Uno degli strumenti più sofisticati nel contesto della guerra cibernetica posto in essere dai russi è stato neutralizzato grazie alla proficua sinergia delle agenzie di intelligence di Stati Uniti, Australia, Canada, Regno Unito e Nuova Zelanda. L’operazione ha preso di mira Turla, un gruppo di hacker che gli esperti di cybersecurity hanno a lungo associato al governo russo.
GLI HACKER RUSSI DI TURLA
Si ritiene che Turla sia composta da ufficiali del Centro 16, un’unità di intelligence del Servizio di sicurezza federale russo (FSB), una delle agenzie successori del KGB dell’era sovietica. Dalla sua comparsa nel 2003, Turla ha utilizzato un malware altamente sofisticato soprannominato “Snake” per infettare migliaia di sistemi informatici in oltre 50 paesi in tutto il mondo. Le vittime di Turla includono reti informatiche governative altamente sensibili negli Stati Uniti, comprese quelle del Dipartimento della Difesa, della National Aeronautics and Space Administration e del Comando Centrale degli Stati Uniti.
IL MALWARE SNAKE
Il malware Snake è stato trovato anche nei computer di aziende di proprietà privata, in particolare quelli appartenenti a vari settori infrastrutturali critici, come i servizi finanziari, le strutture governative, la produzione di elettronica, le telecomunicazioni e l’assistenza sanitaria. Per oltre due decenni, il malware Snake ha utilizzato migliaia di computer compromessi in tutto l’Occidente come nodi in complesse reti peer-to-peer e quindi gli hacker di Turla sono stati in grado di mascherare la posizione da cui hanno lanciato i loro attacchi.
LA CONTROFFENSIVA DEI FIVE EYES
Martedì, tuttavia, il Dipartimento di Giustizia degli Stati Uniti ha annunciato che il Federal Bureau of Investigation (FBI), insieme alle sue controparti nell’alleanza di condivisione dell’intelligence “Five Eyes” guidata dagli Stati Uniti, era riuscito a smantellare Snake. Secondo quanto riferito, questo sforzo, nome in codice Operation MEDUSA, è stato lanciato quasi 20 anni fa con l’obiettivo di neutralizzare il malware Snake. Gli esperti di difesa informatica di Five Eyes sono riusciti a localizzare le strutture di Turla a Mosca, così come a Ryazan, un centro industriale situato a circa 120 miglia a sud-est della capitale russa.
La complessa operazione di difesa informatica è culminata con lo sviluppo di uno strumento anti-malware che l’FBI ha soprannominato PERSEUS. Secondo l’annuncio del Dipartimento di Giustizia, PERSEUS è stato progettato per impersonare gli operatori Turla di Snake. In tal modo, è stato in grado di assumere le funzioni di comando e controllo di Snake. Essenzialmente, PERSEUS ha hackerato Snake e ha incaricato il malware di auto-eliminarsi dai computer che aveva compromesso. A partire da questa settimana, quindi, la rete mondiale peer-to-peer che Snake aveva faticosamente creato in due decenni, ha cessato di esistere, così come Snake stesso.