Il servizio di intelligence canadese ha ottenuto un mandato del tribunale federale per intervenire direttamente su dispositivi infetti presenti in Canada e neutralizzare due botnet gestite dall’estero. La decisione, resa pubblica in versione oscurata, descrive un uso inedito dei poteri di riduzione della minaccia, autorizzando operazioni tecniche su server, router domestici e di piccoli uffici, e dispositivi IoT come campanelli smart, telecamere, TV e altri apparecchi Wi‑Fi.
Il mandato ha permesso di modificare, degradare o distruggere i dati legati alla botnet all’interno delle macchine compromesse e di scollegare i dispositivi dalle infrastrutture di comando e controllo. Senza questa autorizzazione, l’azione sarebbe potuta rientrare in ipotesi di reato informatico perché intervenire su un dispositivo altrui e cancellare dati può configurare computer mischief secondo il codice penale. Il giudice ha ritenuto la minaccia chiara e imminente e le misure necessarie, ragionevoli e proporzionate, sottolineando che l’operazione era focalizzata sui dispositivi e non sulle persone, senza ricerca di identità degli utenti né intercettazione di contenuti e con distruzione di eventuali dati personali raccolti incidentalmente.
Le due botnet seguivano uno schema tipico di relay con un livello di comando che impartisce ordini e una rete di dispositivi infetti che instrada il traffico. Usare hardware canadese compromesso consente a un attore statale di mascherare le proprie attività facendole apparire come connessioni ordinarie di un cittadino, di un lavoratore remoto o di un cliente ISP mentre esplora reti governative, militari o infrastrutture critiche. Anche i proprietari dei dispositivi rischiano di risultare responsabili di traffico mai generato da loro, con impatti su reputazione e possibili indagini.
Il caso richiama operazioni simili viste negli Stati Uniti, dove autorità di law enforcement hanno ottenuto ordini per rimuovere malware da router SOHO sfruttati come nodi di anonimizzazione per attività di cyber spionaggio. La differenza chiave è che in Canada lo strumento è in mano a un servizio di intelligence tramite misure attive di contrasto e non tramite perquisizione e sequestro.
Resta centrale il punto difensivo più concreto per la sicurezza informatica: le botnet prosperano su router obsoleti, dispositivi a fine vita, firmware mai aggiornati, credenziali di default e pannelli di gestione esposti su Internet. Una pulizia governativa può rimuovere temporaneamente il malware ma non elimina le vulnerabilità di base e un reboot o un reset può riaprire la porta alla reinfezione se il dispositivo non viene sostituito o messo in sicurezza.