La Russia esplora le opzioni per potenziali attacchi informatici al settore energetico statunitense, avverte l’FBI

L’FBI ha avvertito il settore energetico statunitense dell'”attività di scansione della rete” derivante da più indirizzi IP con sede in Russia. Si ritiene che l’attività sia associata ad attori informatici “che in precedenza hanno condotto attività informatiche distruttive contro infrastrutture critiche straniere”.

Il bollettino dell’FBI, emesso il 18 marzo e ottenuto da CBS News, è stato rilasciato pochi giorni prima che il presidente Biden annunciasse lunedì che “intelligence in evoluzione” suggerisce La Russia sta esplorando le opzioni per potenziali attacchi informatici prendendo di mira la patria degli Stati Uniti.

Le forze dell’ordine federali hanno rivelato che l’attività degli indirizzi IP russi “probabilmente indica le prime fasi di ricognizione, scansionando le reti alla ricerca di vulnerabilità da utilizzare in potenziali intrusioni future”.

L’FBI ha identificato 140 indirizzi IP sovrapposti collegati all’attività di “scansione anomala” di almeno cinque società energetiche statunitensi, nonché di almeno altre 18 società statunitensi che coprono la base industriale della difesa, i servizi finanziari e la tecnologia dell’informazione.

Tuttavia, secondo la valutazione dell’FBI, l’attenzione sembra essere concentrata su entità all’interno del settore energetico.

“Si consiglia alle entità del settore energetico statunitense di esaminare il traffico di rete corrente per questi indirizzi IP e di condurre indagini successive, se osservate”, si legge nell’avviso.

Secondo l’FBI, gli indirizzi IP identificati dalle forze dell’ordine hanno iniziato a scansionare le infrastrutture critiche statunitensi già nel marzo 2021.

“Questa attività di scansione è aumentata dall’inizio del conflitto Russia/Ucraina, portando a una maggiore possibilità di future intrusioni”, osserva il bollettino. “Sebbene l’FBI riconosca che l’attività di scansione è comune su una rete, questi IP segnalati sono stati precedentemente identificati come attività di conduzione in combinazione con lo sfruttamento attivo di una vittima straniera, che ha portato alla distruzione dei sistemi della vittima”.

L’ufficio afferma che mentre queste IP non possono essere direttamente correlate a uno sfruttamento riuscito, l’FBI sta fornendo indicatori di compromesso “per un’abbondanza di cautela”.

Il direttore dell’FBI Christopher Wray ha affermato martedì che la preoccupazione per le attività informatiche dannose è il prodotto di “un lavoro investigativo e di sorveglianza specifico che abbiamo svolto tutti insieme”. Ha aggiunto: “La maggior parte degli attacchi informatici non avviene in un istante. C’è un’attività che porta ad esso. C’è la scansione e la ricerca, la ricerca delle vittime. La scansione delle vulnerabilità nei sistemi. C’è uno sviluppo dell’accesso a quei sistemi. C’è un’intera gamma di lavoro preparatorio, che è quello che abbiamo visto”.

Secondo l’FBI, il numero di vittime di incidenti ransomware segnalate al governo degli Stati Uniti è aumentato dell’82% dal 2019 al 2021. Da quando l’ufficio ha aperto le sue indagini sugli hacker REvil con sede in Russia nell’agosto 2018, i criminali informatici hanno attaccato più di 40.000 con sede negli Stati Uniti e ha ricevuto oltre $ 150 milioni di riscatti attraverso sistemi di valuta virtuale.

Ma alcune società di sicurezza informatica statunitensi hanno denunciato discrepanze nella nota dell’FBI, rilevando che molti degli indirizzi IP elencati non mostrano comportamenti mirati, mentre altri non sono geolocalizzati in Russia.

“Alcuni hanno scansionato host Internet che non hanno connessione a infrastrutture critiche”, ha detto a CBS News Sergio Caltagirone, ex esperto di difesa informatica della NSA e direttore dell’intelligence sulle minacce presso la società di sicurezza informatica Dragos. “Pertanto, la premessa mirata che presumibilmente è alla base di questo elenco è discutibile”.

Caltagirone ha aggiunto che le aziende di sicurezza informatica hanno “pochissime risorse di difesa della rete” a cui attingere per proteggere le infrastrutture industriali. “Portarli con il monitoraggio di 140 indirizzi IP di scansione senza contesto aggiuntivo li sottrarrà a svolgere attività di difesa della rete più preziose”, ha affermato.

Anne Neuberger, vice consigliere per la sicurezza nazionale di Biden per la tecnologia informatica e emergente, ha dichiarato lunedì ai giornalisti che i funzionari statunitensi hanno osservato il “lavoro preparatorio” legato agli attori degli stati-nazione. Tale attività potrebbe indicare un aumento dei livelli di scansione dei siti Web e la ricerca di vulnerabilità tra le società statunitensi.

Dal 15 febbraio, il governo ucraino ha affermato di aver subito oltre 3.000 attacchi DDoS o “attacchi di negazione del servizio distribuito”, che hanno riempito di traffico i siti Web governativi, rendendoli inutilizzabili. Ma gli attacchi informatici lanciati dalla Russia dall’inizio dell’invasione ucraina hanno creato danni relativamente minimi rispetto ai bombardamenti di città e alle vittime civili provocate dalla guerra cinetica.

La scorsa settimana, gli ingegneri hanno collegato l’Ucraina a una rete elettrica collegata a gran parte dell’Europa continentale, consentendo al paese di rimuovere il suo sistema elettrico dal suo avversario russo, hanno annunciato i funzionari. Un paio di attacchi informatici collegati alla Russia nel 2015 e nel 2016 hanno interrotto l’elettricità in alcune parti dell’Ucraina.

I legislatori statunitensi e gli esperti di sicurezza informatica hanno da tempo avvertito che il Cremlino usa il suo vicino ucraino come “campo di prova” per potenti armi informatiche.

Il promemoria urgente per i proprietari e gli operatori del settore privato arriva pochi giorni prima che il presidente si rechi a Bruxelles giovedì per un vertice della NATO prima di dirigersi in Polonia.

“L’entità della capacità informatica della Russia è abbastanza consequenziale”, ha affermato lunedì Biden, rivolgendosi alla Business Roundtable, un’associazione di alcune delle più grandi società della nazione. “E sta arrivando.”

L’FBI non commenta prodotti di intelligence specifici come prassi standard, ha osservato un portavoce. “L’FBI condivide regolarmente le informazioni con le forze dell’ordine e i partner del settore al fine di proteggere le comunità con cui presta servizio e con cui lavora. L’FBI incoraggia sempre i membri dell’industria pubblica e privata a essere vigili e segnalare tutto ciò che considerano sospetto alle forze dell’ordine”, il ha aggiunto il portavoce.

Il Dipartimento dell’Energia ha dichiarato a CBS News in una dichiarazione che “rimane pienamente impegnato con il nostro settore e i partner governativi”.

“Continuiamo a tenere riunioni periodiche sulle minacce, a condividere intelligence e informazioni utilizzabili con i nostri partner del settore energetico e incoraggiarli a rafforzare la loro posizione di sicurezza informatica e rimanere vigili”, ha affermato il portavoce del Dipartimento per l’energia.

Andy Triay e Cara Korte hanno contribuito a questo rapporto.

Leave a Comment