Luca Annunziata

Luca Annunziata

Lug 24, 2017

Botnet, Microsoft combatte Fancy Bear in tribunale

Per fronteggiare l'offensiva cibernetica che si presume giunga dalla Russia, a Redmond hanno scelto un'arma non convenzionale. I cyber-criminali sono colpiti a suon di carte bollate, e la loro botnet smantellata in tribunale

Non si sa esattamente chi ci sia dietro la botnet Fancy Bear, ma a Microsoft questo importa fino a un certo punto: il suo Windows è uno dei principali obiettivi di questo malware che circola da 10 anni in Rete, e dunque occorre trovare un modo per fronteggiare la minaccia. Invece del team sicurezza, che pure lavora in questo senso, questa volta è sceso in campo il team degli avvocati di Microsoft: che a suon di denunce, ingiunzioni e ordinanze del tribunale sta assestando uno dopo l’altro innumerevoli colpi alla compagine di malintenzionati che si cela dietro Fancy Bear, sottraendogli uno dopo l’altro i domini su cui la botnet si appoggia.

Tutta questione di nomi

La svolta nel caso è arrivata quando qualcuno a Microsoft ha fatto notare come molti dei siti che fanno parte dei centri di comando&controllo, i nodi attraverso cui i criminali controllano i computer infettati, facessero spesso capo a dei domini che richiamano marchi e software di Redmond. Se c’è Hotmail, Office, Windows o lo stesso marchio Microsoft nel nome del dominio, allora ci sono gli estremi per presentare una denuncia in tribunale per violazione di copyright. E per ottenere, di conseguenza, la riassegnazione del dominio.

Detto, fatto: dal 2016 è iniziata una campagna di citazioni e udienze che ha visto Microsoft sempre vittoriosa. In oltre 70 casi è stato possibile ottenere che il giudice riconoscesse la violazione del marchio di Microsoft e dunque ordinasse a register e registar di riassegnare la proprietà del dominio: una volta ottenuta quest’ultima, tecnicamente quello che viene fatto è andare a modificare le impostazioni del dominio per redirigere le macchine infette su inoffensivi server gestiti dalla stessa Microsoft, sottraendole quindi alla stretta dei malintenzionati.

Il mistero dietro Fancy Bear

A tutt’oggi non si conosce l’identità dei creatori e degli attuali gestori di Fancy Bear, network che da anni infetta PC di mezzo mondo e che si sospetta sia dietro anche ad operazioni di spionaggio ai danni di NATO, Casa Bianca e altre istituzioni e testate giornalistiche occidentali. Fancy Bear (anche nota come Pawn Storm, APT28 e una manciata di altri pseudonimi), sarebbe dietro anche l’assalto alle email del Comitato Democratico che sosteneva la candidatura di Hillary Clinton alla Presidenza USA: per questo e per altri casi analoghi si ritiene che Fancy Bear possa essere stata assoldata, se non addirittura essere stata creata, dall’intelligence russa.

Non esiste prova incontrovertibile che colleghi Fancy Bear a Mosca, ma si tratta senza dubbio di un sospetto che nel tempo secondo alcuni si è fatto decisamente fondato. Le gesta di Microsoft assumerebbero quindi un significato anche vagamente patriottico, sebbene le più recenti dichiarazioni del presidente Donald Trump riguardo il presunto cyber-spionaggio della Russia ai danni degli Stati Uniti sembrerebbero andare in una direzione opposta: Vladimir Putin ha negato che la sua nazione abbia spiato gli USA e abbia influenzato lo svolgimento delle Presidenziali 2016 a stelle e strisce, Trump gli crede e vuole anzi fondare assieme a lui una task force congiunta per fronteggiare la minaccia alla sicurezza che viene dalla tecnologia.