Gli Stati Uniti accusano 4 russi di pirateria informatica, compresa la centrale nucleare

WASHINGTON – Giovedì il Dipartimento di Giustizia ha svelato le accuse che accusavano quattro funzionari russi di aver compiuto una serie di attacchi informatici contro infrastrutture critiche negli Stati Uniti, inclusa una centrale nucleare in Kansas, e di aver evidentemente compromesso un impianto petrolchimico in Arabia Saudita.

L’annuncio riguardava gli hacker dal 2012 al 2018, ma è servito come un altro avvertimento da parte dell’amministrazione Biden sulla capacità della Russia di condurre tali operazioni. Sono arrivati ​​giorni dopo che il presidente Biden ha detto alle imprese che Mosca potrebbe condurre tali attacchi per vendicarsi contro i paesi che si sono opposti con forza all’invasione russa dell’Ucraina.

“Sebbene le accuse penali svelate oggi riflettano le attività passate, chiariscono chiaramente l’urgente necessità in corso per le imprese americane di rafforzare le proprie difese e rimanere vigili”, ha affermato in una nota il vice procuratore generale Lisa O. Monaco. “Gli hacker sponsorizzati dallo stato russo rappresentano una minaccia seria e persistente per le infrastrutture critiche sia negli Stati Uniti che in tutto il mondo”.

I quattro funzionari, inclusi tre membri dell’agenzia di intelligence interna russa, il Servizio di sicurezza federale o FSB, sono accusati di aver violato centinaia di compagnie energetiche in tutto il mondo, mostrando “l’arte oscura del possibile”, ha detto un funzionario del Dipartimento di Giustizia in un briefing con i giornalisti.

Le accuse sostanzialmente confermano ciò che i ricercatori informatici hanno affermato per anni, secondo cui la colpa delle intrusioni era la Russia. Nessuno dei funzionari russi accusati degli attacchi è stato arrestato.

Nel suo avvertimento lunedì alle società private, il signor Biden le ha esortate a rafforzare le loro difese. Gli esperti di sicurezza nazionale hanno affermato che le aziende dovrebbero segnalare qualsiasi attività insolita all’FBI e ad altre agenzie in grado di rispondere a potenziali violazioni.

In una delle accuse non sigillate giovedì, un programmatore di computer per il ministero della Difesa russo, Evgeny V. Gladkikh, 36 anni, è accusato di aver utilizzato un tipo di malware noto come Triton per infiltrarsi in un impianto petrolchimico straniero nel 2017, portando a due emergenze arresti presso la struttura. L’accusa non ha identificato l’ubicazione dell’impianto, ma i dettagli dell’attacco suggeriscono che l’impianto fosse in Arabia Saudita.

Gli investigatori credevano all’epoca che l’intrusione avesse lo scopo di innescare un’esplosione, ma dissero che un errore nel codice ne impediva una. Il sistema di sicurezza ha rilevato il malware e ha richiesto l’arresto del sistema, portando i ricercatori a scoprire il codice.

Imperterrito, l’anno successivo il signor Gladkikh e altri hacker hanno fatto ricerche sulle raffinerie negli Stati Uniti e hanno cercato di violare i computer di un’azienda americana che gestiva simili infrastrutture critiche negli Stati Uniti, secondo i documenti del tribunale.

Il signor Gladkikh è stato accusato di un conteggio di cospirazione per causare danni a un impianto energetico, un conteggio di tentativo di causare danni a un impianto energetico e un conteggio di cospirazione per commettere frode informatica, che comporta una pena massima di cinque anni di carcere.

Gli esperti di sicurezza informatica considerano il malware Triton particolarmente pericoloso a causa del suo potenziale di creare disastri nelle centrali elettriche di tutto il mondo, molte delle quali utilizzano lo stesso software che è stato preso di mira nell’impianto dell’Arabia Saudita. Il suo utilizzo nel 2017 ha segnato una pericolosa escalation delle ciberabilità della Russia, dimostrando che la Russia era disposta e in grado di distruggere infrastrutture critiche e infliggere un attacco informatico che avrebbe potuto avere conseguenze mortali.

“Era diverso da quello che avevamo visto prima perché era un nuovo balzo in avanti in ciò che era possibile”, ha affermato John Hultquist, vicepresidente dell’analisi dell’intelligence presso la società di sicurezza informatica Mandiant.

In un atto d’accusa separato, i pubblici ministeri federali hanno accusato tre ufficiali del Servizio di sicurezza federale, Pavel A. Akulov, 36 anni, Mikhail M. Gavrilov, 42 anni, e Marat V. Tyukov, 39 anni, di uno sforzo durato anni per prendere di mira e compromettere i sistemi informatici di centinaia di imprese del settore energetico in tutto il mondo.

Si ritiene che i tre uomini siano tutti membri di un’unità dell’agenzia di sicurezza che si occupa di crimini informatici ed è conosciuta con vari nomi tra cui “Dragonfly”, “Berzerk Bear”, “Energetic Bear” e “Crouching Yeti”.

Il gruppo ha “un decennio di esperienza nel perseguire le infrastrutture critiche statunitensi”, ha affermato Hultquist. “Nel 2020 stavano scavando nei sistemi statali e locali, nonché negli aeroporti”.

Il sig. Akulov, il sig. Gavrilov e il sig. Tyukov sono accusati di aver violato la Wolf Creek Nuclear Operating Corporation, che gestisce una centrale nucleare vicino a Burlington, Kan., così come altre aziende che gestiscono infrastrutture critiche, come compagnie petrolifere e del gas e società di servizi.

Dal 2012 al 2017, i tre uomini hanno ottenuto l’accesso non autorizzato ai sistemi informatici delle società petrolifere e del gas, dell’energia, delle centrali nucleari e dei servizi pubblici e hanno monitorato di nascosto tali sistemi, afferma l’accusa.

Hanno preso di mira il software e l’hardware che controllano le apparecchiature negli impianti di produzione di energia, dando al governo russo la possibilità di interrompere e danneggiare tali sistemi informatici, secondo i documenti del tribunale.

Hanno utilizzato diverse tattiche per ottenere l’accesso alle reti di computer, inclusi attacchi di spearphishing che hanno preso di mira più di 3.300 utenti in più di 500 aziende americane e internazionali. Hanno preso di mira agenzie governative come la Nuclear Regulatory Commission e in alcuni casi hanno avuto successo.

I tre agenti di sicurezza russi sono stati accusati di cospirazione per causare danni alla proprietà di un impianto energetico e di aver commesso frodi e abusi informatici; e sono stati accusati di cospirazione per commettere frode telematica. Il sig. Akulov e il sig. Gavrilov sono stati accusati separatamente di furto d’identità aggravato.

I gruppi di hacker russi spesso studiano le infrastrutture critiche, le compromettono e poi si nascondono nei sistemi informatici per mesi o anni senza agire, ha affermato Hultquist.

“È questo il processo in cui ottengono l’accesso ma non premono necessariamente il grilletto. È la preparazione per l’emergenza”, ha detto. “Il punto è farci sapere che possono rispondere”.

Leave a Comment