L’FBI blocca gli hacker russi di Sandworm che stavano costruendo una botnet

Il Federal Bureau of Investigation degli Stati Uniti ha sottratto il controllo di migliaia di router e dispositivi firewall agli hacker militari russi, dirottando la stessa infrastruttura che le spie di Mosca stavano usando per comunicare con i dispositivi hakcerati, hanno detto mercoledì funzionari statunitensi.

Una dichiarazione giurata non sigillata ha descritto questa operazione insolita come una mossa preventiva per impedire agli hacker russi di creare una “botnet” malevola, ovvero una rete di computer compromessi che può bombardare altri server con traffico fittizio.

“Fortunatamente, siamo stati in grado di interrompere questa botnet prima che potesse essere utilizzata”

ha affermato il procuratore generale degli Stati Uniti Merrick Garland. L’ambasciata russa a Washington non ha effettuato commenti.

La botnet era controllata tramite un malware chiamato Cyclops Blink, che le agenzie di difesa informatica statunitensi e britanniche avevano pubblicamente attribuito a “Sandworm“, presumibilmente una delle squadre national state del servizio di intelligence militare russo che è stata più volte accusata di aver compiuto attacchi informatici.

Sandworm, è noto anche come Unit 74455, è presumibilmente un’unità cybermilitare russa del GRU, l’organizzazione responsabile dell’intelligence militare russa. Altri nomi, dati dai ricercatori di sicurezza informatica includono Telebots, Voodoo Bear e Iron Viking.

Si ritiene che il team sia dietro l’ attacco informatico alla rete elettrica in Ucraina del dicembre 2015, gli attacchi informatici del 2017 all’Ucraina utilizzando il malware NotPetya, vari tentativi di interferenza nelle elezioni presidenziali francesi del 2017 e l’attacco informatico alla cerimonia di apertura delle Olimpiadi invernali 2018. L’allora procuratore degli Stati Uniti per il distretto occidentale della Pennsylvania Scott Brady ha descritto la campagna informatica del gruppo come tra gli “attacchi informatici più distruttivi e costosi della storia”

Ritornando al malware, Cyclops Blink è stato progettato per dirottare dispositivi realizzati da WatchGuard Technologies Inc (WTCHG.UL) e ASUSTeK Computer Inc (2357.TW), secondo una ricerca di società di sicurezza informatica private.

Fornisce ai servizi russi l’accesso a quei sistemi compromessi, offrendo la possibilità di esfiltrare o eliminare da remoto i dati o trasformare i dispositivi per attaccare terzi.

Watchguard ha rilasciato una dichiarazione in cui confermava di aver collaborato con il Dipartimento di Giustizia degli Stati Uniti per interrompere la botnet, ma non ha rivelato il numero di dispositivi interessati, affermando solo che rappresentavano “meno dell’1% delle apparecchiature WatchGuard”.

Il direttore dell’FBI Chris Wray ha detto ai giornalisti che l’FBI, con l’approvazione del tribunale, ha segretamente raggiunto migliaia di router e dispositivi firewall per eliminare il malware e riconfigurare i dispositivi.

“Abbiamo rimosso il malware dai dispositivi utilizzati da migliaia di piccole imprese per la sicurezza della rete in tutto il mondo”, ha affermato Wray e ha aggiunto: “Abbiamo chiuso la porta che i russi avevano usato per entrarci”.

La dichiarazione giurata rilevava che i funzionari statunitensi hanno lanciato una campagna di sensibilizzazione “per informare i proprietari di dispositivi WatchGuard delle misure che dovrebbero intraprendere per rimediare alle infezioni o alle vulnerabilità“.

Il presidente Biden ha ripetutamente affermato che non avrebbe messo l’esercito americano in conflitto diretto con l’esercito russo, una situazione che secondo lui potrebbe portare alla terza guerra mondiale. Questo è il motivo per cui ha rifiutato di utilizzare l’aviazione americana per creare una no-fly zone sull’Ucraina o per consentire il trasferimento di aerei da combattimento in Ucraina dalle basi aeree della NATO.

Ma la sua esitazione non sembra estendersi al cyberspazio. L’operazione che è stata rivelata mercoledì ha mostrato la volontà di disarmare la principale unità di intelligence dell’esercito russo dalle reti di computer negli Stati Uniti e in tutto il mondo. È anche l’ultimo sforzo dell’amministrazione Biden per arginare le azioni russe rendendole pubbliche prima che Mosca possa colpire.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana

Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore