Gnosis - La rivista italiana di intelligence

Prove di cyber-guerra planetaria

18 giugno 2013

di Antonio Teti

red-october

Operazione “Red October”: un esempio di guerra globale digitale

Ottobre 2012: una data che non sarà dimenticata per molto tempo e che rappresenta il primo esempio di attacco massificato nel cyberspazio.

Sono stati i ricercatori del Kaspersky Lab Global Research & Analysis Team, attraverso un’intensa attività di ricerca e analisi su alcune minacce provenienti dalla rete, a scoprirne l’esistenza. L’elemento che ha condotto alla sua scoperta è una botnet[1] che si distingue dalle altre per le spiccate finalità spionistiche che persegue. Si scopre inoltre che questo malicious code era attivo da ben 5 anni e ancora agli inizi del 2013 continuava a condurre i suoi attacchi. Il nome gli viene attribuito in funzione del luogo in cui ha avuto origine il network che ha scatenato le azioni di cyber crime, la Russia, anche se molti dei server che si sono resi protagonisti degli attacchi, sono dislocati in altri paesi europei, come ad esempio la Germania.

Nella relazione tecnica presentata da Kaspersky, risulta che gli attacchi si sono estesi a macchia d’olio dall’Asia fino agli Stati Uniti, attaccando principalmente strutture istituzionali, governative (le ambasciate in particolare), accademiche e soprattutto centri di ricerca ubicati prevalentemente in Europa orientale e in Asia centrale. La mission principale dei cyber-criminali, era finalizzata alla raccolta di informazioni inerenti alle tipologie di sistemi informativi oggetto degli attacchi, i dispositivi mobili ad essi collegati (notebook, netbook, smartphone, iPad), le differenti varietà di apparecchiature di trasmissione indirizzamento di dati in rete (switch, firewall, router), e non ultimo per importanza, alcuni database memorizzati nelle memorie di massa dei sistemi informatici.

La tecnica utilizzata è la seguente: inizialmente, i crackers[2] raccolgono una serie di informazioni utili sul bersaglio da colpire, utilizzando una tecnica di phishing[3] particolarmente raffinata: lo spear phishing. È un programma appositamente sviluppato per scagliare attacchi di phishing, ma solo dopo aver preliminarmente raccolto informazioni dettagliate sul bersaglio.

Un esempio classico di spear phishing è quello che vede il destinatario dell’attacco ricevere una mail da un mittente “noto” o “conosciuto” (quindi valutato come innocuo), in cui sono allegati documenti apparentemente reali e riconducibili al lavoro che il ricevente svolge o che sono riferibili alla sua vita personale. Di conseguenza, la mail assume tutte le caratteristiche di un messaggio vero e affidabile. In seguito è introdotto un codice malizioso (malware[4]) opportunamente creato per condurre determinate azioni (trafugare dati e informazioni, bloccare i sistemi, modificare i dati memorizzati nei computer, cancellare dati e programmi, etc). In questo caso, il codice malizioso è strutturato per acquisire i dati contenuti nei diversi computer presenti nella rete in cui si è introdotto, fino a colpire perfino i dispositivi di telefonia mobile (smartphone) ad essi collegati. Secondo quanto affermato dai tecnici di Kaspersky, sarebbero circa 3.000 i dispositivi caduti nella trappola di Red October e dalle loro memorie sarebbero stati trafugati documenti altamente riservati. Secondo i dati aggiornati da Kaspersky a gennaio 2013, i computer infetti superavano i 300. Ma l’aspetto più critico rilevato dai tecnici dell’azienda russa risiede nella straordinaria capacità del malicious code di Ottobre Rosso di penetrare i computer e di prelevare tutte le credenziali di accesso (username e passwors) memorizzate al suo interno. Inoltre è stato accertato che riesce a rilevare tutti i device driver collegati tramite interfacce di collegamento diverse (USB, wireless, IrDA e Bluetooth) ai computer violati, grazie all’utilizzo di keylogger[5]. Essendo ormai diffusa la pratica di collegare smartphone e pen-drive USB ai computer, si evince istantaneamente quale possa essere, in termini numerici, l’estensione dell’intera operazione di trafugamento di dati.

Cyber-guerra: un conflitto complesso e difficoltoso da gestire 

Com’è possibile che nei cinque anni di attività di Ottobre Rosso, le innumerevoli applicazioni antivirus fruibili sul mercato non siano state in grado di rilevare l’esistenza di questo worm[6]? Questa è la domanda che potrebbero farsi tutti coloro che leggono notizie di questo tipo. Una possibile risposta la fornisce Andreas Marx, amministratore delegato di AV-Test[7], noto istituto tedesco specializzato in sicurezza informatica, che asserisce: “Ottobre Rosso infetta solo singoli computer in maniera molto mirata, mentre il software anti-virus di solito si concentra su worm diffusi”.

Ottobre rosso non può essere assimilato ad un semplice codice malizioso la cui creazione è finalizzata alla distruzione di un server web o al blocco delle funzioni di una rete di computer aziendali. È molto di più. È un complesso network di computer creati e organizzati per attaccare sistemi informativi protetti che contengono informazioni preziose, con lo scopo di carpirne le informazioni che vi sono memorizzate. Ottobre Rosso ha indirizzato gli attacchi principalmente verso la Russia ed altre repubbliche ex sovietiche, ma sono stati infettati anche molti computer in India, Afghanistan e in particolare in Belgio, dove hanno sede l’Unione Europea e la NATO. Meno infezioni sono state riscontrate negli Stati Uniti, in Iran, Svizzera e Italia. Non sono state riscontrate infezioni in Cina e in Corea del Nord. Di particolare rilevanza è l’aspetto secondo cui, in funzione di  quanto affermato dal team dell’azienda russa, esso presenti vistose somiglianze con i famigerati codici maligni Stuxnet,  Flame e Gauss, che hanno, di fatto, inaugurato negli anni scorsi l’era delle cyberwar.

Chi si cela dietro Ottobre Rosso?

Red October può essere considerato come il primo autentico programma sviluppato per azioni di tipo spyware, cioè in grado di condurre azioni di spionaggio in Rete. La sua maggiore peculiarità risiede nella sua capacità di trafugare informazioni “classificate”, cioè di particolare valore e rilevanza strategica. Da ciò deriva il sospetto che dietro questo temibilissimo strumento d’intelligence digitale, si possa celare il servizio segreto di un paese particolarmente all’avanguardia nel settore della cyber intelligence.

Nonostante i nomi dei creatori e dei mandanti della temibile arma digitale siano ancora avvolti nel mistero, qualche indizio trapela dall’analisi delle linee di  codice del codice maligno. Ad esempio, tra le righe del programma è possibile leggere parole come zakladka (termine russo utilizzato per identificare un bug), oppure proga (sempre in russo, identifica la parola programma), che lasciano intuire che dietro gruppo di sviluppatori del codice maligno si celino crackers russi. Sergei Nikitin, esperto di sicurezza informatica del Governo di Mosca, ritiene che il programma sia stato commissionato da “un servizio di intelligence che ha assunto programmatori attraverso forum nella comunità hacker russi”. Ma potrebbe trattarsi anche di un’azione di simulazione per indurre gli analisti a conclusioni completamente errate.

Dagli eserciti di soldati agli eserciti di informatici

A giugno del 2012, secondo quanto riportato da Space Daily[8], il governo della Corea del Nord viene accusato da quello del Sud di aver attivato un “elite team” di hackers capaci di trafugare segreti militari per fomentare il disordine pubblico all’interno del governo di Seoul. “La Corea del Nord sta cercando di rubare segreti militari e paralizzare il nostro sistema di difesa e informazioni utilizzando esperti appositamente addestrati per incidere nella nostra rete di informazioni militari” questo è quanto asserisce il Defence Security Commander del governo di Seul, Bae Deuk-Shik in un convegno sulla sicurezza, aggiungendo poi che il Nord ha tentato di “fomentare il disordine sociale, di paralizzare la nostra infrastruttura di base attraverso il cyber-terrorismo che può causare enormi danni in un breve periodo”. Il professor Lee Dong-Hun della Korea University ha confermato durante il forum che il governo di Pyongyang ha istituito anch’esso una special unit forte di circa 3.000 hacker, controllati e diretti dallo stesso leader del paese, Kim Jong-Un. Ma il professore si è spinto ben oltre, affermando perfino che la “Corea del Nord è la terza nazione più potente al mondo nella cyber-guerra, dopo Russia e Stati Uniti”. Secondo quanto pubblicizzato sui media internazionali, dal 2009 e fino al 2012, molti siti sudcoreani con una particolare attenzione rivolta a quelli che afferiscono al settore finanziario (banche), sono stati attaccati da malware di tipo DDoS[9], grazie alla cooperazione di studenti universitari reclutati nelle università della Corea del Nord. Ovviamente Pyongyang accusa Seoul di inventare le accuse. Nello stesso anno, tra aprile e maggio, Seoul ha nuovamente accusato la Corea del Nord di aver utilizzato segnali radio per azioni di jamming (azioni di disturbo delle comunicazioni radio).

Sembra però corrispondere al vero la notizia che, già da alcuni anni, sia operativo un nucleo di elite crackers specializzati in cyberwar, cui si aggiungerebbe l’ulteriore collaborazione di circa 10.000 laureati in aree tecnico-scientifiche che provengono dalla Kim Il Sung University. La struttura di “elite” si troverebbe all’interno della Room 39 (conosciuta anche come Bureau 39, Division 39 e Office 39), un’organizzazione segretissima alle dirette dipendenze del governo di  Pyongyang, specializzatasi soprattutto in audaci e spericolate operazioni finanziarie sui mercati internazionali. Sembra addirittura che questa struttura, alle dirette dipendenze di Kim Jong-Un, si occupi di molteplici attività riservate, tra cui il programma di sviluppo di armi nucleari. Tuttavia, il ben noto isolamento in cui versa la Corea del Nord, impedisce quasi totalmente l’accertamento di queste informazioni.

Va sottolineato che la Corea del Nord è un altro di quei paesi usciti indenni dagli attacchi di Ottobre Rosso. In funzione di ciò si potrebbero elaborare facili congetture sulla paternità di Ottobre Rosso, ma se osserviamo bene gli ambienti geografici in cui si sono consumati gli attacchi, possiamo rilevare che sono stati esclusi dai cyber-attack anche molti paesi collocati geograficamente in un altro continente. È il caso dei paesi africani, che potrebbero essere considerati come out of technology, per la loro proverbiale arretratezza tecnologica e cronica scarsità di mezzi, ma anche in questo caso si rischia di commettere un grossolano errore di valutazione delle effettive potenzialità possedute. Al contrario di quanto si possa immaginare, da qualche tempo, molti paesi africani hanno iniziato ad organizzarsi per un loro ingresso, e soprattutto “ruolo”, nel cyberspazio. Già da diversi anni, in molti di quei paesi considerati “caldi” (dal Medio Oriente all’Africa), dove gli investimenti erano perlopiù concentrati sull’acquisto di armamenti e tecnologie militari, si sta cominciando ad inserire una nuova voce nel bilancio della spesa nazionale: la Cyber Defence. Gli esempi non mancano: il Kenya ha annunciato[10] che assegnerà ad ogni utilizzatore della Rete, un’identità virtuale per arginare il crescente fenomeno del cyber crime. Ma Bitange Ndemo, segretario permanente del Ministro delle Informazioni e Comunicazioni del Kenya, ha asserito “Ci stiamo muovendo velocemente verso l’automazione di tutte le informazioni, dato che i sistemi informativi devono essere protetti perché alcune persone hanno cattive intenzioni”. E l’ha detto proprio in occasione dell’East African Cyber Security Convention del 2012, evento sulla sicurezza informatica cui hanno partecipato, con nutrito interesse, quasi tutti i paesi del continente africano. Ndemo ha anche asserito che in seguito ai numerosi attacchi informatici subiti nel corso degli ultimi mesi contro banche e aziende di comunicazione e trasmissione dati, sta realizzando un ecosistema di cyber security all’interno della Communication Commission of Kenya (CCK) che ha la mission di contrastare le minacce informatiche provenienti dal Cyberspazio. Ma ciò che non bisognerebbe mai dimenticare è che una struttura di Cyber Defence può tranquillamente svolgere azioni di Cyber Intelligence.

Pertanto, dietro Ottobre Rosso potrebbero celarsi forze oscure non meglio identificate o più semplicemente azioni sinergiche di più paesi interessati al trafugamento di informazioni, vitali per la loro sopravvivenza, in un mondo governato dalla “globalizzazione socio-economico-produttiva”. L’informazione è potere, e per assumere una posizione di rilievo a livello mondiale è essenziale l’acquisizione continua di informazioni, cui deve affiancarsi il diretto controllo delle stesse. Ma essendo l’informazione sempre più digitalizzata, bisogna munirsi di strumenti e risorse umane che siano in grado di intercettarla dove è prodotta e acquisita: il cyberspazio.


[1] Botnet. È una rete formata da computer collegati ad Internet e infettati da software maliziosi in grado di danneggiare un sistema informatico. Una botnet si può creare grazie alla presenza di falle di sicurezza nei computer o nella rete, oppure per negligenza da parte degli utenti o dell’amministratore del sistema. In questo caso, i computer vengono attaccati e infettati da virus informatici che consentono ai loro creatori di controllare l’intera rete da sistemi remoti. I controllori della botnet possono sfruttare i computer infetti per scagliare attacchi distribuiti del tipo distributed denial of service (DDoS) contro altri sistemi in Rete e possono condurre ulteriori azioni criminose, alle volte agendo persino su commissione di organizzazioni criminali. I computer che compongono la botnet sono chiamati bot (da roBOT) o zombie.

[2] Cracker. In ambito informatico il termine cracker identifica un esperto informatico che utilizza le sue conoscenze e tecnologie per aggirare le barriere e i sistemi di protezione (hardware e software), per conseguire vantaggi, il più delle volte, economici. Tuttavia il cracking può essere finalizzato anche allo spionaggio militare, industriale o per le truffe o per alimentare la disinformazione. Il termine cracker viene spesso confuso con quello di hacker, il cui significato è tuttavia notevolmente diverso. L’hacker è colui che sfrutta le proprie conoscenze per esplorare, valutare o testare un sistema informatico, senza tuttavia creare danni o inefficienze al sistema.

[3] Phishing. È una tecnica di truffa in rete mediante la quale un attaccante tenza di ingannare la vittima convincendola a fornire informazioni personali sensibili. Uno dei classici esempi è quello dell’invio causale di messaggi di posta elettronica che imitano la grafica web di siti bancari o postali. Con questa tecnica, il cyber-criminale cerca di ottenere dai malcapitati le username e le password di accesso al sistema.

[4] Malware. In informatica, il malware sta ad indicare un qualsiasi software realizzato con lo scopo di danneggiare un computer o una rete di sistemi informatici. Il termine deriva dalla contrazione delle parole inglesi malicious e software e ha dunque il significato letterale di “programma malvagio” o “codice maligno.

[5] Keylogger. In gergo informatico, il keylogger è uno dispositivo di sniffing (attività di intercettazione passiva dei dati), hardware o software capace di intercettare tutto ciò che un utente digita sulla tastiera del proprio, o di un altro computer.

[6] Worm. Un worm (traducibile dall’inglese come “verme”) è una particolare categoria di codice maligno la cui sua maggiore peculiarità, risiede nella capacità di autoreplicarsi. È molto simile ad un virus, ma si differenzia da quest’ultimo per il fatto che non ha bisogno di altre applicazioni per diffondersi.

[7] http://www.av-test.org/en/home/ accesso al 30 maggio 2013

[8]http://www.spacedaily.com/reports/S_Korea_military_accuses_North_of_stealing_secrets_999.html accesso al 30 maggio 2013

[9] DDos (Distributed Denial of Service). In informatica, un Dos (Denial of Service) corrisponde ad un attacco informatico che mira alla negazione di un servizio. Il funzionamento si basa sul tentativo di disattivare un servizio offerto da sistema informatico (ad esempio un sito web). Una variante di questo tipo di attacco è il DDoS, che funzionando allo stesso modo tenta però di condurre l’attacco utilizzando numerosi computer attaccanti, che insieme costituiscono una botnet.

[10] http://www.businessdailyafrica.com/Corporate-News/-/539550/1624124/-/yi8poj/-/index.html accesso al 30 maggio 2013

Tag:

Categoria: Gnosis

Su