Mentre i carri armati arrivavano in Ucraina, anche il malware. Quindi Microsoft è entrata in guerra.

Il presidente di Microsoft Brad Smith parla con il presidente Joe Biden alla Casa Bianca a Washington il 24 gennaio. 26, 2022. (Sarahbeth Maney/The New York Times)

WASHINGTON — Mercoledì scorso, poche ore prima che i carri armati russi iniziassero ad entrare in Ucraina, all’interno del Threat Intelligence Center di Microsoft è scattato l’allarme, avvertendo di un malware “tergicristallo” mai visto prima che è apparso mirato ai ministeri del governo e alle istituzioni finanziarie del Paese .

Nel giro di tre ore, Microsoft si è lanciata nel mezzo di una guerra di terra in Europa, da 5.500 miglia di distanza. Il centro minacce, a nord di Seattle, era in stato di massima allerta e ha rapidamente smontato il malware, lo ha chiamato “FoxBlade” e ha informato la massima autorità ucraina per la difesa informatica. Entro tre ore, i sistemi di rilevamento dei virus di Microsoft sono stati aggiornati per bloccare il codice, che cancella — “cancella” — i dati sui computer in una rete.

Quindi Tom Burt, il dirigente senior di Microsoft che sovrintende agli sforzi dell’azienda per contrastare i principali attacchi informatici, ha contattato Anne Neuberger, vice consigliere per la sicurezza nazionale della Casa Bianca per le tecnologie informatiche e emergenti. Neuberger ha chiesto se Microsoft avrebbe preso in considerazione la possibilità di condividere i dettagli del codice con i paesi baltici, la Polonia e altre nazioni europee, per paura che il malware si diffondesse oltre i confini dell’Ucraina, paralizzando l’alleanza militare o colpendo le banche dell’Europa occidentale.

Iscriviti alla newsletter The Morning del New York Times

Prima di mezzanotte a Washington, Neuberger aveva fatto le presentazioni e Microsoft aveva iniziato a svolgere il ruolo svolto dalla Ford Motor Co. nella seconda guerra mondiale, quando l’azienda convertì le linee di produzione di automobili per realizzare carri armati Sherman.

Dopo anni di discussioni a Washington e nei circoli tecnologici sulla necessità di partenariati pubblico-privato per combattere attacchi informatici distruttivi, la guerra in Ucraina sta mettendo a dura prova il sistema. La Casa Bianca, armata dell’intelligence dell’Agenzia per la sicurezza nazionale e del Cyber ​​​​Command degli Stati Uniti, sta supervisionando i briefing riservati sui piani di attacco informatico della Russia. Anche se le agenzie di intelligence statunitensi hanno raccolto il tipo di attacchi informatici paralizzanti che qualcuno – presumibilmente agenzie di intelligence o hacker russi – ha lanciato contro il governo ucraino, non hanno l’infrastruttura per muoversi così velocemente per bloccarli.

“Siamo un’azienda e non un governo o un paese”, ha osservato Brad Smith, presidente di Microsoft, in un post sul blog pubblicato lunedì dall’azienda, descrivendo le minacce che stava vedendo. Ma il ruolo che sta giocando, ha chiarito, non è neutrale. Ha scritto di “costante e stretto coordinamento” con il governo ucraino, così come con i funzionari federali, l’Organizzazione del Trattato del Nord Atlantico e l’Unione Europea.

“Non l’ho mai visto funzionare così, o quasi così velocemente”, ha detto Burt. “Stiamo facendo in poche ore ciò che, anche solo pochi anni fa, avrebbe richiesto settimane o mesi”.

L’intelligenza scorre in molte direzioni.

I dirigenti dell’azienda, alcuni appena dotati di autorizzazioni di sicurezza, si uniscono alle chiamate sicure per ascoltare una serie di briefing organizzati dalla National Security Agency e dal Cyber ​​​​Command degli Stati Uniti, insieme alle autorità britanniche, tra gli altri. Ma gran parte dell’intelligence fruibile viene trovata da aziende come Microsoft e Google, che possono vedere cosa sta fluendo attraverso le loro vaste reti.

Gli assistenti del presidente Joe Biden notano spesso che è stata un’azienda privata – Mandiant – a trovare l’attacco “SolarWinds” 15 mesi fa, in cui una delle agenzie di intelligence russe più esperte di cyber, la SVR, si è infiltrata nel software di gestione della rete utilizzato da migliaia di agenzie governative statunitensi e imprese private. Ciò ha dato al governo russo un accesso illimitato.

Tali attacchi hanno dato alla Russia la reputazione di uno dei cyberpoteri più aggressivi e qualificati. Ma la sorpresa degli ultimi giorni è che l’attività della Russia in quel regno è stata più attenuata del previsto, hanno detto i ricercatori.

La maggior parte dei primi esercizi da tavolo su un’invasione russa è iniziata con attacchi informatici travolgenti, che hanno distrutto Internet in Ucraina e forse la rete elettrica. Finora non è successo.

“Molte persone sono piuttosto sorprese dal fatto che non vi sia un’integrazione significativa degli attacchi informatici nella campagna complessiva che la Russia sta intraprendendo in Ucraina”, ha affermato Shane Huntley, direttore del gruppo di analisi delle minacce di Google. “Si tratta per lo più di affari normali per quanto riguarda i livelli di targeting russo”.

Huntley ha affermato che Google osserva regolarmente alcuni tentativi russi di hackerare account di persone in Ucraina. “Il livello normale in realtà non è mai zero”, ha detto. Ma questi tentativi non sono aumentati notevolmente negli ultimi giorni, poiché la Russia ha invaso l’Ucraina.

“Abbiamo assistito ad alcune attività russe contro l’Ucraina; semplicemente non sono stati i grandi set”, ha affermato Ben Read, direttore della società di sicurezza Mandiant.

Non è chiaro ai funzionari statunitensi o europei perché la Russia abbia tenuto a bada.

Potrebbe essere che ci abbiano provato ma le difese erano più forti del previsto, o che i russi volessero ridurre il rischio di attaccare le infrastrutture civili, in modo che un governo fantoccio da loro installato non avrebbe lottato per governare il paese.

Ma i funzionari statunitensi hanno affermato che un massiccio attacco informatico della Russia all’Ucraina – o oltre, come rappresaglia per le sanzioni economiche e tecnologiche imposte dagli Stati Uniti e dall’Europa – non è certo fuori discussione. Alcuni ipotizzano che, proprio mentre Mosca intensifica i suoi bombardamenti indiscriminati, cercherà di causare tutti i disagi economici che può raccogliere.

Più a lungo e in modo più efficace la resistenza ucraina resiste all’esercito russo, più Mosca potrebbe essere tentata di iniziare a usare “l’armata delle cyberforze russe”, il Sen. Mark Warner, D-Va., che guida il Comitato di intelligence del Senato, ha detto la scorsa settimana.

Meta, la società madre di Facebook, ha rivelato domenica di aver scoperto che hacker si sono impadroniti di account appartenenti a funzionari militari e personaggi pubblici ucraini. Gli hacker hanno cercato di utilizzare il loro accesso a questi account per diffondere disinformazione, pubblicando video che pretendevano di mostrare la resa dell’esercito ucraino. Meta ha risposto bloccando gli account e avvisando gli utenti che erano stati presi di mira.

Twitter ha affermato di aver trovato segni di tentativi di hacker di compromettere gli account sulla sua piattaforma e YouTube ha affermato di aver rimosso cinque canali che pubblicavano video utilizzati nella campagna di disinformazione.

I dirigenti di Meta hanno affermato che gli hacker di Facebook erano affiliati a un gruppo noto come Ghostwriter, che i ricercatori di sicurezza ritengono sia associato alla Bielorussia.

Ghostwriter è noto per la sua strategia di hackerare gli account e-mail di personaggi pubblici, quindi utilizzare tale accesso per compromettere anche i loro account sui social media. Il gruppo è stato “molto attivo” in Ucraina negli ultimi due mesi, ha affermato Read, che ha svolto ricerche sul gruppo.

Sebbene i funzionari statunitensi non valutino alcuna minaccia diretta per gli Stati Uniti dall’intensificazione delle operazioni informatiche russe, tale calcolo potrebbe cambiare.

Le sanzioni statunitensi ed europee stanno mordendo più del previsto. Warner ha affermato che la Russia potrebbe rispondere “con attacchi informatici diretti contro i paesi della NATO o, più probabilmente, scatenando in effetti tutti i criminali informatici russi su attacchi ransomware a un livello massiccio che consente loro ancora una certa negazione di responsabilità”.

I gruppi criminali di ransomware russi hanno condotto una serie devastante di attacchi negli Stati Uniti lo scorso anno contro ospedali, una società di lavorazione della carne e, in particolare, la società che gestisce gasdotti lungo la costa orientale. Sebbene la Russia abbia adottato misure per tenere a freno quei gruppi negli ultimi mesi – dopo mesi di incontri tra Neuberger e la sua controparte russa, Mosca ha condotto alcuni arresti di alto profilo a gennaio – potrebbe facilmente invertire i suoi sforzi di repressione.

Ma Biden ha intensificato i suoi avvertimenti alla Russia contro qualsiasi tipo di attacco informatico agli Stati Uniti.

“Se la Russia persegue attacchi informatici contro le nostre aziende, la nostra infrastruttura critica, siamo pronti a rispondere”, ha affermato Biden giovedì.

Era la terza volta che Biden lanciava un avvertimento del genere da quando aveva vinto le elezioni. Mentre qualsiasi attacco russo agli Stati Uniti sembrerebbe un’escalation sconsiderata, Rep. Adam B. Schiff, D-Calif., che guida il House Intelligence Committee, ha osservato che il processo decisionale di Putin finora si è dimostrato scarso.

“C’è il rischio che qualsiasi strumento informatico utilizzato dalla Russia in Ucraina non rimanga in Ucraina”, ha affermato la scorsa settimana. “L’abbiamo già visto, in cui il malware diretto a un determinato obiettivo viene rilasciato in natura e poi prende vita propria. Quindi potremmo essere vittime del malware russo che è andato oltre l’obiettivo previsto”.

© 2022 The New York Times Company

Leave a Comment