I nuovi attori del cracking mondiale

I nuovi attori del cracking mondiale

Nella geopolitica del cracking di Stato, dietro alle “grandi potenze” (black hats legati ai governi di Stati Uniti e Cina) si muovono una serie di gruppi governativi che portano a definire il multipolarismo nelle relazioni e negli equilibri internazionali della cyberwarfare. Tra questi rilevante è il ruolo di Russia e Siria, che hanno riformulato nell’uso dei virus di Stato la vecchia ricetta della propaganda bellica.

Sednit e la cyberminaccia da non sottovalutare: il cracking del Cremlino

Il cracking di Stato cinese è sovrastimato, a discapito dei black hats legati al governo russo. A sostenerlo è Jeffery Carr, capo della società di sicurezza informatica Taia Global. A riprova di ciò, il fatto che Mosca avrebbe già portato avanti operazioni di cyberwarfare sia nell’attuale conflitto con l’Ucraina che nella crisi con la Georgia del 2008. Come gli Stati Uniti, peraltro, anche la Russia dispone di uno specifico Comando militare per le attività offensive nel cyberspazio.
Ci sarebbero proprio black hats legati al governo di Mosca dietro l’operazione che lo scorso aprile avrebbe portato all’hackeraggio del sistema informatico della Casa Bianca, arrivando a documenti riservati come i programmi del Presidente Obama (notizia comunque smentita dagli Stati Uniti) e, lo scorso anno, al Dipartimento di Stato.

Il più noto gruppo di black hats di Stato russo è l’APT28, attivo dal 2007 e noto anche come “Sofacy Group” o “Sednit”. Negli anni ha realizzato attacchi soprattutto verso obiettivi militari e istituzionali, tanto internazionali come la Nato e l’Osce – l’Organizzazione per la sicurezza e la cooperazione in Europa – che nazionali, come il ministero della Difesa e quello degli Affari interni della Georgia durante la crisi con Tbilisi nel 2008.
Secondo Aleks Gostev, capo degli esperti in sicurezza del Global Research and Analysis Team (GReAT) del Kaspersky Lab, sarebbero stati trovati collegamenti tra l’APT28 e MiniDuke, virus utilizzato per l’acquisizione dei dati contenuti nei server del Parlamento federale tedesco, che ha costretto Berlino alla sostituzione di tutti i 20.000 computer destinando a questa “emergenza” alcuni milioni originariamente destinati alla spesa pubblica. Il virus sembra inoltre essere l’artefice dell’attacco contro la televisione francese TV5Monde, che lo scorso aprile ha visto sito e social network sostituiti dalla propaganda jihadista e ha costretto la rete a mandare in onda programmi preregistrati per 18 ore. Undici mesi è, invece, il tempo che l’APT28 ha impiegato per realizzare una campagna di attacchi spear-phishing e zero-day contro vari istituti bancari nel mondo (tra cui Bank of America e United Bank of Africa) che ha portato alla sottrazione di più di 900 milioni di dollari. Questa vicenda – così come l’hackeraggio alla JP Morgan del 2014 – ha posto l’accento sulla necessità di una migliore regolamentazione di istituti bancari e assicurativi in materia di cyber-sicurezza che dovrebbe vedere risultati a partire dalla fine dell’anno.

Tre i programmi principali usati dal gruppo: uno strumento per il download noto come “Sourface”, una backdoor (“EvilToss”) per avere accesso remoto ai target e una serie di moduli – noti come “Chopstick” – necessari ad implementare funzionalità del software di spionaggio che permettono di tenere aggiornato l’intero sistema. Le infezioni vengono trasmesse attraverso spear-phishing o falsi domini, inerenti soprattutto eventi nel campo della difesa britannica come il Counterterror Expo e il Farubolough Airshow.

Così come per la Cina anche i black hats russi sviluppano le proprie campagne sugli obiettivi strategicamente rilevanti per il governo, come il Caucaso, l’Armenia o la Georgia, monitorata anche per la sua alleanza con gli Stati Uniti e dalla quale sono state rubate informazioni relative alle operazioni di sicurezza. Questo, si legge in un rapporto realizzato dalla società di sicurezza informatica FireEye (.pdf), sarebbe un evidente indizio della stretta correlazione tra l’APT28 e il governo, così come lo sarebbe il fatto che i codici malevoli della maggior parte degli attacchi del gruppo sono stati scritti “in orario d’ufficio”, cioè dal lunedì al venerdì e tra le otto del mattino e le sei del pomeriggio ora locale (UTC +4).
Prove inconfutabili di tale collegamento non ce ne sono, ma quel che la stessa FireEye evidenzia con certezza è che a differenza dei black hats cinesi i russi non sono interessati a rubare proprietà intellettuale.

Syrian Electronic Army: nuovi cyberstrumenti, vecchia propaganda di Regime

Anche il Syrian Electronic Army non si occupa di proprietà intellettuale. Il suo obiettivo primario sono i principali quotidiani al mondo. Dal 2011, infatti, il gruppo ha colpito organi d’informazione globali come New York Times, The Guardian o la CNN allo scopo di fronteggiare «la massiccia distorsione dei fatti sulla Siria». Secondo un rapporto presentato lo scorso anno da Shane Huntley e Morgan Marquis-Boirse alla Black Hat hackers conference di Singapore – tra le più importanti conferenze sulla cybersicurezza al mondo – ventuno delle venticinque principali testate giornalistiche al mondo hanno subito attacchi informatici da parte di gruppi di black hats collegati in maniera più o meno diretta con i governi.

Sviluppatosi all’interno della Syrian Computer Society, autorità di Stato per la registrazione dei domini internet formata nel 1989 da Bassel al-Assad e guidata all’epoca dal fratello Bashar, il gruppo è noto soprattutto per il falso tweet postato sull’account dell’agenzia Associated Press nel 2013 relativo ad una falsa esplosione alla Casa Bianca con conseguente ferimento del Presidente Obama e crollo di cento punti del Dow Jones.

Clicca sull'immagine per ingrandire (fonte: Corriere.it)

Clicca sull’immagine per ingrandire

Noto utilizzatore delle tecniche di spear-phishing, il SEA ricorre spesso anche a tecniche di vera e propria intimidazione, realizzata attraverso operazioni di defacement dei siti – la modifica illegale dell’home page dei siti e/o delle pagine interne – in aggiunta a tecniche d’attacco classiche come il ricorso ai malware o ai Distributed Denial of Service.
Un rapporto della società di sicurezza informatica IntelCrawler del 2014 ha individuato collegamenti tra il SEA e ufficiali in Siria, Libano, con il gruppo di Hezbollah e con l’Iran, che per alcuni esperti sarebbe il vero manovratore del gruppo.

Il regime siriano di Bashar al-Assad e quello russo di Vladimir Putin così come i governi di Stati Uniti e Cina hanno intuito prima d’altri quanto le guerre informatiche possano essere la declinazione dei conflitti tra Stati (e tra Stati ed organizzazioni private, come WikiLeaks e Anonymous) nei prossimi decenni. Basti considerare che proprio Washington ha posto l’hacking tra gli strumenti della guerra futura.

Chi detterà le regole della cyberwar? Gli stessi governi che oggi utilizzano virus informatici e black hats come strumento – poco noto – di politica estera.

[5 – Continua]
[4 – Cracking, governo e spionaggio industriale: i black hats di Stato cinesi]
[3 – Il cracking atlantico: Tao, Jtrig&Equation Group tra delazione e “interdiction”]
[2 – La diplomazia del virus informatico: figli di Stuxnet]
[1 – Stuxnet, i virus informatici di Stato e i prodromi del cyber-9/11]

Un Commento

  1. Pingback: Cracking, omertà&regole internazionali | Il Dettaglio - Il blog di Andrea Intonti

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: