Quando il 7 maggio l’azienda americana Colonial Pipeline ha dovuto fermare all’improvviso il suo oleodotto, che rifornisce il 45 per cento di carburanti consumati nella East Coast, è iniziata la lotta contro il tempo. Analisti del mercato petrolifero hanno calcolato i giorni (cinque al massimo) in cui i barili di diesel, benzina e cherosene potevano permettersi di rimanere fermi in Texas invece di raggiungere l’area di New York. Ma altri analisti, specializzati in sicurezza nazionale, si sono chiesti quanto tempo passerà prima che gli Stati Uniti decidano di intervenire pesantemente contro quell’industria cybercriminale che, con un attacco informatico, ha indotto il blocco dell’oleodotto. E che fino a ieri, potenziata dalla pandemia, flagellava tranquillamente ospedali, amministrazioni pubbliche, enti governativi, industrie.

La misura era colma già da un pezzo, specie sotto la nuova amministrazione Biden. L’incidente può essere la goccia che fa traboccare il vaso. Con conseguenze geopolitiche rilevanti: sul contrasto alla cybercriminalità si giocano partite più ampie, che mettono in campo interessi strategici di più stati.

Il caso

Colonial Pipeline, distributore statunitense che gestisce 8.800 chilometri di oleodotto, il 7 maggio si accorge di essere vittima di un ransomware, un “virus del riscatto”. Si tratta di software malevoli che cifrano i file sui computer, bloccano i sistemi e chiedono ingenti somme per consegnare la chiave necessaria a decifrare tutto. In verità gli hacker hanno anche sottratto 100 gigabytes di dati, minacciando di diffonderli se non venivano pagati, in un ormai consolidato schema a doppia estorsione: alla cifratura si aggiunge lo spauracchio della pubblicazione di informazioni sensibili. Il software ha colpito la rete aziendale, ma per contenere il danno Colonial Pipeline ha messo offline anche i sistemi che gestiscono l’operatività industriale, fermando di fatto l’oleodotto, senza una data per la ripartenza. Mentre il distributore, con l’aiuto dell’Fbi e di consulenti esterni, cercava di far ripartire i sistemi, il governo emanava una rara dichiarazione di emergenza che toglieva restrizioni ai trasporti di carburante su gomma, per sopperire all’inattività dell’oleodotto.

Il paradosso è che solo due giorni prima dell’incidente l’amministrazione Biden e il Congresso avevano annunciato una serie di iniziative per affrontare la minaccia dei ransomware. Già a marzo Alejandro Mayorkas, il segretario del dipartimento di Sicurezza nazionale (Dhs), aveva assicurato che la lotta a queste “infezioni” sarebbe stata al centro della sua attività. In prima fila c’è anche il dipartimento di Giustizia, che negli ultimi anni ha moltiplicato i procedimenti contro attacchi informatici e cybercriminali stranieri, trasformandosi in una sorta di cyber poliziotto globale, capace di incriminare russi, cinesi, iraniani e nordcoreani. E che proprio poche settimane fa aveva dato vita a una task force dedicata alle cyber estorsioni.

Il cambio di marcia era già previsto, ora l’incidente potrebbe far ingranare la quarta al governo americano. Sul tavolo c’è già un rapporto dell’Institute for security and technology con dati e raccomandazioni. Nel 2020 circa 2.400 organizzazioni americane sono state colpite da ransomware, incluse 1.700 scuole e università e 560 strutture sanitarie. In totale, l’anno scorso, le vittime negli Stati Uniti hanno pagato 350 milioni di dollari in criptovalute per sbloccare i propri sistemi; un incremento di oltre il 300 per cento dal 2019. Tra le raccomandazioni: obbligare le aziende a riferire se sono state vittime di estorsione e se hanno pagato; indurle a considerare delle alternative; regolare più rigidamente il settore delle criptomonete (con cui sono pagati gran parte di questi riscatti), soprattutto per quel che riguarda i cambiavalute e l’applicazione delle norme antiriciclaggio. Infine, avviare un’azione di polizia e di diplomazia internazionale che alterni «il bastone e la carota» (è scritto proprio così ndr) nei confronti di quegli stati che si comportano come un porto sicuro per i cybercriminali.

Geopolitica del cyberattacco

Quest’ultima raccomandazione riapre lo scontro tra amministrazione Biden e Russia. Secondo molti ricercatori di sicurezza, diverse gang cybercriminali, incluse alcune protagoniste nel business dei ransomware, sarebbero gestite da persone che operano dalla Russia o da paesi nella sua diretta sfera di influenza. Lo stesso attacco a Colonial Pipeline per ora è stato ricondotto, da funzionari americani, società private e lunedì dalla stessa Fbi, a una entità cybercriminale denominata DarkSide, e collocata nell’est Europa. Attivi dall’agosto 2020, in passato i suoi operatori avevano perfino pubblicato un “codice etico” secondo il quale non avrebbero attaccato il settore sanitario (già bersagliato da altre formazioni). Nei giorni successivi al blocco dell’oleodotto, forse avendo intuito di aver mirato troppo in alto e aver scatenato una reazione infausta e imprevista, gli amministratori di DarkSide sul loro sito hanno fatto sapere di essere apolitici, non legati ad alcun governo, e di voler stare più attenti in futuro: vogliono solo fare soldi e «non creare problemi alla società». Surreale mea culpa che non fermerà la volontà Usa di andare a fondo nella ricerca dei responsabili.

Anche se la natura dell’episodio sembra essere meramente criminale finisce comunque col rafforzare l’accusa mossa alla Russia di non fare abbastanza per contrastare gli autori di queste azioni. Anzi, di usarli a proprio vantaggio. Questo mentre le agenzie di intelligence di Mosca sono incolpate, su un altro versante, di orchestrare imponenti campagne di cyberspionaggio, come quella che ha compromesso il software di un’azienda americana, Solarwinds, per planare da lì dentro ai sistemi di vari dipartimenti Usa. Anche per questo ad aprile Biden ha imposto sanzioni contro la Russia. Nella guerra ai ransomware gli Stati Uniti mescoleranno piani diversi: indagini con cui perseguire i singoli responsabili ma anche un’azione di contrasto a tutto campo in cui finiranno nel mirino gli attori che facilitano l’economia cybercriminale, che ha bisogno di infrastrutture e servizi di supporto. E poi il tentativo di isolare la Russia. Gli Usa troveranno un alleato nell’Ue, che faticosamente cerca di mettere la cybersicurezza fra le sue priorità. Anche le industrie europee sono state tormentate da questi attacchi nell’ultimo anno, dicono i rapporti Europol. Alleato forte sarà la Francia, il paese più colpito dai ransomware dopo gli Usa, con 4,5 miliardi di euro di danni lo scorso anno (stime Emsisoft). Parigi ha appena convinto il gruppo assicurativa Axa, dopo una tavola rotonda al Senato sull’epidemia globale di cyber ricatti, a non coprire più i costi delle estorsioni. «Bisogna comunicare che non paghiamo e non pagheremo», aveva dichiarato la procuratrice francese Johanna Brousse. L’idea è disincentivare i pagamenti, specie dopo che alcuni gruppi cybercriminali sono stati sospettati di aver preso di mira le stesse aziende coperte da polizze. Su questa linea si è schierata lunedì anche Anne Neuberger, viceconsigliera Usa per la Sicurezza nazionale su cyber e tecnologie emergenti: per lei è da rivedere proprio l’approccio ai riscatti, assicurazioni incluse.

© Riproduzione riservata