Un possibile cyberattacco ha colpito uno dei sistemi informatici utilizzati dall’Fbi per supportare attività di sorveglianza e indagine. La Casa Bianca sta coordinando la risposta insieme alle principali agenzie federali di sicurezza, tra cui National Security Agency (Nsa) e Cybersecurity and Infrastructure Security Agency (Cisa), dopo che il Bureau ha informato il Congresso dell’incidente.

Secondo quanto riportato da Politico, che cita funzionari statunitensi a conoscenza della vicenda, il sistema interessato contiene informazioni sensibili relative a tecniche investigative utilizzate dalle forze dell’ordine federali. L’episodio è ora oggetto di un’indagine interna e interagenzia.

L’anomalia rilevata a febbraio

L’Fbi avrebbe individuato attività informatiche sospette il 17 febbraio, dopo aver rilevato comportamenti anomali nella rete. La notifica inviata al Congresso mercoledì scorso parla di una possibile intrusione in un sistema che, pur non essendo classificato, ospita “law enforcement sensitive information”, cioè dati sensibili per le attività investigative.

Tra questi rientrano i risultati raccolti tramite strumenti come pen register e trap and trace, tecnologie che permettono di monitorare i metadati delle comunicazioni telefoniche, numeri chiamati, durata e frequenza dei contatti senza registrare il contenuto delle conversazioni.

Si tratta di informazioni apparentemente tecniche ma molto preziose dal punto di vista dell’intelligence: consentono infatti di ricostruire reti di contatto, identificare soggetti sotto indagine e anticipare operazioni investigative. Per questo motivo rappresentano un obiettivo particolarmente appetibile per servizi di intelligence stranieri e gruppi criminali organizzati.

L’attacco

Secondo la documentazione visionata da Politico, gli hacker sarebbero riusciti a penetrare la rete federale sfruttando l’infrastruttura di un provider commerciale di servizi Internet utilizzato dall’Fbi come fornitore.

Una tecnica che gli investigatori definiscono “sofisticata” e che richiama metodi già utilizzati da gruppi di cyberspionaggio statale. In passato, attori riconducibili alla Cina e alla Russia hanno sfruttato proprio reti di fornitori tecnologici per aggirare le difese di obiettivi governativi particolarmente protetti.

L’Fbi ha confermato l’esistenza dell’incidente con una breve dichiarazione: l’agenzia ha individuato attività sospette sulla propria rete e sta utilizzando “tutte le capacità tecniche disponibili” per analizzarle e contenerle.

Resta tuttavia da chiarire l’effettiva portata della compromissione. Non è ancora noto se siano stati sottratti dati investigativi, né se tra le informazioni esposte possano esserci contenuti relativi a intercettazioni o indagini in corso.

Un problema crescente per Washington

La Casa Bianca non ha commentato ufficialmente i dettagli dell’incidente, ma secondo Politico l’episodio è stato discusso con le principali agenzie federali responsabili della sicurezza informatica. Anche Cisa e Nsa non hanno rilasciato dichiarazioni operative.

Il caso arriva in un momento di forte pressione sul fronte cyber per l’amministrazione americana. Negli ultimi due anni diverse infrastrutture federali e giudiziarie sono state oggetto di intrusioni informatiche, tra cui un attacco ransomware contro il U.S. Marshals Service e una violazione di un sistema documentale utilizzato dai tribunali federali.

Ma soprattutto pesa il precedente della campagna di spionaggio informatico attribuita al gruppo cinese Salt Typhoon, che nel 2024 ha compromesso grandi operatori di telecomunicazioni statunitensi, tra cui AT&T, Verizon e Lumen, accedendo ai registri telefonici di milioni di americani e a dati di messaggistica appartenenti anche a figure di primo piano della politica statunitense.

Secondo diversi funzionari ed ex responsabili dell’amministrazione americana, alcune delle infrastrutture colpite in quell’operazione non sarebbero mai state completamente bonificate, lasciando aperta la possibilità di nuove infiltrazioni.

Proprio per questo, il 19 febbraio, due giorni dopo l’individuazione dell’attività sospetta nei sistemi dell’Fbi, un dirigente della divisione cyber intelligence del Bureau ha avvertito durante una conferenza di settore che le operazioni di spionaggio informatico condotte da gruppi cinesi restano “molto, molto attive”. Ad oggi, non esiste alcuna attribuzione ufficiale dell’intrusione appena scoperta, con le investigazioni che dovranno stabilire chi sia entrato nella rete federale e con quali obiettivi.