La diplomazia del virus informatico: figli di Stuxnet

La diplomazia del virus informatico: figli di Stuxnet

Il “dopo Stuxnet” è rappresentato da virus informatici come Wiper, che nel 2012 ha tentato – invano – di cancellare i database della National Iranian Oil Corporation e di alcuni impianti di produzione petrolifera di Teheran.

Lo scorso novembre Kaspersky Lab e Symantec, due tra le più importanti società nello studio e nella produzione di sistemi di sicurezza informatica, e The Intercept (quotidiano online promosso tra gli altri da Laura Poitras e Glenn Greenwald per portare avanti il lavoro giornalistico sui documenti di Edward Snowden) rendono nota l’esistenza di Regin, un trojan – cioè un malware che si camuffa in modo da farsi installare dall’utente – che ha colpito decine computer in Pakistan, Afghanistan, Iran, Arabia Saudita, Russia, India, Irlanda, Messico, Austria, Germania e Belgio avendo come obiettivo nella metà dei casi aziende di telecomunicazioni.

Con varie somiglianze con la struttura di Stuxnet, Regin nasce con compiti di spionaggio delle infrastrutture nazionali, colpite attraverso molteplici possibilità di utilizzo (dalla cattura di schermate o dei tasti digitati – c.d. keylogging – alla registrazione del traffico internet fino al furto dei dati di login). Secondo gli esperti Regin circola almeno dal 2008, e può essere aggiornato a distanza anche con l’introduzione di nuove funzioni. Data la “vittimologia” – che vede coinvolti soprattutto sistemi informatici in Russia e Arabia Saudita – molti esperti imputano la creazione di questo trojan a Stati Uniti, Gran Bretagna (sulla cui colpevolezza un indizio viene trovato nell’assenza di obiettivi colpiti nei paesi del “Five Eyes”) o la Cina.

Le cinque fasi di "Regin". Fonte: Symantec.com

Le cinque fasi di “Regin”.
Fonte: Symantec.com

È stato inoltre confermato l’impiego di Regin nell’operazione che nell’estate 2012 ha colpito Belgacom, la società di telecomunicazioni e Internet Service Provider del Belgio che ha tra i propri clienti Parlamento e Commissione europea – anch’essa colpita dal virus – il Consiglio europeo e l’Aiea. I documenti resi pubblici da Edward Snowden hanno inoltre reso noto come l’NSA spiasse non solo l’agenzia atomica ma anche la delegazione dell’Unione Europea a New York, le Nazioni Unite, il Fondo Monetario Internazionale e la Banca Mondiale.

Computer di agenzie governative e università, ma anche quelli di privati in Paesi come il Sudan, l’Egitto, l’Iran, Israele, Ungheria, Russia, Emirati Arabi sono stati invece infettati nel 2010 da Flame, considerato attualmente il più potente malware della storia e, come Regin, in grado di trasformare i computer in perfette macchine per lo spionaggio, diffondendosi attraverso chiavette usb o attaccando uno specifico algoritmo di sicurezza di Windows noto come Message-Direct5 (MD5) che trasforma i dati in impronte digitali uniche (dette “funzioni crittografiche di hash” o, per contrazione, “hash”).

Flame fa parte di una gamma di virus informatici derivati a partire dal codice sorgente di Stuxnet che contempla anche il trojanGauss”, scoperto nel 2012 a rubare dati informatici soprattutto in Libano e “Duqu”, che si propaga come file immagine con estensione .jpg e noto per aver sfruttato nel 2011 alcune vulnerabilità zero-day – cioè non note fino a quel momento – per attaccare il Kaspersky Lab, accusato da Bloomberg di essere vicino al regime russo di Vladimir Putin.

Infezione diplomatica
La società di sicurezza informatica russa – accusata di aver fatto generare falsi positivi ad alcuni antivirus concorrenti – ha inoltre individuato una piattaforma per lo spionaggio informatico nota come “Red October” che tra il 2007 e il 2012 ha infettato almeno 350 sedi di ministeri, ambasciate e centri di ricerca in sessanta Paesi, soprattutto in Russia e nell’ex blocco sovietico. Una volta scoperto il virus è entrato in una fase dormiente, non prima di aver rubato vari terabyte di informazioni diplomatiche e relative ai dipendenti delle istituzioni colpite. “Rocra”, il malware contenuto in “Red October”, oltre alla possibilità di realizzare operazioni di spionaggio prevede anche la possibilità di «resuscitare» – come scrive il Karspersky Lab nella presentazione del virus – qualora questo venga scoperto e disattivato mediante una patch.

Fonte: Spiegel Online International

Fonte: Spiegel Online International

L’infezione è stata trasmessa attraverso una classica operazione di “phishing, sfruttando vulnerabilità di programmi come Word, Excel e Adobe Reader e sviluppando oltre mille moduli utilizzati dal virus per la raccolta illecita di informazioni. Una volta ottenuti i dati – compresi quelli classificati e criptati con “Acid Cryptofilter”, programma in dotazione anche alla Nato – questi venivano inviati ad una serie di server (situati soprattutto in Russia e Germania) e da lì agli autori dello spionaggio, nascosti dietro un sistema di server proxy che rende difficile – quando non impossibile – (rin)tracciarne l’identità.

Proprio l’ampiezza dei moduli è un indizio del fatto che tempo e denaro siano stati una preoccupazione relativa per gli autori di “Red October”, di cui ancora oggi non è stata accertata l’identità. L’ipotesi più accreditata è che dietro al virus ci sia un gruppo criminale russo che opera nel mercato nero, anche se tecnica d’infezione, codice di scrittura e modalità di sfruttamento delle vulnerabilità sembrano portare ad un gruppo di black hats di Stato cinesi noto come “Apt12”, autore negli anni di vari attacchi informatici contro gli attivisti tibetani e contro il comparto militare ed energetico di alcuni paesi asiatici.

L’Agente “Snake”
Diplomatici sono anche gli obiettivi di “Snake”, noto anche come “Uroburos” o “Turla”, un rootkit (cioè un malware per sistemi Windows che permette di accedere e rubare dati da un pc infetto eludendo i sistemi di sicurezza, anch’esso rientrante nell’arsenale degli Advanced Persistent Threat) che sembra sia stato impiegato fino allo scorso anno nel conflitto tra Russia e Ucraina per spiare computer e telefoni cellulari di vari parlamentari di Kiev.
“Snake” si propaga non solo attraverso metodi di infezione “classici” come il phishing e lo sfruttamento delle vulnerabilità dei programmi ma anche attraverso attività di ingegneria sociale, cioè lo studio del comportamento dell’utente al fine di ottenere informazioni utili, usate – anche dal gruppo che ha realizzato “Snake” – per attacchi noti come “watering hole” (o “water hole attack”, letteralmente “pozza d’acqua” o “abbeveratoio”). Questo tipo di attacchi crea una infezione nei siti più visitati dagli utenti-target e, da lì, verso i loro computer. Una volta ottenuto accesso al pc infetto, nel caso specifico di “Snake” il codice malevolo apre una connessione con i server “Command-and-Control (o “C&C”), utilizzati per carpire informazioni sul sistema operativo dell’utente.

La diplomazia del virus informatico: figli di Stuxnet

Considerata una delle più sofisticate campagne di cyber-spionaggio mai realizzate, tra gli obiettivi di Snake sono stati individuati indirizzi IP di vari ministeri (soprattutto degli Esteri e del Commercio), agenzie d’intelligence, ambasciate, organizzazioni di ricerca e società attive nel settore farmaceutico, situate soprattutto nei Paesi dell’Europa dell’Est – in particolar modo in Ucraina – e negli Stati Uniti. Nel 2008 proprio gli Stati Uniti sono stati colpiti dall’”Agent.BTZ, che documenti ufficiali del Pentagono definiscono come «la peggior breccia nel sistema informatico militare statunitense nella storia» e che sarebbe una versione precedente dello stesso “Snake”.

Lo scorso anno il Kaspersky Lab ha inoltre trovato connessioni tra quest’ultimo e “MiniDuke”, usato nel 2013 per infettare – attraverso un falso resoconto di un dibattito sull’Ucraina tenuto in sede Nato nel 2009 – alcune agenzie governative con sede in Belgio, Ucraina, Portogallo e Irlanda. Il virus è noto anche come “ItaDuke” per alcuni riferimenti alla Divina commedia presenti nel codice di scrittura.
Il codice sorgente scritto in russo, così come l’uso nel conflitto tra Kiev e Mosca – nonché il fatto che questi attacchi richiedano ampia disponibilità economica e di competenze tecniche – hanno portato vari esperti a considerare “Snake” come parte del programma di cyber-spionaggio del governo russo.

Regole d’ingaggio
Keylogging, watering hole, virus che consentono di trasformare microfono e webcam in cimici ambientali, server C&C sono strumenti noti da anni agli esperti in sicurezza informatica. A partire dal 2001 quello che sta cambiando è il loro uso in un contesto più ampio che contempla – come avvenuto con “Stuxnet” e il programma nucleare iraniano – il sabotaggio di processi industriali critici. Ma cosa impedisce, in un futuro più o meno vicino, di sviluppare virus appositamente pensati per colpire una diga, un condotto petrolifero o una centrale nucleare causando inondazioni o disastri ambientali? O ancora virus in grado di paralizzare sistemi finanziari – comprese le borse valori delle materie prime – o reti di comunicazione o qualunque altra risorsa strategicamente rilevante per un Paese che sia governabile tramite algoritmi e sistemi informatici? Una ipotesi del genere porterebbe a realizzazione l’avvertimento lanciato nel 2012 dall’allora Segretario della Difesa statunitense Leon Panetta, preoccupato dal fatto che attacchi informatici ad infrastrutture critiche possano portare in futuro ad una “Cyber Pearl Harbor” (o ad un 9/11 digitale).

Attacchi che per complessità e costi in termini monetari, di tempo, di intelligence e di manodopera altamente specializzata possono – per ora – essere messi in atto solo da gruppi legati ai governi, le stesse istituzioni a cui dovrà essere affidato il compito di creare le regole di ingaggio per attacchi informatici come Stuxnet, che ha sdoganato l’uso delle cyber-armi nelle relazioni diplomatiche.

Nella definizione che ne dà l’avvocato Stefano Mele, coordinatore dell’Osservatorio “Infowarfare e tecnologie emergenti” dell’Istituto italiano di Studi Strategici Niccolò Machiavelli, una cyberarma è

un’apparecchiatura, un dispositivo ovvero un qualsiasi insieme di istruzioni informatiche utilizzato all’interno di un conflitto tra attori, statuali e non, al fine di procurare anche indirettamente un danno fisico a cose o persone, ovvero di sabotare o danneggiare in maniera diretta i sistemi informativi di un obiettivo sensibile del soggetto attaccato

Se è possibile definire con precisione cosa sia una cyberarma e, di contro, quali attacchi informatici non rientrino sotto questa fattispecie, ben diversa è la capacità di determinare un quadro normativo che definisca le regole per l’utilizzo di questo strumento, assente persino nel manuale Tallin, il manuale Nato che fissa le regole internazionali per la guerra cibernetica.

Per approfondire: Come funziona una cyberarma (Infografica – Guilbert Gates, New York Times)

I governi – a cui dovrebbe spettare la formulazione di queste regole internazionali – stanno invece riservando investimenti sempre maggiori alle cyberarmi, spesso subappaltandone la realizzazione a gruppi attivi nella criminalità informatica, come sembra sia avvenuto per “Red October”.
Paesi come Stati Uniti, Russia, Germania, Cina, Israele e Norvegia hanno peraltro già previsto lo sfruttamento del cyberspazio per operazioni militari (c.d. “cyber-warfare”) nei loro documenti strategici in materia di cyber-sicurezza.
Alla luce di questo vuoto normativo e della possibile escalation volta a colmare il gap tra “grandi potenze” – già in grado di sfruttare questo nuovo tipo di arma – e “Paesi in via di sviluppo” non ancora dotati di strumenti informatici d’attacco, l’ipotesi di una “cyber Pearl Harbor” appare tutt’altro che una mera teoria.
I cyberattacchi portati da un governo straniero o da un’organizzazione di black hats non statuale nei confronti degli Stati Uniti – è la tesi del Pentagono, come riportato dal Wall Street Journal – sono considerati veri e propri atti di guerra. Allora perché se ad attaccare sono gli Stati Uniti il discorso deve essere diverso?

[2 – Continua]
[1 – Stuxnet, i virus informatici di Stato e i prodromi del cyber-9/11]

  1. Pingback: Cracking, omertà&regole internazionali | Il Dettaglio - Il blog di Andrea Intonti

  2. Pingback: I nuovi attori del cracking mondiale | Il Dettaglio - Il blog di Andrea Intonti

  3. Pingback: Cracking, governo e spionaggio industriale: i black hats di Stato cinesi | Il Dettaglio - Il blog di Andrea Intonti

  4. Pingback: Il cracking atlantico: Tao, Jtrig&Equation Group tra delazione e “interdiction” | Il Dettaglio - Il blog di Andrea Intonti

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: