Il Canada ha compiuto un passo senza precedenti nella lotta alle minacce informatiche ottenendo la prima autorizzazione giudiziaria specifica per operazioni di neutralizzazione attiva di botnet presenti sul proprio territorio. Il Canadian Security Intelligence Service (CSIS) ha ricevuto dalla Federal Court un mandato che consente di intervenire direttamente su dispositivi compromessi per eliminare malware e interrompere infrastrutture utilizzate da avversari stranieri. La decisione, inizialmente emessa il 1° maggio 2024 e successivamente rinnovata nell’agosto dello stesso anno, è stata resa pubblica in forma redatta nel giugno 2026 e rappresenta il primo utilizzo concreto dei poteri di Threat Reduction Measures introdotti dal National Security Act. L’operazione ha preso di mira due botnet attribuiti ad attori statali che sfruttavano router, server e dispositivi IoT presenti in Canada per attività di spionaggio, ricognizione e potenziale sabotaggio contro infrastrutture critiche.
Cosa leggere
La Federal Court autorizza per la prima volta le Cyber Threat Reduction Measures
La decisione della Federal Court segna una svolta nell’approccio canadese alla sicurezza nazionale in ambito cyber. La giudice Catherine Kane ha stabilito che la minaccia rappresentata dai due botnet era concreta, imminente e sufficientemente grave da giustificare un intervento diretto del CSIS. Il mandato, emesso ai sensi delle sezioni 12.1 e 21.1 del CSIS Act, autorizzava misure che includevano alterazione, degradazione e distruzione di dati malevoli presenti sui dispositivi compromessi. La corte ha inoltre riconosciuto che tali attività sarebbero potenzialmente configurabili come reati informatici in assenza di una specifica autorizzazione giudiziaria. Per questo motivo il provvedimento è stato considerato essenziale per consentire all’agenzia di intelligence di operare legalmente nell’ambito della neutralizzazione delle minacce. Dopo una prima validità di 120 giorni, il mandato è stato rinnovato nell’agosto 2024 per un ulteriore periodo operativo.
I botnet erano collegati ad avversari statali stranieri
Secondo quanto emerge dalla documentazione pubblicata, i due botnet erano controllati da soggetti identificati come avversari statali stranieri. Sebbene molte informazioni restino coperte da redazioni, diversi elementi tecnici e temporali coincidono con campagne attribuite a gruppi collegati alla Cina, tra cui Volt Typhoon e Flax Typhoon. Non viene tuttavia esclusa la possibilità che uno dei due botnet fosse associato a interessi russi o ad altri attori governativi. L’infrastruttura utilizzava un modello a due livelli composto da server di comando e controllo e da una rete di relay distribuiti costituiti da dispositivi compromessi. Attraverso questa architettura gli operatori potevano nascondere l’origine delle proprie attività e far apparire il traffico come proveniente da normali utenti canadesi, rendendo molto più difficile l’attribuzione delle operazioni offensive.
Router e dispositivi IoT diventano piattaforme di spionaggio
I sistemi compromessi comprendevano una vasta gamma di apparati normalmente presenti in abitazioni private e piccoli uffici. Tra questi figuravano router SOHO, server domestici, videocamere di sorveglianza, dispositivi Ring, smart TV e altri apparati IoT connessi a internet. Molti di questi dispositivi risultavano privi di aggiornamenti di sicurezza, fuori supporto o configurati in modo non sicuro. Una volta compromessi, venivano utilizzati come nodi relay per instradare traffico malevolo e mascherare le attività degli attaccanti. Questa strategia consentiva agli operatori di effettuare ricognizioni contro reti governative, infrastrutture strategiche e organizzazioni private utilizzando indirizzi IP apparentemente legittimi. L’impiego di dispositivi appartenenti a cittadini comuni rendeva inoltre molto più complesso distinguere il traffico malevolo da quello ordinario.
Le infrastrutture energetiche erano tra i bersagli principali
Tra gli obiettivi individuati dagli investigatori figuravano infrastrutture considerate essenziali per la sicurezza nazionale canadese. In particolare, la documentazione giudiziaria cita il settore energetico come possibile bersaglio delle attività di ricognizione e pre-posizionamento effettuate tramite i botnet. Questo tipo di operazioni è particolarmente preoccupante perché può rappresentare una fase preparatoria per future attività di sabotaggio o interruzione dei servizi. Attraverso i dispositivi compromessi, gli attaccanti erano in grado di raccogliere informazioni sulle reti, identificare sistemi vulnerabili e preparare l’accesso a infrastrutture critiche senza attirare immediatamente l’attenzione dei sistemi di difesa. La natura persistente e distribuita delle botnet aumentava ulteriormente il rischio operativo.
Il CSIS Act consente ora interventi attivi contro le minacce cyber
Le basi giuridiche dell’operazione derivano dalle modifiche introdotte nel CSIS Act attraverso il National Security Act del 2017, entrato pienamente in vigore nel 2019. Queste disposizioni hanno ampliato il ruolo del CSIS, consentendogli non solo di raccogliere intelligence ma anche di intervenire direttamente per ridurre o neutralizzare minacce alla sicurezza nazionale. Le cosiddette Threat Reduction Measures rappresentano uno degli strumenti più innovativi introdotti dalla normativa. Prima di tali modifiche, attività come la cancellazione di malware o la modifica remota di sistemi compromessi avrebbero potuto configurare reati previsti dal Criminal Code canadese. Il mandato emesso dalla Federal Court ha quindi fornito la copertura legale necessaria per consentire l’operazione.
Privacy e diritti individuali restano al centro della decisione
Uno degli aspetti più delicati affrontati dalla corte riguarda il bilanciamento tra sicurezza nazionale e tutela della privacy. La giudice Kane ha sottolineato che le misure autorizzate erano rivolte esclusivamente ai dispositivi e non alle persone che li utilizzavano. Secondo la documentazione pubblicata, il CSIS non ha cercato di identificare gli utenti, non ha intercettato contenuti delle comunicazioni e ha distrutto eventuali dati personali raccolti incidentalmente durante le attività tecniche. Il principio del least intrusive means, che impone l’utilizzo delle misure meno invasive possibili, è stato indicato come elemento fondamentale per giustificare l’operazione. La decisione si inserisce inoltre nel contesto giurisprudenziale definito dalla sentenza R. v. Bykovets, nella quale la Corte Suprema canadese ha riconosciuto una ragionevole aspettativa di privacy associata agli indirizzi IP.
La neutralizzazione è avvenuta senza avvisare i proprietari dei dispositivi
Il mandato autorizzava il CSIS a connettersi remotamente ai dispositivi compromessi per eliminare il malware, interrompere le comunicazioni con i server di comando e controllo e neutralizzare la funzionalità delle botnet. Le attività sono state eseguite senza notificare preventivamente i proprietari degli apparati coinvolti. L’obiettivo era evitare che eventuali avvisi compromettessero l’efficacia dell’operazione o consentissero agli attaccanti di modificare rapidamente la propria infrastruttura. È importante sottolineare che il CSIS non ha corretto le vulnerabilità presenti nei dispositivi né ha aggiornato firmware o configurazioni. L’intervento si è limitato alla rimozione della componente malevola, lasciando quindi aperta la possibilità di future reinfezioni qualora i dispositivi continuassero a essere vulnerabili.
Il Canada segue una strada diversa rispetto agli Stati Uniti
L’operazione presenta alcune analogie con iniziative già condotte dalle autorità statunitensi contro botnet e infrastrutture malevole. Negli Stati Uniti, tuttavia, azioni di questo tipo vengono generalmente effettuate attraverso mandati di perquisizione e sequestro richiesti dalle forze dell’ordine o dal Federal Bureau of Investigation (FBI). Il modello canadese si distingue perché attribuisce un ruolo operativo diretto all’agenzia di intelligence attraverso i poteri di Threat Reduction previsti dal CSIS Act. Questo approccio offre una maggiore flessibilità nell’intervento contro minacce persistenti ma richiede allo stesso tempo un rigoroso controllo giudiziario per garantire proporzionalità e rispetto dei diritti fondamentali.
Il precedente apre una nuova fase nella difesa cyber canadese
La neutralizzazione dei due botnet rappresenta molto più di una semplice operazione tecnica. La decisione della Federal Court crea infatti un precedente giuridico che potrebbe influenzare il futuro delle operazioni cyber in Canada. Il caso dimostra che il governo è disposto a utilizzare strumenti attivi per contrastare infrastrutture malevole presenti sul proprio territorio quando queste vengono impiegate da avversari stranieri per attività di spionaggio o preparazione di attacchi contro infrastrutture critiche. Allo stesso tempo emerge con chiarezza un problema strutturale: milioni di dispositivi IoT, router domestici e apparati legacy continuano a essere esposti e vulnerabili. Finché questi sistemi resteranno privi di aggiornamenti e adeguate misure di sicurezza, continueranno a rappresentare una risorsa preziosa per attori statali e gruppi avanzati impegnati nella costruzione di infrastrutture clandestine per operazioni di intelligence e sabotaggio.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
