“Un’agenzia federale di controspionaggio che si occupa di rintracciare gli hacker ha acquistato i dati raccolti dalla spina dorsale di Internet da un’azienda privata perché era più facile e richiedeva meno tempo rispetto all’ottenimento di dati simili dall’NSA”, riferisce 404 Media, una nuova società indipendente fondata da quattro giornalisti esperti del settore, citando documenti ufficiali del Governo statunitense.
Se ci si rivolge alla National Security Agency/Central Security Service sono necessari molti “giorni”, mentre un appaltatore privato è in grado di fornire gli stessi dati all’istante. Celerità e facilità, questa è la motivazione dell’acquisizione “privatistica” (ed onerosa) dei dati internet da parte della Defence Counterintelligence and Security Agency (DCSA).
“La notizia è l’ennesimo esempio di un’agenzia governativa che si rivolge al settore privato per ottenere nuove serie di dati”, aggiunge 404 Media.
Cosa è emerso dai documenti
404 Media ha ottenuto i documenti grazie a una richiesta avanzata al DCSA tramite il Freedom of Information Act (FOIA). Qui la nota di risposta della Defence Counterintelligence and Security Agency (DCSA) datata 19.9.2023.
Cosa è emerso? Secondo i registri degli appalti, per diversi anni l’agenzia avrebbe speso milioni di dollari per l’uso della tecnologia della società di intelligence sulle minacce informatiche Team Cymru.
“Sebbene il Team Cymru non abbia le stesse capacità dell’NSA, una delle agenzie di intelligence più potenti al mondo, la menzione dell’NSA nei documenti di appalto mostra cosa può attrarre le agenzie ad acquistare dati a livello commerciale piuttosto che collaborare con altre parti del governo per ottenerli: velocità e facilità di accesso. In alcuni casi possono essere inclusi dati che di solito richiedono un mandato, come i dati sulla posizione. I documenti appena rilasciati forniscono anche una maggiore comprensione dello scopo esatto per cui alcune agenzie vogliono utilizzare i dati di Internet, menzionando casi d’uso che vanno oltre la difesa delle reti governative”, ha precisato 404 Media.
Più in particolare, i documenti acquisiti – che indicano i motivi che hanno indotto la DCSA ad accedere ai dati – mostrano che la Defence Counterintelligence and Security Agency (DCSA) si è rivolta ad un appaltatore affiliato al Team Cymru, la Argonne Ridge Group, che si occupa di Agenzie pubbliche.
Cosa fa Team Cymru
Team Cymru è un’azienda di cybersicurezza che raccoglie dati sensibili attraverso rapporti con i fornitori di servizi Internet (ISP) senza il consenso informato delle persone o delle organizzazioni che utilizzano tali ISP, scrive 404 Media. Il tipo di dati che Team Cymru raccoglie è chiamato netflow e può mostrare quale server ha comunicato con un altro su Internet, consentendo agli analisti di seguire l’attività attraverso reti private virtuali. Questo tipo di dati sulle connessioni può essere normalmente disponibile solo all’entità o all’individuo che gestisce il server stesso o al suo ISP. “Il Team Cymru, invece, si inserisce in una parte di Internet invisibile alla maggior parte delle persone ma fondamentale per il suo funzionamento, raccoglie questi dati e ne vende l’accesso all’industria privata e alle agenzie governative”.
L’attività investigativa
Nei documenti acquisiti, emerge che l’Agenzia di controspionaggio starebbe cercando “la capacità di tracciare attività dannose derivanti da entità di intelligence straniere note nonostante i loro tentativi di offuscare la loro attività”, fornendo maggiore chiarezza sui casi di utilizzo legittimo dei dati di netflow.
“Attualmente, gli analisti forensi dedicano molto tempo al tentativo di deconflicare gli indirizzi IP e i nomi di dominio degli aggressori con gli attacchi in corso nel governo federale”, si legge in uno dei documenti. “Questo processo può essere noioso e richiede molto tempo, poiché non esiste un’unica fonte per la deconfliction. Alcune fonti che un analista potrebbe controllare sono l’US-CERT, l’NSA e varie risorse di task force”. US-CERT è il Computer Emergency Readiness Team, un’organizzazione “difensiva” del Dipartimento di Sicurezza Nazionale degli Stati Uniti.
“Queste fonti non sono servizi di tipo ‘lookup’ e spesso comportano una richiesta e l’attesa (a volte di giorni) di una risposta definitiva. Con il passare del tempo, aumenta il potenziale di danno per il DSS e gli appaltatori autorizzati”, continua il documento.
L’Agenzia di controspionaggio, in particolare, specifica di aver bisogno di accedere a un servizio che gli permetta di individuare le persone “che stanno pianificando attacchi, minacce interne, riciclaggio di denaro, compromissione di sistemi o discussione su come sfruttare le vulnerabilità”.
Screenshot di uno dei documenti. immagine: 404 media.
Il prodotto acquistato
Il prodotto principale di Team Cymru che è stato venduto al controspionaggio americano prende il nome di Augury che “rende disponibili agli analisti i dati netflow e altri tipi di dati”, scrive 404 Media. “La vendita di dati netflow è una sorta di segreto aperto nel mondo della sicurezza informatica. Diverse fonti del settore mi hanno detto che netflow può essere uno strumento utile per gli investigatori per rintracciare i punti da cui gli hacker lanciano gli attacchi. Ma il suo commercio rende anche nervosi alcuni operatori del settore, preoccupati che questi dati possano cadere nelle mani sbagliate. All’epoca ho garantito a queste fonti l’anonimato per parlare delle pratiche sensibili del settore”.
Il precedente
Il giornalista investigativo Joseph Cox , uno dei componenti la 404 Media, ha anche scoperto che l’Internal Revenue Service (IRS) – l’Agenzia governativa statunitense deputata alla riscossione dei tributi , “voleva acquistare lo strumento di monitoraggio del Team Cymru e che la Marina, l’Esercito e il Cyber Command degli Stati Uniti hanno pagato collettivamente milioni per accedere allo strumento. Anche l’FBI e i Servizi Segreti hanno contratti con Argonne Ridge Group, l’affiliata di Team Cymru che gestisce i contratti con le agenzie pubbliche”.
“Ho anche riferito in precedenza che il senatore Ron Wyden è stato contattato da un informatore in merito al presunto uso e acquisto senza mandato dei dati di Team Cymru da parte dell’NCIS, un’agenzia di polizia civile che fa parte della Marina. L’informatore ha contattato Wyden dopo aver già presentato un reclamo attraverso il processo di segnalazione ufficiale presso il Dipartimento della Difesa, secondo una lettera che Wyden ha inviato all’Ispettore generale e che ho pubblicato all’epoca”, scrive Cox.
La “potenza” globale di Augury
Senza Augury, la Defence Counterintelligence and Security Agency (DCSA) avrebbe dovuto posizionare sensori in tutto il mondo per raccogliere direttamente i dati acquisiti da Team Cymru , si legge nei documenti dell’Agenzia. Attività impossibile da realizzare in tempi brevi, insomma.
Screenshot di uno dei documenti. immagine: 404 media.
“Una soluzione comparativa è stata quantificata in modo approssimativo determinando gli sforzi di pianificazione, acquisizione, distribuzione, servizio e manutenzione per sostenere la distribuzione di [redacted] apparecchiature di raccolta dei flussi in tutto il mondo per coprire Internet”, scrive la DCSA, prima di aggiungere che questo piano costerebbe “sostanzialmente di più” del servizio offerto dal Team Cymru.
“I dati della rete [Augury] includono quelli provenienti da oltre 550 punti di raccolta in tutto il mondo, tra cui punti di raccolta in Europa, Medio Oriente, Nord/Sud America, Africa e Asia, e vengono aggiornati con almeno 100 miliardi di nuovi record ogni giorno”, si legge in un documento di approvvigionamento del governo statunitense in possesso di 404 Media. Augury fornisce accesso a “petabyte” di dati, aggiunge Cox.
La piattaforma Palantir
404 Media indica che uno dei documenti acquisiti presso la DCSA è un rapporto di “ricerca di mercato”, in cui i dipendenti fanno un’indagine sul settore in generale per trovare soluzioni che possano soddisfare le esigenze dell’agenzia. Il rapporto sostiene che Team Cymru offre anche integrazioni dei suoi prodotti con la piattaforma di analisi dei dati Palantir.
Cindy McGovern, capo delle comunicazioni della DCSA, ha risposto a 404 Media in un’e-mail: “Al momento non abbiamo nulla da aggiungere alle informazioni ricevute ai sensi della FOIA”.
Cos’è NSA
La National Security Agency/Central Security Service è un organo del Dipartimento della Difesa degli Stati Uniti responsabile della sicurezza nazionale. In particolare, si occupa della sicurezza dei sistemi informativi e delle reti informatiche. La NSA Technical Signals Intelligence (TechSIGINT) fornisce inoltre “la comprensione delle armi straniere, dei sistemi aerei e spaziali per informare i politici e sconfiggere gli avversari”. Ha competenza in materia di protezione delle reti nazionali e di penetrazione dei sistemi dei Paesi esteri ostili.
Cos’è la DCSA
La Defence Counterintelligence and Security Agency (DCSA), è un’Agenzia governativa che ha il compito di fronteggiare le minacce alla sicurezza del personale e quelle all’industria. Le due mission vengono supportate dai settori “controspionaggio”, “minaccia interna” e “formazione sulla sicurezza”. Il controspionaggio, in particolare, si concentra sulla minaccia interna straniera. Ha il compito di identificare e bloccare i tentativi degli avversari di rubare informazioni e tecnologie sensibili per la sicurezza nazionale. DCSA è il più grande fornitore di servizi investigativi del governo federale e supporta oltre 100 enti federali. Attualmente, supervisiona 12.500 strutture nell’ambito del Programma nazionale di sicurezza industriale (NISP).
