sabato 28 gennaio 2017

Il cacciatore di cybercriminali russi arrestato per tradimento

La Stampa
carola frediani

La misteriosa vicenda di Ruslan Stoyanov riporta in primo piano gli hacker russi, fra cybercrimine e servizi segreti



Un ricercatore russo di sicurezza informatica che per anni ha contribuito a smantellare intere gang cybercriminali di suoi connazionali è stato arrestato dalle autorità di Mosca con l’accusa di tradimento. Ruslan Stoyanov, uno dei più brillanti investigatori informatici russi, per anni al Ministero dell’Interno e successivamente nella squadra di analisti dedicata all’indagine di minacce digitali della società di cybersicurezza Kaspersky, sarebbe stato arrestato già a dicembre, anche se la notizia è trapelata solo ieri sulla testata Kommersant e successivamente confermata.

Il ruolo dell’Fsb
L’accusa rivolta a Stoyanov sembrerebbe essere legata a una indagine su Sergei Mikhailov, vicecapo della divisione cyber dell’Fsb - i servizi segreti interni eredi del Kgb - a sua volta arrestato a dicembre. L’indagine verterebbe su una fuga di informazioni verso aziende o entità straniere e su uno scambio di denaro. Il caso non riguarderebbe però la società per cui lavorava attualmente Stoyanov, ha dichiarato in una nota Kaspersky, colosso internazionale della cybersicurezza oltre che venditore di antivirus.

“Il nostro dipendente, a capo della squadra investigativa sugli incidenti informatici, è sotto indagine per un periodo che precede il suo impiego da noi, al Kasperksy Lab”, prosegue la nota. “E il lavoro svolto dalla nostra squadra di ricercatori, il Computer Incidents Investigation Team, non è coinvolto da questi sviluppi”. Secondo quanto ci riferisce la stessa Kaspersky, Stoyanov avrebbe iniziato a lavorare per loro nel 2011. Se davvero l’indagine riguarda fatti pregressi, difficilmente potrebbe legarsi a una fuga di informazioni legata ai presunti attacchi russi contro i democratici americani della scorsa estate, come qualcuno ha ipotizzato. Anche se il tempismo degli arresti ha fatto pensare a un collegamento.

Gli attacchi ai Democratici
Ricordiamo che, per gli attacchi contro il Comitato Nazionale Democratico e vari esponenti del Partito Democratico, l’intelligence e il governo Usa hanno accusato sia i servizi segreti interni russi Fsb (che si sarebbero mossi attraverso un gruppo di hacker soprannominati Cozy Bear o Apt29) sia i servizi militari Gru (che invece avrebbero agito mediante un altro gruppo noto come Fancy Bear o Apt28). Anche se i responsabili della diffusione vera e propria dei documenti e quindi di quella che è stata definita una guerra di informazione, sempre secondo la ricostruzione fatta da vari ricercatori e dal governo americano, sarebbero hacker al servizio di Gru e non dell’Fsb.

Stoyanov e il giro di vite sui cybercriminali
Tornando alla vicenda di Stoyanov, il suo arresto ha colpito molto la comunità di ricercatori di sicurezza informatica. Anche perché, dopo alcuni anni passati all’unità sul cybercrimine del Ministero dell’Interno, e poi in altre due aziende del settore, l’uomo aveva messo a segno una serie di operazioni contro la cybercriminalità russa, nota per essere tra le più vivaci, aggressive e organizzate - oltre che un possibile bacino di reclutamento dei servizi russi, secondo vari osservatori occidentali.

Ancora lo scorso giugno, Stoyanov aveva guidato l’identificazione di una cinquantina di membri di un gruppo cybercriminale russo, noto come Lurk, nella più grande retata del Paese contro hacker dediti a frodi finanziarie. La gang aveva rubato oltre 45 milioni di dollari a varie banche. Stoyanov, diversamente da altri suoi colleghi, seguiva soprattutto incidenti legati alla cybercriminalità, più che al cyberspionaggio di Stato. Lo stesso ricercatore, nel 2015, dava delle stime sull’underground russo: migliaia le persone coinvolte nella criminalità informatica, e in cima una élite composta da poche decine di hacker.

Guerra interna fra agenzie?
Sulla vicenda che ora lo riguarda, mancano ancora molti dettagli per azzardare interpretazioni. Va però notato che pochi giorni fa la testata russa Kommersant aveva riferito delle possibili dimissioni di Andrei Gerasimov (da non confondere con il più noto generale Valery Gerasimov), capo della divisione cyber dell’Fsb dal 2009.

L’impressione di alcuni osservatori è che questi ultimi avvenimenti possano essere il sottoprodotto di una guerra interna agli stessi apparati russi. Se il Gru è sospettato di aver diffuso i documenti dei democratici a danno di Hillary Clinton, qualcuno ha pensato invece a un coinvolgimento dell’Fsb nella diffusione del dossier con presunti materiali compromettenti su Trump. Oppure, come ipotizza il New York Times, Mikhailov e Stoyanov, con le loro attività, potrebbero aver interferito nei taciti accordi tra membri di alto profilo della cybercriminalità russa e una parte dei servizi segreti.

Al di là del caso specifico, l’arresto per tradimento di Stoyanov resta a suo modo emblematico del nuovo - e scivoloso - ruolo assunto da ricercatori di sicurezza informatica ad alto livello, quando possono trovarsi (volenti o meno) a gestire informazioni considerate di sicurezza nazionale, mentre i vari Stati si stanno riposizionando aggressivamente sulla scena digital