utenti ip tracking
domenica 17 Ottobre 2021

Il cyberwarfare statunitense

In breve

  • L’attacco a Microsoft Exchange ha messo in moto l’intero apparato di difesa cibernetica statunitense rivelandone pregi e difetti intrinseci.
  • Per analizzare le modalità secondo le quali gli USA conducono le proprie operazioni cibernetiche dobbiamo osservare l’intero apparato, comprendendo organi difensivi e offensivi.
  • Il “gigante” americano pur possedendo risorse e competenze manca ancora di information sharing di una partnership pubblico-privato in grado di rispondere tempestivamente agli attacchi cibernetici.

Dove si trova

Ascolta l'articolo

AnalisiSecondo le statistiche del National Cyber Index, gli Stati Uniti d’America sono al primo posto tra gli stati con le migliori capacità cibernetiche; hanno risorse, dottrine strategiche consolidate e una spiccata propensione ad utilizzare l’arma cibernetica sia come difesa che come offesa. Ciononostante non possiamo definire gli USA come una potenza egemonica e soprattutto non possiamo affermare che detengano il controllo del cyberpower.

L’ATTACCO A MICROSOFT EXCHANGE

Nell’ultimo decennio gli USA sono stati il bersaglio principale di attacchi cibernetici sempre più sofisticati e pericolosi. Il motivo di ciò viene istintivamente ricondotto alle caratteristiche degli USA agli occhi dei gruppi di hacker di tutto il mondo. Per questi soggetti gli USA rappresentano una superficie molto estesa da attaccare e al contempo una prospettiva di guadagno (economico e di informazioni/intelligence) non indifferente. Basti pensare che nel 2020 gli USA sono stati bersaglio di attacchi cibernetici il 23,6% in più rispetto a qualsiasi altra nazione nel mondo. Nel 2020 infatti un episodio ha catturato l’attenzione del mondo intero: l’attacco ai server e-mail Exchange di Microsoft. L’attacco hacker in questione ha istantaneamente reso vulnerabili circa 250mila aziende che utilizzavano il servizio di Microsoft per le e-mail. L’attacco, scoperto nel marzo 2020, sarebbe iniziato a gennaio dello stesso anno per poi proseguire indisturbato per mesi. Una volta scoperto, Microsoft ha immediatamente rilasciato aggiornamenti e linee guida su come “ripulire” i server violati, ma il danno nel frattempo è stato considerevole. La stessa Microsoft ha poi effettuato un’indagine approfondita sull’attacco e ha rivelato che l’attacco avrebbe avuto origine in Cina, portando così tutti i sospetti sul gruppo APT sponsorizzato dallo stato cinese denominato “Hafnium”. L’attacco è stato condotto ottenendo l’accesso a un server Exchange con password rubate o utilizzando vulnerabilità non ancora scoperte (zero-day) per poi attivare una web-shell che controllasse il server compromesso da remoto e infine estrarre i dati dalla rete.

Embed from Getty Images

Fig. 1 – Gli attacchi hacker stanno aumentando sia qualitativamente che quantitativamente

L’APPARATO DA GUERRA CIBERNETICA AMERICANO

L’estensione e la complessità dell’attacco hanno reso necessaria l’attivazione del completo apparato di difesa cibernetica statunitense. Un sistema che costituisce sicuramente un’avanguardia nel settore rispetto a tanti altri Paesi ma che presenta anch’esso delle criticità non indifferenti. Anche se nel cyberwarfare gli USA presentano una “potenza di fuoco” offensiva e difensiva particolarmente sviluppata tale forza non garantisce la supremazia dello spazio cibernetico o un controllo del “cyberpower” e di conseguenza non esiste una potenza egemonica cibernetica. Ciononostante è indubbio che gli Stati Uniti rappresentino una potenza nella conduzione del conflitto cibernetico. Il segno più evidente della perizia con cui manovrano le loro cyber-truppe è la loro architettura per le operazioni cibernetiche. Nello specifico l’apparato cibernetico USA si sostanzia in sistema ramificato e capillare composto da diversi comparti cyber. In altre parole laddove è possibile sfruttare internet per attaccare o difendersi viene schierata un’unità cibernetica. Questo perché la dottrina cibernetica statunitense è ben conscia della pervasività del cyberwarfare. I tre perni strategici dell’apparato cyber sono:

  • DoD (Department of Defense)
  • DNI (Director of National Intelligence)
  • DHS (Department of Homeland Security)

Sotto la direzione del DoD operano tre altri organi strategici: NSA, SOCOM e il USCYBERCOM. L’NSA (National Security Agency) è stata la prima agenzia ad essere investita della mission della cybersecurity nazionale e tal scopo oltre alle proprie forze impiega il SID (Signals Intelligence Directorate) come strumento di intelligence cibernetica e Il CCI (Cybersecurity Collaboration Center) per integrare le proprie forze con Intelligence (FBI e CIA) e imprese private. In questo modo la rete di risposta alle minacce è in grado di coinvolgere più attori conseguenza più competenze, aumentandone l’efficacia. Per quanto concerne il lato offensivo, l’NSA dispone di un’unità da guerra cibernetica d’élite denominata TAO (Tailored Access Operations) impiegata come una sorta di APT finalizzata all’acquisizione di informazioni sensibili.
Anche le forze speciali, per quanto siano impiegate come strumento prettamente cinetico di chirurgia militare non sono state escluse dal cyberwarfare. In seno al SOCOM e in particolare al JSOC è stata infatti creata l’ISA (intelligence Support Activity) al fine di fornire intelligence e supporto cibernetico alle forze speciali (Green Berrets, SEAL, Ranger, Delta Force). Infine, come snodo prettamente bellico dell’apparato cibernetico nel 2009 viene fondato lo USCYBERCOM, organo di comando e controllo di tutte le risorse cibernetiche in seno alle forze armate americane, tra cui l’Army Cyber Command dell’Esercito, il Fleet Cyber Command della Marina (nota anche come Tenth Fleet), la Sixteenth Air Force dell’Aviazione (nota anche come Air Forces Cyber, quest’ultima integra anche componenti della neonata Space Force) e infine il Marine Corps Forces Cyberspace Command dei Marines. Ciascuno di questi comandi fornisce supporto cyber alle operazioni della forza armata di riferimento e conduce operazioni specifiche.
Il secondo perno strategico è rappresentato dall’intelligence e quindi da CIA e FBI. Entrambe le Agenzie, poiché impiegate nella raccolta di informazioni (intelligence), hanno una predisposizione naturale all’uso dell’arma cibernetica, pertanto dispongono di unità cyber specifiche. La CIA schiera il DDI (Directorate for Digital Innovation) e il CCI (Center for Cyber Intelligence). Il primo si occupa di fornire i migliori strumenti IT disponibili, il secondo invece coordina le operazioni di tre unità “offensive”: il COG (Computer Operations Group), l’EDG (Engineering Developmenent Group, specializzato nello sfruttamento delle zero-days) e il PAG (Physical Access Group). L’FBI opera sull’lato della minaccia in seno al STD (Science and Technology Branch), che funge da sezioni ricerca e sviluppo dell’Agenzia, ha creato l’OTD (Operational Technology Division). Questa divisione si occupa di sorveglianza, support cibernetico alle indagini, supporto radio alle operazioni coperte, operazioni tattiche, difesa delle infrastrutture dell’agenzia. L’OTD inoltre utilizza il ROU (Remote Operations Unit) come unità offensiva. Il ruolo dell’FBI nel cyberwarfare è cruciale poiché serve da nodo di collegamento tra l’apparato di intelligence allargato (US Intelligence Community) e il dipartimento della giustizia (Department of Justice).
Infine il terzo e ultimo perno fondamentale è costituito dal DHS, il quale incorpora come agenzia principale in campo cyber la CISA (Cybersecurity & Infrastructure Security Agency). Nata nel 2018, la CISA è un organo puramente difensivo rivolto alla protezione delle infrastrutture critiche nazionali, gestione delle crisi cibernetiche, comunicazione di crisi, lotta al cybercrime (soprattutto contro gruppi Ransomware) e impegnata anche nello sviluppo di cyberawareness tramite l’erogazione di certificazioni.   

Fig. 2 – Infografica relativa al sistema di forze USA impiegate nel cyberwarfare | Autore: Federico Borgonovo 

INTEGRAZIONE O DISPERSIONE?

Dal punto di vista organizzativo osserviamo una macchina da guerra cibernetica ben armata e finanziata (10 miliardi di budget annuale). Ma tutto ciò non è sufficiente. La dottrina militare americana del cyberwarfare ha spinto i singoli dipartimenti a dotarsi di propri apparati cyber, i quali non necessariamente sono integrati tra di loro. Tranne che per il caso delle Forze Armate con lo USCYBERCOM non ci sono organi che permettano lo scambio di informazioni e di risorse tra tutte le agenzie e soprattutto a eccezione di alcune strutture interne alla CISA e l’NSA, non ci sono sufficienti partnership tra pubblico e privato. Ora che gli attacchi stanno diventando sempre più sofisticati e su scala industriale la collaborazione tra attori privati e agenzie nazionali diventa sempre più importante, se non imprescindibile.

Federico Borgonovo & Marco Zaliani

Immagine in evidenza: le cyberforces statunitensi, 2021 – Federico Borgonovo

Federico Borgonovo
Federico Borgonovo

Federico Borgonovo è analista-ricercatore presso l’Italian Team for Security Terroristic issues and Managing Emergencies – ITSTIME. Ha conseguito una laurea in Scienze Politiche per le Relazioni Internazionali presso l’Università Cattolica del Sacro Cuore (UCSC) e un Master in Politiche di Sicurezza (PoliSi) conseguito anch’esso presso l’UCSC di Milano, con una tesi finale intitolata “L’Etnografia digitale su Telegram come Strumento per l’antiterrorismo”. Si è specializzato in etnografia digitale, analisi geospaziali e social network analysis. Le attività su cui è maggiormente focalizzato sono il monitoraggio della propaganda terroristica e la modellazione delle tattiche di reclutamento nell’ambiente digitale; con particolare attenzione alle nuove tecnologie di comunicazione. Le maggior parte dei suoi studi è orientata in particolare al terrorismo islamico e all’estremismo di destra.

Ti potrebbe interessare
Letture suggerite