Nobelium, collettivo hacker già dietro gli attacchi contro SolarWinds, ha messo nel mirino l’agenzia Usa per lo sviluppo internazionale per colpire i critici (tra cui organizzazioni che hanno difeso Navalny). Tutti i dettagli
A tre settimane dall’incontro di Ginevra tra Joe Biden e Vladimir Putin, il clima tra Stati Uniti e Russia si surriscalda nuovamente. Nobelium, il collettivo di hacker legato all’intelligence russa e già identificato da Washington come autore del maxi attacco dell’anno scorso contro SolarWinds, ha colpito ancora: nel mirino, questa volta è finita la U.S. Agency for International Development, l’ente della diplomazia statunitense che si occupa di sviluppo internazionale.
L’ha rivelato Tom Burt, vicepresidente di Microsoft, con un lungo e dettagliato post. Gli hacker hanno violato i sistemi di un fornitore dell’Usaid e hanno invitato email fraudolente a oltre 3.000 account di più di 150 organizzazioni nel network dell’agenzia distribuite in almeno 24 Paesi. All’interno della comunicazione è stato inserito una backdoor denominata NativeZone in grado di fornire agli hacker accesso illimitato ai sistemi informatici dei destinatari, dal “furto di dati all’infezione di altri computer su una rete”, ha scritto Burt.
Questa volta l’obiettivo degli hacker russi non era il governo statunitense bensì i suoi contatti con “agenzie governative, think tank, consulenti e Ong” che spesso sono tra i principali critici del Cremlino. “Almeno un quarto delle organizzazioni prese di mira sono coinvolte nello sviluppo internazionale, nel lavoro umanitario e nel lavoro sui diritti umani”, ha scritto Burt. Non fa nomi ma molti di questi gruppi, come sottolinea il New York Times, si sono battuti per l’oppositore Alexei Navalny.
“Molti degli attacchi ai nostri clienti sono stati bloccati automaticamente e Windows Defender sta bloccando il malware coinvolto in questo attacco”, ha spiegato ancora Burt. “Stiamo anche informando tutti i nostri clienti che sono stati individuati come obiettivi”.
È lo stesso vicepresidente di Microsoft ha individuare le tre ragioni per le quali questi attacchi “sono notevoli”. Prima: considerando anche l’attacco a SolarWinds, “è chiaro che parte del playbook di Nobelium è rappresentato dall’ottenere l’accesso a fornitori di tecnologia affidabili e infettare i loro clienti” aumentando così “le possibilità di danni collaterali nelle operazioni di spionaggio” e minando “la fiducia nell’ecosistema tecnologico”.
Seconda: le attività del gruppo e altri attori simili “tendono a seguire questioni che preoccupano il Paese da cui operano”, ossia la Russia. Basti pensare alle attività di un alto collettivo russo, Strontium, che nel momento più difficile della pandemia Covid-19 ha preso di mira le organizzazioni sanitarie impegnate nella ricerca del vaccino. Terza: “gli attacchi informatici degli Stati-nazione non stanno rallentando”, dunque c’è “bisogno di regole chiare che disciplinino la condotta dello Stato-nazione nel cyberspazio e indicazioni chiare sulle conseguenze della violazione di tali regole”.
Già al centro della telefonata di metà aprile tra Biden e Putin, i cyber-attacchi si annunciano come uno dei dossier più caldi dell’incontro di Ginevra tra i due presidenti. Anche perché con il nuovo inquilino alla Casa Bianca gli Stati Uniti hanno deciso di prendere di petto la questione. Nelle scorse settimane il presidente Biden ha firmato un executive order pensato per rafforzare la sicurezza cibernetica del Paese, con in cima all’agenda la rimozione degli ostacoli alla condivisione delle informazioni sulle minacce tra governo e settore privato.
Il progetto, per il quale la Casa Bianca ha stanziato anche diversi miliardi come ha rivelato Bloomberg, per certi versi ricorda molto l’italiano Perimetro di sicurezza nazionale cibernetica: basti pensare alla nozione di critical software di servizi essenziali, che infatti è identica a quella di “bene Ict” nell’architettura messa in piedi dal Dis, come già sottolineato su Formiche.net. Una dimostrazione che l’intesa transatlantica si sta rafforzando, anche in campo cibernetico.
Basti pensare a tal proposito alle parole del presidente del Consiglio Mario Draghi: “Bisogna rafforzarsi molto, soprattutto dal lato della sicurezza cibernetica. Il livello di interferenza, sia con le spie che abbiamo visto di recente, sia sul web, è veramente diventato allarmante”, ha detto nei giorni scorsi a margine del Consiglio europeo. E non è un caso che il governo italiano stia per annunciare la nascita di una nuova agenzia nazionale per la cybersecurity, al di fuori del comparto intelligence, che conterrà al suo interno il Centro di competenza per spendere e gestire i fondi del Recovery Fund ma anche per dialogare con la rete europea.