La botnet è stata parzialmente annientata con l’aiuto di Microsoft e di una speciale task force costituita dal Cyber Command e dalla National Security Agency (NSA), con un’operazione di hacking offensivo volto a bloccarne l’utilizzo e tramite l’occupazione, legittimata da una corte federale, dei domini e degli indirizzi Ip dei computer infetti.
Secondo il Cybercommand è solo l’inizio. Funzionari statunitensi ritengono che l’operazione non abbia interrotto la rete in modo permanente ma l’avrebbe seriamente compromessa sganciando centinaia di migliaia di computer infetti dal controllo della gang criminale.
Lo sforzo fa parte di ciò che il generale Paul Nakasone, capo del Cyber Command, chiama “impegno persistente”, ovvero l’imposizione di costi cumulativi all’avversario, che è una regola basilare della cybersecurity dove non esiste il rischio zero, ma bisogna rendere sempre più difficile e costoso l’attacco agli attaccanti. L’idea dell’impegno persistente espressa da Nakasone invece sarebbe speculare alla definizione di “minaccia persistente” dei gruppi di hacker paramilitari russi (APT, Advanced Persistent Threats).
“In questo momento, la mia massima priorità è per un’elezione 2020 sicura, protetta e legittima”, ha detto in agosto il generale in una serie di risposte scritte alle domande del Washington Post. “Il Dipartimento della Difesa, e in particolare il Cyber Command, stanno sostenendo un più ampio approccio di” tutto il governo “per garantire le nostre elezioni”.
Preoccupazione più che legittima hanno detto gli analisti in quanto alcune aziende private riportano che la stragrande maggioranza dei domini web collegati ai siti web della campagna presidenziale di Donald Trump e Joe Biden mancano di protocolli di sicurezza informatici favorendo attività di disinformazione e furto di dati. Oltre il 90% di queste domini non utilizza strumenti adeguati a proteggersi dal dirottamento del dominio (DNS hijacking) e può portare ad attacchi di phishing e compromissione della posta elettronica.
Da parte sua Microsoft, che ha partecipato all’operazione, ha dichiarato attraverso il vicepresidente Tom Burt: “Abbiamo interrotto Trickbot con un’ingiunzione del tribunale e un’operazione eseguita in collaborazione con provider di tutto il mondo”, proprio per evitare che Trickbot distribuisca aggressivi ransomware, capaci di infettare un computer e prenderne il controllo al momento giusto. I ransomware sono infatti una particolare categoria di software malevoli in grado di bloccare i sistemi operativi dei computer o di mettere sotto chiave i dati contenuti fino al pagamento di un riscatto.
“Ora abbiamo reciso l’infrastruttura chiave in modo che coloro che utilizzano Trickbot non saranno più in grado di infettare i computer o attivare ransomware già presenti nei sistemi informatici”, ha proseguito. “La paura non è di un attacco che possa alterare i risultati del voto – ha detto ancora – ma più di qualcosa che possa mettere a rischio la fiducia degli elettori”.
Lo Us Cybercom ha già svolto un ruolo fondamentale nelle elezioni di medio termine del 2018 impedendo l’accesso a Internet della fabbrica di troll russi nota come Internet Research Agency (IRA), che diffondeva disinformazione attraverso i social network. Inoltre, insieme alla NSA ha istituito la task force Russia Small Group, voluta per garantire che il processo elettorale democratico si svolga senza interferenze. Questa task force ha iniziato a impegnarsi in missioni offensive di “caccia all’hacker”, progettate per aiutare le nazioni alleate a rilevare malware sulle loro reti, consentendo anche agli Stati Uniti di imparare da tali incidenti e migliorare le proprie difese.
Microsoft, da parte sua, ha però avvertito i funzionari che gruppi di hacker iraniani, cinesi, russi hanno già preso di mira li comitati organizzativi delle campagna elettorali di Trump e Biden. Tuttavia, è probabile che l’impatto globale sul processo elettorale stesso si limiti a ostacolare l’accesso al voto, piuttosto che a impedirlo apertamente. Per questo motivo i funzionari del Dipartimento di Giustizia temono gli attacchi DDoS, (Distributed Denial of Service), che ingolfano con richieste fasulle l’accesso legittimo all’infrastruttura elettorale piuttosto che alterare il conteggio dei voti.
