http://www.limesonline.com/chi-non-fa-ciberspionaggio-di-stato-alzi-la-mano/79367
Dagli Usa alla Cina, dalla Russia alla Corea del Nord, passando per Israele:
gran parte dello spionaggio informatico degli ultimi tempi è ricollegabile a
entità statuali. Il caso del “Cybercaliffato”.
di Luca Mainoldi
L’attacco informatico alla società italiana Hacking Team è solo l’ultimo di una
serie di assalti a fini spionistici e/o di sabotaggio. L’azione forse è stata
condotta da un concorrente mascherato da difensore dei diritti umani.
L’operazione comunque sembra di essere di portata più vasta, se è vero che i
responsabili dell’attacco avrebbero preso il controllo degli spyware dei clienti
della società, permettendo loro di raccogliere informazioni su persone ed entità
spiate dai servizi di sicurezza di diversi Stati.
Hacking Team a parte, molti attacchi informatici sono attribuibili a entità
statuali.
Alla fine del 2014 furono rubati i dati dai server della filiale statunitense
della Sony (compresa la sceneggiatura dell’ultimo Bond, Spectre, le cui riprese
all’epoca dovevano ancora iniziare[1]), che poi grazie anche a WikiLeaks
finirono online a disposizione di tutti. Un colpo attribuito ad hacker di Stato
nordcoreani, incaricati di difendere “l’onore” del loro leader, Kim Jong-Un,
offeso dalla commedia The Interview, nella quale si prendeva in giro il regime
di Pyongyang e si rappresentava un attentato (riuscito) alla sua persona.
Come probabile risposta da parte americana, a fine dicembre 2014 i collegamenti
Internet della Corea del Nord sono stati isolati per alcuni giorni. Un atto
abbastanza semplice da compiere, almeno per lo US CyberCommand, visto che
l’unico collegamento Internet tra Corea del Nord e il resto del mondo passa per
la Cina. È bastato un massiccio attacco del tipo denial-of-service (invio
ingente di richieste di connessione ai server presi di mira) per isolare i pochi
punti di connessione nordcoreani.
Ancora più grave è stato l’assalto commesso ai danni di Tv5 Monde nella notte
tra l’8 e il 9 aprile, quando entrarono in panne simultaneamente sia i due
server di codifica che trasmettono il segnale digitale alle antenne, sia il sito
e gli account Facebook e Twitter dell’emittente. In pratica Tv5 è stata offline
in etere e sul web per ore. “La distruzione è stata fenomenale, metodica,
impressionante, (gli hacker) sono riusciti a trovare i server di codifica tra
migliaia di computer dell’azienda” ha affermato Jean-Pierre Verines, il
responsabile del settore informatico dell’emittente.
L’attacco era stato rivendicato dal cosiddetto “Cybercaliffato”, articolazione
dello Stato Islamico (Is) che aveva postato sulle pagine Facebook di TV5 Monde
da esso piratate alcuni documenti amministrativi francesi di scarsa importanza
(almeno secondo Parigi), presentati surrettiziamente come i profili dei militari
francesi attivi contro l’Is. Il 12 gennaio il Cybercaliffato si era reso
responsabile dell’attacco agli account Twitter e YouTube dell’US Central
Command, il comando militare americano per il Medio Oriente, dove aveva inserito
messaggi e video di propaganda. Il gruppo aveva anche pubblicato informazioni
sulle Forze armate americane liberamente accessibili sul web. Accanto a queste
c’erano tre documenti contenenti informazioni personali su alcuni generali.
L’attacco a TV5 sembra però opera di hacker russi. Secondo alcune delle società
di sicurezza informatica che hanno analizzato le modalità dell’attacco, esse
assomigliano a quelle impiegate da un gruppo denominato variabilmente APT28,
Sednit o Pawn Storm, che si pensa sia legato a entità statali russe e impegnato
in operazioni di spionaggio informatico su tematiche di interesse militare e
geopolitico. Il gruppo ha preso di mira anche alcuni oppositori di Putin.
Nei virus utilizzati nell’assalto sono stati inoltre riscontrati elementi
scritti in russo e orari di scrittura del codice compatibili con gli orari di
lavoro di Mosca. Secondo l’Anssi (Agence Nationale de la Sécurité des Systèmes
d’Information, l’autorità francese per la sicurezza informatica), l’attacco è
iniziato a gennaio, quando i pirati sono entrati nel sistema da un computer di
un posto di produzione. Da lì sono penetrati gradualmente in tutta
l’architettura informatica dell’emittente, per poi sferrare l’assalto finale.
Ma l’assalto più inquietante è quello contro l’Office of Personnel Management
(Opm), l’ufficio che gestisce i dati di tutti gli impiegati federali – compresi
membri del Pentagono e dell’intelligence – americani. Un furto massiccio di dati
personali di milioni di impiegati in servizio o che hanno lasciato l’impiego
governativo (in quest’ultimo caso, tolti i pensionati, una buona parte è tornata
a lavorare per il governo come contractor). Il Washington Post, nel dare la
notizia, attribuisce il furto informatico ad hacker di Stato cinesi che
avrebbero iniziato a penetrare il sistema di Opm dal dicembre 2014.
Lo scopo è trovare funzionari americani vulnerabili che possano essere
avvicinati dall’intelligence cinese, tanto più che è stato penetrato pure
l’archivio contenente le informazioni di coloro che devono ricevere le
abilitazioni di sicurezza per potere lavorare in programmi sensibili, militari o
di intelligence [2].
Insomma si usa il ciberspionaggio per reclutare spie alla vecchia maniera (la
cosiddetta Human intelligence). Secondo il Post, per trattare questa massiccia
raccolta di informazioni le spie cinesi sono state aiutate da aziende cinesi
specializzate nell’aggregare grandi quantità di dati per poi estrarre
informazioni di rilievo. La raccolta illecita dei dati del personale
governativo, secondo un esperto americano, si sarebbe intensificata negli ultimi
12-18 mesi, forse in coincidenza con la piena operatività di alcuni nuovi dati
center cinesi e dei 4 centri di calcolo che usano supercomputer di Tianjin,
Shenzhen, Changsha e Jinan.
Non è finita: a inizio giugno Kaspersky, produttrice di uno dei più noti
antivirus, rivela di essere stata fatta oggetto di una penetrazione informatica
via un virus che sembra essere una variante di Duqu, a sua volta strettamente
imparentato a Stuxnet, il virus sviluppato dai servizi americani e israeliani
per danneggiare le centrifughe iraniane. Stuxnet e Duqu sfruttano dei
certificati di sicurezza autentici sottratti a due aziende del settore di
Taiwan. Questo significa che un computer riconoscerà il programma che contiene
il virus come sicuro. Per questo gli hacker di Stato prendono di mira aziende
che emettono questi certificati e i produttori di antivirus, come Kaspersky, che
pure hanno difese di prim’ordine.
Kaspersky ha scoperto che il nuovo virus, ribattezzato non a caso Duqu bet (la
seconda lettera dell’alfabeto ebraico), è stato introdotto anche nei sistemi
informatici di tre hotel svizzeri dove si tengono i negoziati sul nucleare
iraniano. Duqu Bet può permettere di attivare microfoni e telecamere dei
computer installati nelle camere o di quelli che si collegano al Wi-Fi
dell’hotel, di sottrarre file e, infiltrandosi nel gestionale dell’albergo, di
conoscere l’assegnazione delle camere.
Se in questo caso i primi sospettati sono i servizi israeliani (ma potrebbero
essere gli stessi americani che spiavano le altre delegazioni partecipanti al
negoziato nucleare), la firma israeliana ClearSky annunciava a metà giugno
un’ondata di attacchi informatici provenienti dall’Iran, che prendevano di mira
Arabia Saudita, Israele e Yemen. Gli attacchi descritti in precedenza sono
definiti come advanced persistent threats (Apt) perché si inseriscono in modo
pressoché stabile e insidioso nei sistemi presi di mira. Una volta scoperta
un’infezione di questo tipo occorrono mesi per bonificare il sistema.
È quanto sta avvenendo nel sistema informatico del Bundestag tedesco, preso di
mira da un attacco Apt, forse di origine russa. Secondo la stampa teutonica
occorrerà addirittura un anno per rinnovare completamente il sistema, visto che
l’infezione si è propagata ai computer dei parlamentari (anche uno in uso alla
Merkel) che vi si collegano.
Questi episodi dimostrano che lo spionaggio (e il sabotaggio) cibernetico è una
realtà in uso da parte di potenze grandi e piccole. Nei casi più sofisticati,
occorrono investimenti anche consistenti per condurre questo genere di
operazioni. Rimane però difficile riuscire ad attribuire con certezza la
responsabilità di questa o quell’azione, rendendo aleatoria un’eventuale
rappresaglia.
Speriamo solo che un’eventuale sabotaggio informatico non comporti la perdita di
vite umane (si pensi a un attacco ai sistemi di controllo del traffico aereo o a
quelli di una centrale nucleare), con conseguenze difficilmente immaginabili.
Note:
1. Per un fan di Bond, come chi scrive, si crea un dilemma: cedere alla
tentazione di leggere il copione in anteprima oppure resistere per gustarsi i
colpi di scena quando uscirà il film?
2. Chi chiede un nulla osta di sicurezza vede la propria vita passata al
setaccio dai servizi segreti: abitudini, vizi, vita privata, mappatura delle
relazioni, persino i vicini di casa sono schedati. Il database contiene
informazioni su quasi tre milioni di persone che nel corso degli anni hanno
ricevuto l’abilitazione di sicurezza. Un tesoro enorme per un servizio di
intelligence avversario, tanto più che tra le persone schedate diverse sono di
origine straniera (anche cinese), particolarmente ricercate dall’intelligence
Usa per le loro competenze linguistiche.
