GLI STATI UNITI GUARDANO CON CAUTELA ALLE TENSIONI TRA RUSSIA E UCRAINA

 

Gli Stati Uniti guardano con cautela alle tensioni tra Russia e Ucraina 

che si riverseranno.

Le conversazioni con più di una dozzina di leader senior della 

sicurezza informatica nel settore pubblico e privato delineano 

le principali aree di rischio.

Funzionari della sicurezza informatica come Anne Neuberger hanno 

lavorato direttamente con l'Ucraina per rafforzare le sue difese. 

Poiché le truppe russe rimangono ammassate al confine con l'Ucraina, 

incombe la possibilità che le tensioni possano sfociare in un 

attacco informatico con conseguenze internazionali. Se è così, 

il primo segnale per il governo degli Stati Uniti arriverà 

probabilmente in un messaggio Slack letto alla scrivania di 

Eric Goldstein in un edificio per uffici generico a Ballston, 

in Virginia.

Goldstein supervisiona la Joint Cyber ​​Defense Collaborative, 

lanciata lo scorso anno per fornire ciò che l'agenzia chiama 

"visibilità su larga scala" sulla rete statunitense e sulle 

infrastrutture critiche del settore privato. Ciò significa 

che la CISA potrebbe essere in prima linea in qualsiasi 

escalation da parte della Russia che si estende fino alla 

patria degli Stati Uniti. Funzionari e leader del settore 

privato si stanno affrettando a riparare, preparare e giocare 

a giochi di guerra nel caso in cui la Russia decida di lanciare 

attacchi diretti contro le infrastrutture statunitensi, 

scatenare una marea di dirompenti ransomware o mirare a 

un attacco informatico su misura contro l'Ucraina che si 

riversa nelle reti statunitensi. 

Il JCDC è così nuovo che esiste ancora solo virtualmente e 

non si è ancora trasferito nel suo spazio fisico negli uffici 

della CISA nel nord della Virginia. È pensato per fungere da 

qualcosa di simile a un centro di comando unificato per 

l'infrastruttura Internet degli Stati Uniti, riunendo quasi due 

dozzine di società di sicurezza e di rete del settore privato; 

oggi, il suo canale Slack include aziende come Cloudflare, 

CrowdStrike, Mandiant, Microsoft, Verizon, Google Cloud e 

Amazon Web Services. Oltre alla CISA, dal lato del governo 

partecipano rappresentanti della NSA, dell'FBI e del Cyber ​​

Command degli Stati Uniti.

Il centro di collaborazione offre ai monitor di rete un 

luogo e una comunità per identificare e condividere rapidamente 

eventi strani, potenziali violazioni e attività sospette. 

Ha affrontato la sua prima crisi all'inizio di dicembre, 

con notizie di vulnerabilità nella libreria di registrazione 

ampiamente utilizzata Log4j. All'epoca, la direttrice della 

CISA Jen Easterly definì la vulnerabilità la "più grave" che 

avesse visto in tutta la sua carriera e il gruppo si mosse 

rapidamente per affrontarla, convocandosi di sabato per 

discutere dei pericoli iniziali e lanciando lunedì un GitHub 

completo pagina per coordinare gli sforzi di mitigazione. 

Ora, poche settimane dopo, il governo degli Stati Uniti e 

il cyber team dell'amministrazione Biden affrontano un altro 

serio rischio mentre la Casa Bianca avverte di una possibile 

invasione russa dell'Ucraina, un evento che molti 

nell'industria privata e nei governi occidentali temono 

possa riversarsi, di proposito o accidentalmente , a reti 

di computer lontane da qualsiasi campo di battaglia 

dell'Europa orientale. "Speriamo di sfruttare la memoria 

muscolare che abbiamo creato tramite Log4j per applicarla 

a potenziali attività che escono dalla crisi Russia-Ucraina", 

afferma EasterlY, alla fine della scorsa settimana nei suoi primi 

commenti pubblici estesi sulla guerra incombente.

 Scudi in su

Anche se hanno avvertito di una crescente possibilità di guerra, 

i funzionari negli Stati Uniti e nel Regno Unito sono stati attenti 

ad affermare di non vedere minacce specifiche. Esprimono invece un 

disagio generalizzato per l'incoscienza geopolitica della Russia e 

la sua storia di nefaste attività informatiche, nonché per la pura 

complessità e connessione degli ecosistemi digitali.

"Attualmente non ci sono specifiche minacce credibili alla patria 

degli Stati Uniti che emergono da questa particolare crisi Russia-Ucraina, 

ma siamo molto consapevoli del potenziale per la Russia di prendere in 

considerazione l'escalation in modi destabilizzanti che potrebbero avere 

un impatto su altri al di fuori dell'Ucraina", afferma Easterly. 

"Dato il modo in cui gli Stati Uniti e i nostri partner potrebbero 

reagire a un'invasione, siamo anche molto consapevoli della 

connettività delle infrastrutture in tutto il mondo e del fatto 

che potresti avere impatti a cascata che potrebbero essere intenzionali 

o non intenzionali".

Venerdì sera, poche ore dopo che il consigliere per la sicurezza 

nazionale della Casa Bianca Jake Sullivan aveva avvertito che gli 

Stati Uniti ritengono imminente un'invasione russa e dopo che il 

Dipartimento di Stato ha esortato tutti i cittadini statunitensi a 

evacuare l'Ucraina, la CISA ha lanciato un nuovo sito web, 

chiamato Shields Up, che mette in guardia sulla la crescente 

minaccia delle ostilità russe che colpisce l'ecosistema online. 

Ciò fa seguito a sforzi simili da parte del governo del Regno Unito 

e di altre nazioni europee per prepararsi agli effetti che una 

guerra russa potrebbe portare ai paesi oltre i confini dell'Ucraina.

Il soprannome di Shields Up si basa su un personaggio di supereroe 

online unico e colorato che Easterly ha creato da quando è stata 

confermata dal Senato degli Stati Uniti la scorsa estate come la 

seconda direttrice in assoluto della CISA. La sua immagine del 

profilo Twitter è un disegno in stile fumetto di lei vestita da 

supereroe con un mantello e un body decorato con il logo della CISA. 

In quella che è stata sicuramente la prima volta per un alto 

funzionario del governo degli Stati Uniti, Easterly è apparsa a 

un keynote di Black Hat la scorsa estate indossando pantaloni di 

drago e una maglietta "Britney gratis" e ha risolto un cubo di 

Rubik alle sue spalle mentre parlava. Nell'annunciare il nuovo 

sito web, Easterly ha twittato: 

“You might have cascading impacts that may be either intended or unintended.”

Jen Easterly, CISA director

"Potresti avere impatti a cascata che possono essere intenzionali o 

non intenzionali".

Jen Easterly, direttore della CISA 

La spinta di Shields Up è l'ultima di una raffica di attività del governo 

statunitense dal nuovo anno, avvertendo l'industria privata di prepararsi 

agli effetti di ricaduta se la situazione in Ucraina continua a deteriorarsi. 

Dietro le quinte, l'FBI ha aumentato il ritmo di segnalazione su eventi 

informatici sospetti e ha esortato l'industria statunitense a condividere 

maggiori informazioni su attacchi, sonde e campagne di phishing individuate 

sulle singole reti. Il Consiglio di sicurezza nazionale della Casa Bianca, 

sotto l'egida della vice consigliere per la sicurezza nazionale per le 

tecnologie informatiche e emergenti, Anne Neuberger, ha convocato una 

riunione a porte chiuse il 31 gennaio con i partner del settore per 

avvertire di una possibile escalation russa.

Gli sforzi fanno parte di una spinta a livello governativo iniziata 

quasi non appena l'intelligence statunitense ha iniziato a mettere in 

guardia sull'aumento degli accumuli russi lungo il confine ucraino a 

dicembre. "Abbiamo iniziato a sporgerci molto in avanti su questo 

verso la fine del 2021", afferma Easterly. "Abbiamo iniziato una 

campagna di sensibilizzazione piuttosto deliberata, fornendo informazioni 

classificate di livello TS [top-secret] fino al livello non classificato 

per garantire che tutti i nostri partner di settore fossero consapevoli 

del potenziale rischio, e quindi parlando attraverso le mitigazioni 

chiave e i passaggi che dovrebbero prendere."

Neuberger afferma che l'amministrazione è fortemente concentrata su 

tre specifici sforzi interconnessi: lavorare con l'Ucraina per rafforzare 

le proprie difese informatiche, collaborare con alleati e partner europei, 

come la NATO, per sostenere le difese occidentali e coordinare qualsiasi 

potenziale risposta a un'ulteriore aggressione russa, in quanto oltre a 

rafforzare le difese della sicurezza informatica a livello nazionale. 

"La Casa Bianca ha coordinato l'intera agenzia per garantire che siamo 

in grado di reagire rapidamente a qualsiasi eventualità, sia all'interno 

del governo che con i nostri partner del settore privato", afferma 

Neuberger, riferendosi al processo formale del Consiglio di sicurezza 

nazionale che riunisce armi diverse del governo.

La stessa Neuberger si è recata in Europa all'inizio di questo mese 

per incontrare le controparti incentrate sulla cibernetica a Bruxelles 

e alla NATO, quindi si è recata a Varsavia per incontrare i funzionari 

della sicurezza informatica polacchi e baltici; ha anche incontrato i 

rappresentanti di quelle che sono note come nazioni "B9", le nazioni 

della NATO che costituiscono il fianco orientale dell'alleanza per la 

sicurezza, più vicino alla Russia. In ogni incontro, il tema era lo 

stesso: come possono le nazioni occidentali essere meglio preparate 

per una risposta coordinata all'aggressione informatica dalla Russia?

"I russi hanno utilizzato il cyber come componente chiave della loro 

proiezione di forza nell'ultimo decennio, anche in precedenza in 

Ucraina", afferma Neuberger. "I russi capiscono che disabilitare o 

distruggere infrastrutture critiche, inclusi energia e comunicazioni, 

può aumentare la pressione sul governo, l'esercito e la popolazione 

di un paese e accelerarne l'adesione agli obiettivi russi".

Nelle ultime settimane, quasi ogni angolo del governo degli Stati Uniti 

è stato coinvolto nella stessa questione: la Transportation Security 

Administration, che sovrintende alla sicurezza dei gasdotti, oltre 

al suo ruolo più noto di screening dei passeggeri negli aeroporti, 

ha emanato direttive per aziende; l'Agenzia per la protezione 

dell'ambiente ha recentemente ospitato due webinar per più di 

400 servizi idrici sulle misure di sicurezza necessarie; e il 

Dipartimento dell'Energia ha tenuto briefing comparabili a 

livello di CEO per le società energetiche.

Ulteriori sforzi del governo rivolti al pubblico sono arrivati ​​

sotto forma di un avviso di metà gennaio di CISA, NSA e FBI che 

delinea tattiche e tecniche comuni per le operazioni informatiche 

russe, che vanno dai router Cisco preferiti alle vulnerabilità di 

Microsoft Exchange. La scorsa settimana, tali agenzie hanno emesso 

un altro avviso congiunto, insieme alle controparti internazionali 

di Australia e Regno Unito, evidenziando la proliferazione di 

attacchi ransomware contro infrastrutture critiche nel 2021. 

Sebbene l'avviso non menzioni mai specificamente la Russia, molti dei 

peggiori attacchi del 2021 sono derivati ​​dalla Russia- gruppi basati come REvil.

La Russia ha a lungo trattato la sua vicina Ucraina come una sandbox 

del mondo reale in cui testare gli attacchi informatici. Nel 2015 la 

Russia ha abbattuto la rete elettrica del Paese. Nel 2017 ha scatenato 

il ransomware NotPetya, che ha corrotto il software fiscale ucraino 

e ha continuato a causare danni fino a 10 miliardi di dollari alle 

società internazionali che facevano affari nel paese. La compagnia 

di navigazione Maersk ha visto distrutti circa 80.000 computer; 

FedEx ha subito danni per quasi mezzo miliardo di dollari; e la 

società farmaceutica Merck ha registrato perdite per oltre $ 800 milioni.

Un attacco più recente è arrivato a metà gennaio, quando dozzine di siti 

web del governo ucraino sono stati messi offline e deturpati, sostituendo 

i siti con un testo che avvertiva: "Abbiate paura e aspettatevi il peggio". 

Sebbene l'attacco possa provenire dall'alleato russo Bielorussia, il 

successivo malware distruttivo ha colpito i sistemi ucraini, spacciandosi 

per ransomware ma cancellando i dati. Funzionari statunitensi hanno anche 

avvertito di minacce "specifiche e credibili" contro le infrastrutture 

critiche dell'Ucraina. Martedì, un apparente attacco DDoS ha colpito i 

siti web del Ministero della Difesa ucraino, delle Forze armate e di due 

importanti banche, anche se non è chiaro chi sia il responsabile.

Il governo degli Stati Uniti è stato a lungo intimamente coinvolto 

nell'aiutare a comprendere e mitigare il rischio informatico dell'Ucraina, 

una collaborazione che spera possa anche aiutarla a comprendere e mitigare 

le minacce alla patria. Il Cyber ​​Command degli Stati Uniti ha condotto 

quelle che chiama missioni di "caccia in avanti" in Ucraina, schierando 

squadre nel paese alla ricerca di malware come parte di una strategia 

nota come "impegno persistente", sviluppata dal suo comandante, il 

generale Paul Nakasone, in uno sforzo mantenere gli Stati Uniti in 

costante contatto con i suoi principali avversari nelle arene più 

attive del cyberspazio.

Sul lato civile, la CISA lavora a stretto contatto con le agenzie 

di sicurezza informatica ucraine e l'Agenzia statunitense per lo 

sviluppo internazionale gestisce da anni programmi su larga scala 

e multimilionari per aiutare l'Ucraina a proteggere la propria 

infrastruttura critica dagli attacchi informatici. "Come puoi 

immaginare, abbiamo anche comunicato più recentemente con CERT-Ucraina 

per fornire rapporti su possibili attività rivolte alle organizzazioni 

ucraine, comprese le agenzie governative ucraine", afferma Easterly, 

riferendosi al team di risposta alle emergenze informatiche del paese. 

"Stiamo in piedi per essere in grado di essere d'aiuto per loro."

Linee rosse

 

Le conversazioni nelle ultime settimane con più di una dozzina di leader 

senior della sicurezza informatica nel governo degli Stati Uniti, 

società tecnologiche e settore privato, molti dei quali hanno chiesto 

di parlare in modo anonimo per discutere apertamente di un ambiente 

dinamico di minaccia, hanno delineato le principali aree di rischio 

che sono guardando collettivamente, poiché la Russia ha già dimostrato 

online un'efficacia a volte brutale.

Mentre molti si aspettano che la Russia dispieghi operazioni di 

informazione a livello regionale, inclusa la disinformazione e 

forse anche operazioni hack-and-leak simili a quelle utilizzate per 

prendere di mira le elezioni presidenziali statunitensi del 2016, 

le due principali minacce sono un flagello del ransomware e dei 

cosiddetti danni collaterali. "Ripensando a NotPetya, questa è 

un'enorme storia di avvertimento", afferma Easterly, indicando 

le molte società statunitensi o filiali occidentali che fanno 

affari in Ucraina e quindi hanno sistemi digitali interbloccati.

Pochi funzionari credono che la Russia prenderebbe di proposito le reti 

statunitensi, almeno all'inizio di qualsiasi campagna contro l'Ucraina, 

e pensano che la Russia lo farebbe solo se gli Stati Uniti o la NATO 

intensificassero drammaticamente un conflitto in Ucraina. Notano che 

gli attori statali russi, a differenza di quelli della Corea del 

Nord o dell'Iran, non hanno mai deliberatamente effettuato attacchi 

informatici distruttivi alle infrastrutture o alle aziende statunitensi.

"Riteniamo che la soglia [per l'azione diretta] sia molto alta", 

afferma un alto funzionario del governo degli Stati Uniti, facendo 

eco a un avviso del DHS di metà gennaio.

Anche se la Russia sceglie di agire direttamente contro gli Stati Uniti, 

Michael Daniel, un tempo coordinatore informatico della Casa Bianca per il 

presidente Obama e ora capo del gruppo industriale Cyber ​​Threat Alliance, 

afferma che le sue aziende associate prevedono che qualsiasi attacco di 

questo tipo contro le reti statunitensi sarebbe “doloroso ma reversibile”. 

Ciò significa prendere di mira reti non critiche come i sistemi di 

fatturazione o le catene di approvvigionamento, piuttosto che l'infrastruttura 

centrale. Tali attacchi possono comunque portare a conseguenze indesiderate 

pericolose e dirompenti; l'attacco ransomware dell'anno scorso a Colonial 

Pipeline ha portato l'azienda a chiudere volontariamente il suo principale 

gasdotto della costa orientale mentre affrontava l'impatto sui sistemi non core.

"La Russia mi sorprende sempre con la sua volontà di superare i limiti", 

afferma John Hultquist, vicepresidente dell'analisi dell'intelligence 

presso la società di sicurezza Mandiant.

Forse molto probabilmente è uno scenario che i funzionari hanno descritto 

in vari modi come "ransomware con estremo pregiudizio" o "scatenamento 

della bestia dei loro attori criminali". In quel caso, il governo russo 

notoriamente permissivo libererebbe o incoraggerebbe i gruppi criminali 

all'interno dei suoi confini a scatenare epidemie di ransomware sulle reti 

occidentali nel tentativo di scoraggiare o distrarre gli Stati Uniti o la 

NATO dall'intervenire per aiutare l'Ucraina.

I funzionari sono chiari, tuttavia, che la sfida più grande nel prepararsi 

a uno spillover digitale dai campi di battaglia ucraini non è certo una 

novità per la sicurezza informatica: ci sono così tanti obiettivi e non 

molto tempo. Che si tratti di Ucraina, Europa o Stati Uniti, i funzionari 

si trovano ad affrontare un mosaico di infrastrutture di proprietà 

privata e pubblica, in gran parte obsolete e da tempo sottofinanziate 

quando si tratta di sicurezza. "Miglioramenti significativi nella 

resilienza non si verificano da settimane", ha osservato un funzionario, 

e i funzionari hanno lottato a lungo per persuadere le aziende del 

settore privato ad adottare misure di sicurezza più forti.

“Nel mondo fisico, abbiamo delle basi di sicurezza: cinture di sicurezza 

e airbag nelle nostre auto, limiti di velocità sulle nostre strade, 

sistemi di allarme e serrature nelle nostre case e negli uffici. 

Nel mondo digitale, non abbiamo questa sicurezza integrata, ma ci 

concentriamo sulla sua creazione urgente", afferma Neuberger. 

"Richiedere e costruire queste basi di sicurezza informatica per tutte 

le nostre infrastrutture critiche è la linea di sforzo più importante 

che possiamo intraprendere come nazione per rafforzare la nostra 

resilienza contro gli attacchi informatici".

Qualunque cosa accadrà nelle prossime settimane - i funzionari 

statunitensi hanno affermato di ritenere che Putin possa lanciare 

un'invasione su vasta scala dell'Ucraina già mercoledì, ci sono stati 

segnali che la Russia potrebbe alla fine ridimensionarsi - la capacità 

di risposta del JCDC sarà un test chiave della visione di Easterly di 

trasformare la CISA nella "porta d'ingresso per il governo", il primo 

luogo in cui le aziende del settore privato si rivolgono per 

informazioni e collaborazione sulla sicurezza informatica.

"Quello per cui vengo pagata è garantire che stiamo riducendo i 

rischi per la nostra infrastruttura digitale e fisica", afferma. 

"Dato che il governo non possiede la stragrande maggioranza di 

tale infrastruttura, sta assicurando che i nostri partner abbiano 

le informazioni e la guida praticabile di cui hanno bisogno per 

mantenere le loro attività operative".

Per ora, la CISA e il resto del governo degli Stati Uniti aspetteranno 

di vedere cosa porterà questa settimana.