Nel panorama globale della lotta contro gli attacchi cibernetici maligni, l’FBI (Federal Bureau of Investigation) svolge un ruolo centrale. Negli ultimi anni, l’agenzia ha dimostrato di avere ancora alcune sorprese in serbo, con operazioni innovative e aggressive per contrastare le minacce cibernetiche.
Strategie dell’FBI contro gli attacchi cibernetici
L’FBI mantiene una divisione chiamata Cyber Division (CyD), responsabile dell’indagine e della persecuzione dei crimini informatici. L’organizzazione si concentra non solo sulle minacce al governo e ai cittadini, ma anche alle aziende americane. Più di 1000 agenti e analisti della CyD lavorano in 56 uffici sul territorio statunitense e oltre 350 sottouffici, viaggiando globalmente per assistere le nazioni straniere nel contrasto al crimine informatico e per apprendere sulle minacce agli interessi statunitensi. L’FBI collabora anche con altre importanti agenzie statunitensi, come la CIA, la DHS e la NSA.
L’agenzia collabora formalmente con l’industria statunitense, con oltre 600 delle principali 1000 aziende che partecipano al Consiglio per l’Alleanza per la Sicurezza Interna dell’FBI, condividendo le migliori pratiche e le conoscenze sulle minacce emergenti. Il programma InfraGuard dell’FBI connette circa 70.000 professionisti statunitensi per proteggere l’infrastruttura dell’industria privata. Inoltre, l’FBI fa parte di numerosi altri gruppi per l’apprendimento, l’insegnamento e il coordinamento delle pratiche di cybersecurity.
CyWatch è il centro cyber dell’FBI operativo 24 ore su 24, 7 giorni su 7, dove professionisti con un’ampia gamma di competenze coordinano le risposte delle forze dell’ordine nazionali agli attacchi cibernetici, gestendo anche le risposte dell’FBI agli attacchi. L’FBI mantiene anche un elenco dei “Cyber Most Wanted”, aiutando il pubblico globale a identificare e segnalare i sospetti più infami dell’agenzia.
Principali interventi dell’FBI negli ultimi dieci anni
Negli ultimi dieci anni, l’FBI ha condotto numerose operazioni di successo per contrastare gli attacchi cibernetici a livello globale. Alcuni dei casi più notevoli includono:
- 2013: chiusura di Silk Road, un mercato darknet specializzato nella vendita di droghe illegali e altri articoli di contrabbando, e arresto del fondatore Ross Ulbricht.
- 2014: partecipazione a un sforzo internazionale per interrompere il botnet Gameover Zeus, che distribuiva il ransomware Cryptolocker.
- 2015: coordinamento di un’operazione tra agenzie di 20 paesi per abbattere il forum dark web Darkode, un luogo di incontro per persone che cercavano di acquistare o vendere informazioni su carte di credito, credenziali di server, strumenti di hacking, malware, botnet e altre risorse utili per comportamenti criminali malintenzionati.
- 2016: smantellamento della rete Avalanche, utilizzata per crimini globali basati su attacchi di phishing e distribuzione di malware.
- 2017: chiusura dei mercati dark web AlphaBay e Hansa, utilizzati per la vendita di prodotti illegali come droghe, armi, dati rubati e altro.
- 2018: collaborazione con le forze dell’ordine internazionali per interrompere una truffa globale di compromissione delle email aziendali, con l’arresto di 281 sospetti in diversi paesi.
- 2021: interruzione del gruppo di ransomware REvil/Sodinokibi, che aveva compromesso la compagnia globale di lavorazione della carne JBS e la società di software Kaseya.
- 2023: guida di un’operazione globale delle forze dell’ordine per chiudere il gruppo Ransomware-as-a-Service (RaaS) collegato alla Russia chiamato Hive, che aveva guadagnato circa 100 milioni di dollari da oltre 1500 vittime in 80 paesi.
Ostacoli a un’azione più efficace dell’FBI nel contrasto al crimine informatico
Nonostante il notevole track record dell’FBI, l’agenzia ha affrontato alcune critiche per il suo approccio al crimine informatico. Alcuni professionisti della cybersecurity sostengono che la cultura dell’FBI, che favorisce indagini rapide e approfondite che portano ad arresti e condanne, non è culturalmente compatibile con la lotta contro i crimini informatici, che possono richiedere anni di indagini e talvolta non portare ad arresti, specialmente quando i perpetratori si trovano in nazioni non cooperative.
Inoltre, l’FBI ha subito violazioni della sicurezza, con database di personale dell’FBI e dei suoi partner che sono stati violati in due attacchi separati in una sola settimana.
Evoluzione dell’approccio dell’FBI al crimine informatico
Dieci anni fa, le frodi finanziarie e i mercati dark web dominavano il panorama del crimine informatico. Nel corso degli anni, la minaccia è cresciuta a causa degli attacchi ransomware, che sono diventati sempre più “professionali”, perniciosi e costosi. La maggior parte di questi attacchi coinvolge tecniche di ingegneria sociale e sono spesso orchestrati da attori statali sponsorizzati principalmente da Russia, Cina, Iran e Corea del Nord.