Negli Stati Uniti non verrà dimenticata molto facilmente la cyber estorsione che da qualche settimana – dopo un potente attacco hacker – sta paralizzando centinaia di servizi nella città di Baltimora, nel Maryland. E non solo perché ci si trova di fronte a uno dei casi più eclatanti di ciò che può significare, nell’era digitale, subire un’offensiva alle proprie infrastrutture critiche e a gangli informatici vitali. Ma anche perché alla base del tool malevolo utilizzato contro i sistemi della municipalità ci sarebbe EternalBlue, uno strumento sviluppato proprio negli Usa dalla National Security Agency, che ora minaccia di colpire altri centri urbani del Paese.

L’ATTACCO A BALTIMORA

L’attacco a Baltimora, spiegano i media d’oltreoceano, sembra una classica offensiva ransomware. All’inizio di maggio – racconta il Baltimore Sun – gli schermi dei dipendenti comunali si sarebbero improvvisamente bloccati, dopodiché un messaggio, scritto in un inglese imperfetto, avrebbe richiesto 100mila dollari in bitcoin per riavere disponibili i propri dati.  Secondo alcuni esperti, l’attacco potrebbe anche essere stato casuale e non mirato alla città. Probabile, cioè, che il virus sia stato contratto da un dipendente, magari attraverso una mail infetta, e poi, con effetto domino, si sia propagato su migliaia di computer della Pubblica amministrazione. Il sindaco Bernard Young (appena eletto al posto dell’uscente Catherine Pugh) si è rifiutato di pagare, così solo pochi servizi sono stati finora ripristinati al meglio. Il disagio e i problemi sono stati e sono enormi: vendite e acquisti bloccati, registri inaccessibili, sistemi della polizia e portale delle imposte in tilt, per dirne alcuni.
Si tratta, in parole povere, di una offensiva di vasta portata, forse difficile da impedire vista la digitalizzazione crescente di una moltitudine di servizi, ma che tuttavia, rilevano gli esperti americani, non sarebbe stata così devastante senza il contributo di EternalBlue, un tool che sfrutta una vulnerabilità in un software senza patch che avrebbe consentito agli hacker di diffondere il proprio malware più velocemente e più lontano di quanto avrebbero fatto altrimenti.

LA VIOLAZIONE

La violazione dell’agenzia d’intelligence americana (mai confermata), ricorda il New York Times, risale al 2017. Dopo quella data, un team di hacker denominato Shadow Brokers (a partecipazione sia russa sia nordcoreana) avrebbe venduto nel dark web quanto in suo possesso (non è chiaro se sia stato il collettivo ad averlo sottratto o se lo abbia ricevuto per altre vie) ad altrettanti criminali. Alla Nsa sarebbero stati sottratti anche altri due strumenti di hacking, Eternal Synergy e Double Pulsar, i quali, secondo un’indagine di Symantec, sarebbero finiti nelle mani del team di hacker cinese Buckeye, che li avrebbe a sua volta diffusi.

L’IMPORTANZA DI ETERNAL BLUE

Ad ogni modo, di lì a poco, agenzie di intelligence straniere – che secondo gli Stati Uniti potrebbero essere coinvolte nel caso – e gruppi di hacker al loro soldo, avrebbero utilizzato EternalBlue per liberare il malware, che nel tempo ha paralizzato ospedali, aeroporti, operatori ferroviari e marittimi, Atm e fabbriche. Ora lo strumento sta colpendo direttamente gli Stati Uniti in zone più vulnerabili, dove l’infrastruttura digitale è meno rinforzata e aggiornata. Prima che i suoi segreti trapelassero, EternalBlue era uno degli exploit più utili nell’arsenale cyber della Nsa, utilizzato in innumerevoli missioni di raccolta di informazioni e antiterrorismo. La Corea del Nord sarebbe stata, secondo le ricostruzioni Usa, la prima nazione ad usare il tool nell’offensiva del 2017 di WannaCry, che colpì circa 200mila realtà in tutto il mondo, causando danni ingentissimi. Poi ci sarebbe stata la Russia, che avrebbe utilizzato l’arma per NotPetya. Questa offensiva, partita dall’Ucraina, si è poi scagliata contro diverse aziende. Spazio, infine, anche per hacker iraniani, che lo avrebbero usato per colpire alcune compagnie in Medio Oriente.

IL DIBATTITO NEGLI USA

Un mese prima che gli Shadow Brokers iniziassero a mettere online gli strumenti dell’agenzia nel 2017, la Nsa, – consapevole della violazione – contattò alcune società tecnologiche per informarle dell’esistenza di alcune vulnerabilità ‘zero day’ nei loro software, sulle quali faceva leva anche EternalBlue. In particolare Microsoft rilasciò una patch, ma centinaia di migliaia di computer in tutto il mondo non sono ancora oggi protetti. Gli hacker, infatti, avrebbero trovato un punto debole non solo a Baltimora, ma anche a Allentown (in Pennsylvania) e a San Antonio (in Texas), dove le reti pubbliche utilizzavano software obsoleti. E nonostante le indagini dell’Fbi siano ancora in corso, oltreoceano si discute di come evitare in futuro casi simili. Da un lato emerge la necessità di rendere più resilienti le cyber difese delle città, tanto più alla vigilia dell’introduzione del 5G che moltiplicherà gli oggetti connessi e, dunque, i punti di accesso alle reti per i malintenzionati. Dall’altro quella di proteggere meglio le cyber armi utilizzate dai servizi di intelligence, anche attraverso un ricorso sistematico al cosiddetto Vulnerabilities Equities Process, un processo utilizzato dal governo federale degli Stati Uniti per determinare, caso per caso, come trattare le vulnerabilità della sicurezza informatica zero-day; se divulgarle al pubblico o ai soggetti in pericolo per contribuire a migliorare la sicurezza generale o mantenerli segreti per uso offensivo contro gli avversari della nazione.​