Il cracking atlantico: Tao, Jtrig&Equation Group tra delazione e “interdiction”

L’operazione che porta al rallentamento del programma nucleare iraniano viene portata avanti grazie a “Stuxnet”, il primo di una sempre più lunga serie di virus di Stato. Allo stesso modo il trojan Regin è servito per l’operazione denominata “Socialist”, grazie alla quale i servizi segreti britannici (GCHQ) hanno potuto hackerare la più importante compagnia di telecomunicazioni del Belgio, Belgacom, che ha tra i propri clienti le più alte istituzioni europee e riveste un ruolo importante – attraverso la sussidiaria Belgacom International Carrier Services – non solo in Europa ma nell’intero sistema di telecomunicazioni globale, soprattutto in ambito roaming (l’accordo tra le società di telefonia mobile che permette agli utenti di una rete possono utilizzare la rete delle altre). In molti casi, il trasferimento dei dati viene gestito proprio dalla BICS.

Mappa cavi Belgacom (fonte: The Intercept)

Mappa cavi Belgacom (fonte: The Intercept)

Il controllo dei pc di alcuni ingegneri che lavorano per la compagnia belga, e dunque dell’intera rete della società, così come la sorveglianza che GCHQ ed NSA realizzano sui cavi siciliani attraverso il programma Tempora, hanno permesso alle due agenzie d’intelligence di avere accesso a dati e comunicazioni transitati attraverso Europa, Africa, Asia e Medio Oriente, aprendo così alla possibilità di uno spionaggio di natura economica oltre che politica.
La prima fase dell’operazione – che ha colpito anche alcuni ingegneri dell’Organizzazione dei Paesi Esportatori di Petrolio (OPEC) e che ha costituito una vera e propria attività di dossieraggio basata sulla raccolta dati dei target – è stata portata avanti attraverso “Quantum Insert”, un sistema necessario per attacchi noti in gergo come “man in the middle, che il Kaspersky Lab definisce come

attacco in cui un hacker (o un tool malevolo) si introduce tra vittima e server (per esempio un server di una banca online o di posta elettronica)

realizzato attraverso una serie di server segreti – noti come “Quantum” – dislocati in punti strategici della dorsale di internet. Sfruttando la velocità derivante da questa posizione, i server malevoli (“FoxAcid” quelli usati dall’NSA) deviano la connessione dal sito originario ad un sito-fake identico all’originale ma contenente il codice per lo spionaggio.
Attraverso questa operazione di sorveglianza, nel 2013 è stato possibile individuare un piano segreto dell’Arabia Saudita per la speculazione sul prezzo del greggio.

L’operazione “Socialist” è andata avanti per due anni, ed è stata scoperta solo nella primavera del 2013 grazie ad un malfunzionamento del servizio e-mail interno e, successivamente ad un aggiornamento di Windows che ha costretto Belgacom a rivolgersi alla società di sicurezza informatica olandese Fox-It. Dietro l’operazione il “My Network Operation Centre” (o MyNoc) unità d’élite del GCHQ creata per l’infiltrazione in reti straniere ed il rastrellamento di dati da tali reti, mettendo governo, imprese ed esercito britannico – ma è ipotizzabile che i servigi di questo gruppo siano stati sfruttati da tutti i governi del “Five Eyes”– in una posizione privilegiata rispetto a nemici e concorrenti.

Tailored Access Operation – The “Man in the middle” team

Esperto nell’uso della rete Quantum – o di progetti simili – è anche il Tailored Access Operations (TAO), uno dei più importanti corpi d’élite tra i black hats governativi d’attacco di cui la National Security Agency disponga. Non è un caso se dal 2008 ad oggi sia passato da 60 a 270 specialisti, attivi in operazioni di spionaggio “classico” ma soprattutto nell’infiltrare e manipolare le reti informatiche e nello sviluppare spyware e backdoor che, infettando il bios del computer – in pratica la parte fondamentale di ogni pc, che tra le altre cose permette di caricare il sistema operativo – è in grado di resistere alla formattazione del computer, come nel caso del programma Souffletrough usato dall’NSA.

Il cracking atlantico: Tao, Jtrig&Equation Group tra delazione e “interdiction”

È attraverso il TAO e l’accordo con il GCHQ in ambito “Five Eyes”, nonché utilizzando attacchi “man in the middle” che l’NSA riesce a raccogliere dati dai cavi siciliani del SeaMeWe3, operando sia per gli Stati Uniti che «per i suoi alleati», come si legge in un articolo scritto per il settimanale tedesco Der Spiegel nel 2013 da Jacob Appelbaum, Laura Poitras e altri.
Il TAO è attivo anche in una sorta di attacco “man in the middle” offline, che l’NSA chiama “Interdiction” e che consiste nell’intercettazione fisica dei trasporti di computer e dispositivi informatici al fine di installare software e hardware necessario a fornire all’intelligence un comodo accesso in remoto ai dati che transitano su quei computer.

A svelare l’esistenza dell’”interdiction” è il direttore del dipartimento “Access and Target Development” dell’Nsa in un articolo del 2010 – destinato alla newsletter interna e divenuto di dominio pubblico grazie alle rivelazioni di Edward Snowden – scritto a commento di alcune fotografie che immortalerebbero dipendenti Nsa intenti ad aprire degli scatoloni contenenti router Cisco da sorvegliare. Si legge nell’articolo

le spedizioni di dispositivi di rete (servers, routers, etc) che vengono recapitati ai nostri obiettivi nel mondo sono intercettati. Dopodiché, vengono reindirizzati in un luogo segreto dove dipendenti del Tailored Access Operations o dell’Access Operations (AO-S326), con il supporto del Remote Operation Center (S321) consentono l’installazione di impianti beacon (una tecnologia che consente di tracciare gli spostamenti, ndr) direttamente nei dispositivi elettronici dei target. Questi dispositivi sono poi re-impacchettati e messi nuovamente in transito verso la destinazione originaria. Tutto questo avviene con il supporto dei partners della comunità d’Intelligence e gli esperti tecnici in Tao

Creato nel 1998, il Tao conta oggi più di un migliaio di dipendenti tra militari, hackers civili, ingegneri elettronici, progettisti di software e hardware che, da basi come quella di Fort Meade (Maryland) o di Francoforte (Germania) hanno realizzato attacchi contro la Cina, contro il sistema di navigazione online anonima Tor o contro il Segretariato per la sicurezza del Messico, responsabile delle forze di polizia, del controterrorismo e del sistema carcerario, nell’ambito delle operazioni di monitoraggio del traffico di droga e di esseri umani.
Altri programmi usati dal gruppo – come XKeyScore o Turbine, resi pubblici dalla denuncia di Edward Snowden – ricavano informazioni utilizzate in seguito dallo U.S. Cyber Command per difendere gli Stati Uniti (e soprattutto il presidente) dagli attacchi informatici, così come sono impiegati dall’Fbi, dalla Dea e dalla Cia per la loro attività di contrasto alla criminalità e al terrorismo, sia interni che internazionali.

Il Tailored Access Operations non è però l’unico reparto di black hats governativi che la geopolitica informatica – ormai aperta alla possibilità di attacchi bellici, come la vicenda Stuxnet dimostra – conosca.

JTRIG – Trappole al miele&delazione

In ambito “Five Eyes” – l’accordo di Signal Intelligence (SigInt) tra Stati Uniti, Gran Bretagna, Canada, Australia e Nuova Zelanda – oltre al Tao tra i black hats governativi opera anche il Joint Threat Research Intelligence Group (JTRIG), sezione del britannico GCHQ. A rivelarne l’esistenza sono – ancora una volta – i documenti che Edward Snowden rende pubblici nel 2013.
Lo scopo per cui il JTRIG viene creato è quello di attaccare i nemici della Corona britannica, dai gruppi politici estremisti come l’English Defense League ai trafficanti di armi e droga, passando per gruppi terroristici, governi come l’Iran o l’Argentina, hackers e giornalisti non allineati. Nella maggior parte dei casi, i target posti nell’obiettivo dell’unità sono solo “sospettati” e non “accusati” o “condannati”. Una delle peculiarità per cui l’unità è nota è il forte ricorso alla delazione contro i nemici – attraverso quella tecnica che in Italia è nota come “macchina del fango” – e alle honey traps”, che sfruttano l’adescamento sessuale per rubare o carpire dati personali o informazioni di varia natura (.pdf).
Il Jtrig ricorre inoltre al phishing e all’invio di malware così come a forme di HumInt” (Human Intelligence) come l’uso della psicologia comportamentale e dell’ingegneria sociale per manipolare l’opinione pubblica. Tutte operazioni che si aggiungono ad attacchi informatici più “classici” come i DDoS, capaci di rallentare o bloccare un server, impedendo l’accesso a tutti i siti in esso contenuti e, dunque, alle loro informazioni.

Se queste tecniche possono avere un senso nell’ambito della lotta al terrorismo o alla criminalità interna – come per la lotta contro gli abusi su minori – o della protezione della sicurezza nazionale, un po’ più difficile risulta essere la comprensione dei motivi per cui questa unità ha aiutato la Bank of England o il governo al fine di realizzare investimenti finanziari migliori.

Tra gli obiettivi principali del Jtrig Anonymous, il Syrian Cyber Army, l’A-Team, LulzSec e WikiLeaks, considerati alla stregua di gruppi politici radicali. Tra le tecniche più usate invece la creazione di video “persuasivi” su YouTube volti a screditare un obiettivo, la creazione di gruppi o account su Facebook e Twitter o l’immissione in rete di notizie e materiali fasulli.
Quello dell’inondazione di internet con false informazioni – nella maggior parte dei casi verso persone o gruppi che non sono stati accusati né condannati per alcun crimine se non quello del “democratico diritto di protestare” per dirla con l’antropologa canadese Gabriella Coleman, studiosa della cultura hacker e dell’attivismo online – è un tipo di operazione “sotto copertura” teorizzata tra gli altri da Cass Sunstein, docente di economia comportamentale alla Harvard Law School e capo dell’Ufficio dell’Informazione e le Regole (si occupa di valutare gli effetti delle leggi sugli Stati Uniti) per l’Amministrazione Obama tra il 2009 e il 2012. Noto soprattutto per la proposta di infiltrare “cognitivamente” forum, social network e chat di attivisti, Sunstein è stato chiamato dal Presidente Obama a far parte del gruppo di esperti a cui è stata affidata la riforma dell’NSA dopo il Datagate.

Secondo quanto riportato da NBCNews, agenti del JTRIG avrebbero contattato alcuni hacktivisti di Anonymous via mail, attraverso social network e instant messaging postando questo messaggio:

[il] DDoS e l’hacking è illegale, per favore smetti e desisti (DdoS and hacking is illegal, please cease and desist)

Equation Group – Attacco al cuore del sistema (operativo)

La più importante minaccia proveniente dal cracking atlantico arriva però dall’Equation Group, sviluppato dall’NSA negli anni ’90 che «sorpassa qualsiasi cosa conosciuta in termini di complessità e sofisticazione delle tecniche», come evidenziato dal Global Research and Analysis Team (GReAT) del Kaspersky Lab. La società russa ha scoperto il gruppo nel febbraio 2015 seguendo il lavoro di malware come EquationDrug – un mini sistema operativo utilizzato per il cyber-spionaggio e gli attacchi APT – grazie ai quali è stato possibile realizzare attacchi in oltre 42 nazioni.
Tra le tecniche note adottate dall’Equation Group – che fa ricorso a strategie di offuscamento particolarmente complesse, rendendo difficile il lavoro degli esperti in sicurezza informatica – il salvataggio dei file malevoli direttamente nel Registro di sistema di Windows (dove sono contenuti opzioni e impostazioni del sistema operativo e delle applicazioni installate) che rende inutile la formattazione o l’uso di file system virtuali. L’uso di queste infezioni – di cui ad oggi è noto solo l’uso fatto attraverso “Regin” – permette di ottenere informazioni e interagire direttamente con il kernel, il “fulcro” del sistema operativo che fa da ponte tra hardware e software. L’aspetto più pericoloso degli attacchi del gruppo è però la capacità di infettare i firmware (programmi che hanno lo scopo di avviare un componente elettronico permettendogli di comunicare con altri componenti hardware attraverso specifici protocolli di comunicazione) della maggior parte degli hard disk attualmente in commercio.
Così come il Tailored Access Operation, anche l’Equation Group ricorre all’hackeraggio fisico attraverso la pratica dell’”interdiction”.

Il cracking atlantico: Tao, Jtrig&Equation Group tra delazione e “interdiction”

Compendio di geopolitica del cracking di Stato
Allo stesso modo dei “Virus di Stato” – virus informatici sviluppati da gruppi black hats per conto dei governi – anche il cracking sta sempre più entrando nell’arsenale dei rapporti geopolitici globali, costituendo – ad oggi – un sistema di piccole battaglie combattute sotto il livello di sorveglianza di media ed opinione pubblica.
Così come nel sistema delle relazioni internazionali tout court, gli Stati Uniti rappresentano anche nell’ambito dei black hats governativi una delle principali potenze in campo. A controbilanciarne il potere – in un sistema fatto per lo più di “Paesi in via di sviluppo” – è la Cina, che da un palazzo bianco di 12 piani nella periferia di Shanghai muove la propria cyberguerra in nome della sicurezza nazionale, delle politiche governative e, soprattutto, dello spionaggio industriale.

[3 – Continua]
[2 – La diplomazia del virus informatico: figli di Stuxnet]
[1 – Stuxnet, i virus informatici di Stato e i prodromi del cyber-9/11]

  1. Pingback: Cracking, omertà&regole internazionali | Il Dettaglio - Il blog di Andrea Intonti

  2. Pingback: I nuovi attori del cracking mondiale | Il Dettaglio - Il blog di Andrea Intonti

  3. Pingback: Cracking, governo e spionaggio industriale: i black hats di Stato cinesi | Il Dettaglio - Il blog di Andrea Intonti

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: