Con una delle più grandi operazioni di sempre, l’Fbi ha smantellato una rete globale di oltre 700mila computer utilizzata per oltre 15 anni per commettere una serie di crimini online, tra cui attacchi ransomware paralizzanti.
Si tratta di un intervento contestualizzato in una strategia più ampia tesa a colpire il sistema della criminalità informatica a livello internazionale, e in particolare a distruggere un botnet denominato Qakbot. L’agenzia ha avuto il permesso per intervenire il 21 agosto scorso, accedendo forzatamente alle infrastrutture informatiche di Qakbot quattro giorni dopo. Oltre agli Stati Uniti, all’operazione hanno partecipato anche le agenzie di Francia, Germania, Paesi Bassi, Regno Unito, Romania e Lettonia.
I funzionari dell’Fbi hanno dichiarato che sono stati sequestrati o congelati 8,6 milioni di dollari in cybervaluta, ma non sono stati annunciati arresti. Martin Estrada, procuratore degli Stati Uniti a Los Angeles, ha detto che l’indagine è tutt’ora in corso. Non ha voluto dire dove si trovassero gli amministratori del malware, che ha riunito le macchine infette in una botnet di computer zombie. I ricercatori di cybersicurezza dicono che si ritiene che si trovino in Russia e in altri Stati dell’ex Unione Sovietica.
Un duro colpo inferto a Qakbot
Gli esperti di sicurezza informatica si sono detti impressionati dall’abile smantellamento della rete, ma hanno avvertito che qualsiasi battuta d’arresto della criminalità informatica sarà probabilmente temporanea. “Quasi tutti i settori dell’economia sono stati vittime di Qakbot“, ha spiegato Estrada, evidenziando che la rete criminale ha facilitato circa 40 attacchi ransomware nell’arco di 18 mesi. Attacchi che, secondo gli investigatori, hanno fruttato agli amministratori di Qakbot circa 58 milioni di dollari.
Qakbot, il malware più comunemente rilevato nella prima metà del 2023, ha colpito una rete aziendale su dieci e ha rappresentato circa il 30% degli attacchi a livello globale, secondo quanto rilevato dalle principali società di cybersicurezza. Tali strumenti di “accesso iniziale” consentono alle bande di estorsori di ransomware di saltare la fase iniziale di penetrazione nelle reti di computer, rendendoli importanti facilitatori per i criminali lontani, per lo più di lingua russa, che hanno scatenato il caos rubando dati e interrompendo i servizi di scuole, ospedali, governi locali e aziende in tutto il mondo.
In genere, Qakbot è stato trasmesso tramite infezioni di e-mail di phishing e ha fornito agli hacker criminali l’accesso iniziale ai computer violati. La rete di Qakbot stava “letteralmente alimentando la catena di approvvigionamento del crimine informatico globale”, ha dichiarato Donald Alway, vicedirettore responsabile dell’ufficio di Los Angeles dell’Fbi, definendolo “uno degli strumenti criminali informatici più devastanti della storia”.
Come si è svolta l’operazione
A partire da venerdì, nel corso dell’operazione, che i funzionari hanno soprannominato “Duck Hunt”, l’Fbi insieme a Europol e ai partner delle forze dell’ordine e della giustizia in Francia, Regno Unito, Germania, Paesi Bassi, Romania e Lettonia hanno come detto sequestrato più di 50 server Qakbot e identificato più di 700mila computer infetti, di cui oltre 200mila negli Stati Uniti, tagliando di fatto fuori i criminali dalle loro prede.
L’Fbi ha quindi utilizzato l’infrastruttura Qakbot sequestrata per inviare in remoto gli aggiornamenti che hanno eliminato il malware da migliaia di computer infetti. Un alto funzionario dell’Fbi, che ha informato i giornalisti a condizione di non essere ulteriormente identificato, ha definito questo numero “fluido” e ha avvertito che altri malware potrebbero essere rimasti sulle macchine liberate da Qakbot. Si tratta del più grande successo dell’Fbi contro i cybercriminali da quando ha “hackerato gli hacker” con l’eliminazione a gennaio della prolifica banda di ransomware Hive.
“È un’eliminazione impressionante. Qakbot era la più grande botnet” per numero di vittime, ha dichiarato Alex Holden, fondatore della Hold Security di Milwaukee. Ma ha aggiunto che “potrebbe essere stata vittima del suo stesso successo e della crescita vertiginosa degli ultimi anni”.
L’esperto di cybersicurezza Chester Wisniewski di Sophos ha concordato sul fatto che, anche se potrebbe esserci un calo temporaneo degli attacchi ransomware, i criminali potrebbero far ripartire l’infrastruttura da un’altra parte o spostarsi su altre botnet. “Questo causerà molti disagi ad alcune bande nel breve termine, ma non farà nulla per evitare che venga riavviata”, ha detto. “Anche se ci vuole molto tempo per reclutare 700mila nuovi pc”.
Ma in Giappone la Nisc è stata sotto attacco nove mesi
Al successo ottenuto dall’Fbi fa da controcanto una gravissima infiltrazione scoperta in Giappone. L’Agenzia nazionale per la cybersecurity (Nisc) è stata infatti attaccata da hacker che sono riusciti per nove mesi ad avere accesso a dati sensibili dell’organizzazione.
A dirlo è il Financial Times, citando tre fonti governative e private secondo le quali gli hacker – che sarebbero sostenuti da entità statali cinesi – avrebbero iniziato l’attacco lo scorso autunno e avrebbero potuto agire indisturbati fino a giugno di quest’anno.
La notizia arriva in un momento in cui Tokyo sta rafforzando la sua collaborazione militare con gli Stati uniti e la Corea del Sud ed è anche impegnata in progetti di armamenti, come quello per il jet di nuova generazione con Regno unito e Italia.
La Nisc ha ammesso a inizio agosto che alcuni dati personali legati a scambi di mail tra ottobre e giugno potrebbero essere filtrati dai suoi sistemi. Il ministero degli Esteri cinese ha escluso che Pechino possa essere dietro all’attacco, puntando invece il dito contro gli Stati uniti e ricordando che “WikiLeaks precedentemente ha rivelato che gli Usa hanno condotto cyberspionaggio nei confronti del Giappone, a partire da membri del governo”.
