La strategia USA contro le minacce informatiche dalla Cina: una recente operazione dell’FBI ha mirato ad eliminare un pericoloso botnet.
Recentemente, gli Stati Uniti hanno messo in atto una significativa offensiva contro una minaccia informatica che si è rivelata avere origini cinesi. L’iniziativa ha visto protagonista l’FBI nel tentativo di annientare un botnet particolarmente insidioso che si avvaleva di router domestici e aziendali non protetti per colpire infrastrutture critiche americane. Tale operazione, combaciata con le autorità legali conferite da un tribunale, assume contorni emblematici nella silente guerra cibernetica che coinvolge le grandi potenze mondiali.
Il botnet in questione, parte di una campagna di hacking direttamente attribuita al governo cinese e nota con il nome di “Volt Typhoon”, sfruttava malware denominato “KV Botnet” per prendere di mira dispositivi di bordo delle reti – principalmente router di produzione Cisco e NetGear – allo scopo di mascherare le sue attività. L’operazione dell’FBI e del Dipartimento di Giustizia americano (DOJ), come riferito, ha incluso l’eliminazione del malware dai router e il blocco delle comunicazioni con altri dispositivi usati per controllare il botnet.
Una fonte dell’FBI ha descritto nelle registrazioni di tribunale il metodo impiegato per ripulire i dispositivi infetti: un comando inviato ai router che permetteva la rimozione del malware senza intaccare file o informazioni legittime presenti nei sistemi. Uno scenario che descrive un’azione precisa e chirurgica nell’ecosistema delle reti infettate.
Analisi realizzate dalla compagnia di telecomunicazione Lumen evidenziano che questo botnet era attivo da almeno febbraio 2022, e si concentrava sui dispositivi di periferia delle reti, un segmento particolarmente vulnerabile e reso ancora più esposto dallo spostamento a modelli di lavoro remoto degli ultimi anni. Lumen ha anche notato un aumento nell’utilizzo di nuovi bot nel mese di agosto 2023, seguito da una revisione dell’infrastruttura del botnet avvenuta a novembre dello stesso anno.
Gli ufficiali della sicurezza nazionale americana hanno ripetutamente lanciato avvertimenti in merito all’aggressività del modus operandi cinese, che sembra non limitarsi all’intelligence, ma propende più verso un’attività preparatoria che potrebbe preludere a un attacco destruens in caso di un’eventuale invasione cinese di Taiwan.
Christopher Wray, Direttore dell’FBI, ha esposto in un’audizione del Congresso la concezione strategica dietro queste azioni: “I pirati informatici cinesi si posizionano sull’infrastruttura americana per causare danno e panico reale agli americani e alle comunità se e quando la Cina deciderà che è il momento di colpire”. Il generale Paul Nakasone ha enfatizzato la deliberata scelta di Pechino di prendere di mira i civili, considerando indecifrabile la presenza cinese in settori come l’acqua e l’energia elettrica a meno che non fosse motivata dalla volontà di attaccare obiettivi civili.
Sono stati i funzionari di CISA (Cybersecurity and Infrastructure Security Agency) a paragonare la gravità potenziale di tali azioni a scenari catastrofici già visti, come l’attacco ransomware alla Colonial Pipeline nel maggio 2021, che ha provocato gravi interruzioni alle forniture di carburanti lungo la costa orientale degli USA. Questo episodio ha dimostrato quanto possa essere disastroso un attacco ai danni dell’infrastruttura critica nazionale americana.
Nonostante l’ambasciata cinese abbia esplicitamente affermato di opporsi agli attacchi informatici e all’abuso delle tecnologie dell’informazione, gli eventi recenti delineano un quadro di vigilanza e reattività necessarie per prevenire e mitigare le minacce a sfondo geopolitico nel cyberspazio.