US Cyber ​​Command, cosa stai facendo? Tra minacce, Intelligence e contro-spionaggio.

Molti americani si stanno chiedendo cosa stia facendo l’esercito dei cyber-guerrieri di Fort Meade, nel Maryland, dopo i ripetuti attacchi ai sistemi informatici statunitensi da parte di hacker cinesi, russi e di altro tipo.

La risposta potrebbe essere nel sottile retweet della 780th Military Intelligence Brigade, il 14 maggio, quando una società di sicurezza aveva dichiarato che l’operatore di ransomware Darkside aveva perso il controllo delle proprie infrastrutture.

Nessuno sa chi abbia preso il controllo dei server di Darkside, una settimana dopo che la cyber-gang russa ha sferrato l’attacco ransomware all’oleodotto statunitense, causando carenza di benzina negli Stati Uniti orientali.

Ma i sospetti sono che il Cyber Command sia intervenuto, per punire Darkside e per segnalare al piccolo esercito di fornitori di ransomware che operano dall’Europa orientale che anche loro sono vulnerabili.

Il ruolo di dell’US Cyber Command è ancora oggi al centro di accesi dibattiti in quanto non è chiaro se si occupi di intraprendere attacchi strategici durante una guerra, confrontarsi costantemente con gli hacker militari dell’intelligence oppure di perseguire criminali informatici come Darkside, che normalmente dovrebbero essere perseguiti dalle leggi internazionali.

Il primo segno, che il Dipartimento della Difesa degli Stati Uniti stava utilizzando le proprie tecniche nella guerra informatica contro il mondo, è stato nel 2010, quando si è saputo che Stuxnet, un worm informatico distruttivo creato dagli Stati Uniti e da Israele, aveva infettato e danneggiato le strutture di arricchimento nucleare dell’Iran.

La guerra informatica, allora, era vista come un modo per attaccare o scoraggiare i nemici distruggendo la loro infrastruttura con attacchi malware devastanti.

Da quei tempi, il governo degli Stati Uniti e le imprese private sono state colpite più e più volte, dai cinesi che hanno rubato i database governativi e segreti aziendali, dai Russi che hanno hackerato le elezioni statunitensi, dai nordcoreani che hanno rubato bitcoin e (ovviamente) da una serie di operatori ransomware che estorcono centinaia di milioni di dollari alle aziende, ospedali e autorità locali

Il generale Paul Nakasone, comandante della CyberCom

Il generale Paul Nakasone, comandante della CyberCom disse: “Quando ci accorgiamo di elementi che operano al di fuori degli Stati Uniti, cerchiamo di imporre il maggior costo possibile”, ha detto. “Imporre costi” significava smascherare gli hacker o contrattaccare, ha detto, anche se si è rifiutato di fornire esempi del loro lavoro.

Jon Lindsay, un assistente professore dell’Università di Toronto studioso dei conflitti militari online, ha detto che la strategia di guerra cibernetica è cambiata da Stuxnet. A quel tempo, “i cyber-weapons erano considerate armi digitali di distruzione di massa”, qualcosa che poteva punire o minacciare di punire gli avversari per scoraggiare i loro attacchi.

“E ‘stata un’azione segreta di livello molto alto, controllata dal presidente”, da usare strategicamente e con parsimonia, ha detto Lindsay. Da allora, è diventato qualcos’altro: una lotta continua di basso livello che non richiede l’approvazione, ma si tratta di un “impegno persistente”, che non si concentra sulla deterrenza.

“È molto, molto difficile, se non impossibile, scoraggiare le attività di attacco nel cyberspazio. Quindi ciò che CyberCom deve essere in grado di fare è essere costantemente impegnata, operando costantemente in avanti nelle reti degli avversari”, ha detto Lindsay.

Questo rende il CyberCom più simile a operazioni di intelligence in corso, raccolta di informazioni, blocco degli avversari e una leggera escalation quando si vede che l’altra parte è andata troppo oltre. Rivelare ciò che fa il Pentagono potrebbe avere un valore deterrente, secondo Elizabeth Bodine-Baron, scienziata senior dell’informazione presso RAND Corp. ha detto: “se non diamo mai esempi concreti, siamo entrati, l’abbiamo fatto, allora nessuno ci crederà mai”.

Ma c’è anche la sfida di attribuire definitivamente la fonte di un attacco, soprattutto quando si sospetta che dietro di esso ci sia un attore statale. Su questo ha aggiunto, se c’è certezza sull’identità di un aggressore, rendere pubblica l’attribuzione “potrebbe potenzialmente rivelare qualcosa sulle nostre capacità”. Inoltre, vantarsi degli hack effettuati rischia sempre di aggravare la situazione, costringendo gli avversari a vendicarsi per soddisfare il proprio pubblico.

Lindsay ha affermato che gli Stati Uniti e i loro principali avversari, ora trattano i conflitti informatici come un modo per evitare l’escalation.“Il Cyber Command rende gli avversari più riluttanti ad intesificare le azioni”, ha detto ad AFP. “Quella alla quale stiamo assistendo, non è una guerra militare, è un concorso di intelligence”.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Pietro Melillo

Membro e Riferimento del gruppo di Red Hot Cyber Dark Lab, è un ingegnere Informatico specializzato in Cyber Security con una profonda passione per l’Hacking e la tecnologia, attualmente CISO di WURTH Italia, è stato responsabile dei servizi di Cyber Threat Intelligence & Dark Web analysis in IBM, svolge attività di ricerca e docenza su tematiche di Cyber Threat Intelligence presso l’Università del Sannio, come Ph.D, autore di paper scientifici e sviluppo di strumenti a supporto delle attività di cybersecurity. Dirige il Team di CTI "RHC DarkLab"

Aree di competenza: Cyber Threat Intelligence, Ransomware, Sicurezza nazionale, Formazione