Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
L’FBI riferisce di stare indagando su un possibile attacco informatico che potrebbe aver avuto un impatto sui sistemi utilizzati per gestire i mandati di intercettazione e sorveglianza. L’agenzia ha rifiutato di divulgare dettagli sulla portata dell’incidente o sul suo impatto, sottolineando che il problema è già stato risolto.
Al momento le informazioni risultano poco chiare e non è noto se questo incidente sia correlato alle attività del gruppo di hacker di matrice cinese Salt Typhoon. “L’FBI ha rilevato e affrontato attività sospette sulle sue reti, utilizzando tutte le risorse tecniche disponibili per rispondere”, hanno dichiarato i rappresentanti dell’agenzia ai media, rifiutandosi di rilasciare ulteriori commenti.
La CNN è stata la prima a riportare l’incidente, citando una fonte anonima. Secondo questa fonte, l’attacco hacker avrebbe interessato i sistemi dell’FBI utilizzati per gestire i mandati di intercettazione e la sorveglianza di intelligence ai sensi del Foreign Intelligence Surveillance Act (FISA). Ricordiamo che nel 2024 questo gruppo ha compromesso i sistemi del governo federale statunitense progettati per elaborare le richieste di intercettazione autorizzate dal tribunale.
L’attacco è venuto alla luce dopo che Salt Typhoon è penetrato nelle reti di importanti compagnie di telecomunicazioni statunitensi (AT&T, Verizon, Lumen, Charter Communications, Consolidated Communications, Comcast, Digital Realty e Windstream), nonché di diversi operatori di telecomunicazioni di altri Paesi. All’interno delle reti dei provider di telecomunicazioni, gli hacker hanno anche ottenuto l’accesso alla corrispondenza personale di diversi funzionari statunitensi.
Il Foreign Intelligence Surveillance Act (FISA) è una legge statunitense approvata nel 1978 che regola le attività di sorveglianza e raccolta di intelligence nei confronti di soggetti stranieri sospettati di minacciare la sicurezza nazionale degli Stati Uniti. La norma fu introdotta dopo gli scandali degli anni ’70 che rivelarono abusi nelle attività di sorveglianza da parte delle agenzie di intelligence statunitensi.
Il FISA stabilisce che le operazioni di intercettazione elettronica, accesso ai dati e altre forme di monitoraggio debbano essere autorizzate da un tribunale speciale, la FISA Court (Foreign Intelligence Surveillance Court). Questo tribunale opera in modo riservato e valuta le richieste presentate dalle agenzie federali – in particolare FBI e NSA – per ottenere mandati di sorveglianza su individui sospettati di agire per conto di potenze straniere o organizzazioni terroristiche.
Negli anni successivi agli attentati dell’11 settembre 2001, il sistema FISA è stato ampliato attraverso diverse modifiche legislative, tra cui il FISA Amendments Act del 2008, che ha introdotto programmi di sorveglianza su larga scala come la Section 702. Questa sezione consente alle agenzie di intelligence di raccogliere comunicazioni elettroniche di cittadini non statunitensi situati all’estero, ma nella pratica ha spesso portato alla raccolta incidentale di dati di cittadini americani.
Il FISA è tornato al centro del dibattito pubblico globale nel 2013 con lo scandalo noto come “Datagate”, emerso grazie alle rivelazioni dell’ex contractor della NSA Edward Snowden. I documenti pubblicati mostrarono l’esistenza di programmi di sorveglianza di massa gestiti da NSA e FBI, tra cui PRISM, XKeyscore e molti altri, che consentivano l’accesso a enormi quantità di dati provenienti da provider Internet e compagnie tecnologiche.
In particolare, il programma PRISM permetteva all’FBI di raccogliere dati direttamente dai server di grandi aziende tecnologiche statunitensi, mentre altri sistemi consentivano l’analisi su larga scala del traffico Internet globale. Le rivelazioni dimostrarono che tali strumenti venivano utilizzati anche nel quadro legale del FISA, alimentando un forte dibattito internazionale sulla sorveglianza di massa, la privacy e i poteri delle agenzie di intelligence.
I sistemi di sorveglianza e intercettazione sviluppati per finalità di intelligence – come XKeyscore, PRISM e altri strumenti utilizzati nel contesto delle attività autorizzate dal FISA – dimostrano quanto le tecnologie di accesso privilegiato ai dati possano essere potenti. Tuttavia, queste stesse tecnologie rappresentano anche un rischio significativo: ogni infrastruttura progettata per intercettare, monitorare o accedere ai sistemi informatici può diventare un bersaglio per gli hacker.
In altre parole, una backdoor o un sistema di sorveglianza centralizzato è sempre un’arma a doppio taglio. Se da un lato consente alle agenzie di intelligence di raccogliere informazioni su minacce alla sicurezza nazionale, dall’altro crea punti di accesso estremamente sensibili che, se compromessi, possono essere sfruttati da attori malevoli.
Un esempio emblematico è quello del cyber-arsenale della NSA, da cui nel 2016 vennero sottratti diversi strumenti offensivi da parte del misterioso gruppo di hacker The Shadow Brokers. Tra questi exploit figurava EternalBlue, una cyber-weapon progettata per sfruttare vulnerabilità nei sistemi Windows.
Nel 2017, gli stessi strumenti trafugati furono pubblicati online all’interno del leak noto come “The Lost in Translation”, rendendo accessibile a chiunque una parte significativa dell’arsenale offensivo dell’intelligence statunitense. Poco tempo dopo, l’exploit EternalBlue venne riutilizzato da criminali informatici per alimentare il devastante ransomware WannaCry, che infettò centinaia di migliaia di computer in tutto il mondo, colpendo aziende, infrastrutture e persino ospedali.
Questo episodio dimostra chiaramente che le armi cibernetiche e i sistemi di spionaggio non restano necessariamente nelle mani di chi li crea. Possono essere rubati, copiati, analizzati e riutilizzati da gruppi criminali, attori statali ostili o hacktivisti, trasformandosi in strumenti di attacco su scala globale.
Il problema non riguarda soltanto gli exploit offensivi. Anche le piattaforme di sorveglianza e intercettazione – come quelle utilizzate per gestire le richieste FISA o per monitorare il traffico delle telecomunicazioni – rappresentano infrastrutture estremamente sensibili. Se compromesse, potrebbero consentire a un attaccante di spiare comunicazioni, raccogliere informazioni sensibili o manipolare i sistemi di monitoraggio stessi.
In definitiva, ogni tecnologia progettata per l’intercettazione o per l’accesso privilegiato ai dati introduce inevitabilmente nuove superfici di attacco. Per questo motivo il dibattito tra sicurezza nazionale e tutela della privacy resta centrale: rafforzare i poteri di sorveglianza può aiutare le forze dell’ordine e l’intelligence, ma allo stesso tempo aumenta il rischio che tali strumenti vengano abusati o finiscano nelle mani sbagliate.
Ecco perché, nel mondo della cybersecurity, privacy e sicurezza devono essere sempre bilanciate con attenzione. Strumenti progettati per difendere uno Stato possono, se non adeguatamente controllati e protetti, trasformarsi in potenti armi anche contro i cittadini o contro le stesse istituzioni che li hanno creati.
