hacker di un altro paese per disabilitarli, punto.
“È certamente la creazione di precedenti”, dice Healey. “È la prima operazione pubblica e ovvia per fermare la capacità informatica di qualcuno prima che possa essere usata contro di noi per causare danni ancora maggiori”.
I ricercatori della sicurezza hanno osservato per settimane strani avvenimenti nell’enorme raccolta di computer hackerati da Trickbot, azioni che solo di recente sarebbero state rivelate come opera del Cyber Command statunitense. La botnet è andata in gran parte offline il 22 settembre quando, invece di riconnettersi ai server di comando e controllo per ricevere nuove istruzioni, i computer con infezioni da Trickbot hanno ricevuto nuovi file di configurazione che dicevano loro di ricevere comandi invece da un indirizzo IP errato che li tagliava fuori dai botmaster, secondo la società di sicurezza Intel 471. Quando gli hacker si sono ripresi da quell’interruzione iniziale, lo stesso trucco è stato utilizzato di nuovo poco più di una settimana dopo. Non molto tempo dopo, un gruppo di società private di tecnologia e sicurezza guidate da Microsoft ha tentato di interrompere tutte le connessioni ai server di comando e controllo con sede negli Stati Uniti di Trickbot, utilizzando ordini del tribunale per chiedere ai fornitori di servizi Internet di cessare di instradare il traffico verso di loro.
Ma nessuna di queste azioni ha impedito a Trickbot di aggiungere nuovi server di comando e controllo, ricostruendo la sua infrastruttura entro giorni o addirittura ore dai tentativi di rimozione. I ricercatori di Intel 471 hanno utilizzato le proprie emulazioni del malware Trickbot per tenere traccia dei comandi inviati tra i server di comando e controllo e i computer infetti e hanno scoperto che, dopo ogni tentativo, il traffico tornava rapidamente.
“La risposta breve è che sono completamente funzionanti”, dice un ricercatore che lavora in un gruppo concentrato sugli sforzi di rimozione del settore tecnologico, che ha chiesto di non essere identificato. “Sapevamo che questo non avrebbe risolto il problema a lungo termine. Si trattava più di vedere cosa si poteva fare tramite i percorsi xyz e vedere la risposta”.
Anche così, il coinvolgimento del Cyber Command in quelle operazioni rappresenta un nuovo tipo di targeting per gli hacker militari di Fort Meade. In operazioni passate, il Cyber Command ha eliminato le piattaforme di comunicazione dell’ISIS, cancellato i server utilizzati dall’agenzia di ricerca Internet incentrata sulla disinformazione collegata al Cremlino e interrotto i sistemi utilizzati dalla Guardia rivoluzionaria iraniana per rintracciare e prendere di mira le navi. (WIRED ha riferito questa settimana che sotto Nakasone, Cyber Command ha condotto almeno altre due campagne di hacking dall’autunno del 2019 che devono ancora essere rivelate pubblicamente.) Ma in contrasto con quegli sforzi asimmetrici per disabilitare i sistemi di comunicazione e sorveglianza nemici, Cyber L’attacco Trickbot di Command rappresenta la sua prima operazione “force-on-force” conosciuta, osserva Jason Healey, un attacco informatico inteso a disabilitare i mezzi per un attacco informatico nemico.
.
