ECCO I DOCUMENTI DELLA CASA BIANCA CHE ACCUSANO MOSCA PER I CYBERATTACCHI
LE PROVE CHE HANNO GENERATO LA RITORSIONE AMERICANA SUGLI ATTACCHI DI HACKER RUSSI
Su cosa si basano i provvedimenti presi da Obama contro Mosca per i presunti tentativi russi di
influenzare le elezioni Usa attraverso cyberattacchi e fughe di informazioni?
Proviamo a passare in rassegna gli ultimi elementi e i documenti più importanti di una vicenda ormai più complessa e ingarbugliata di una telenovela.
Dove bisogna distinguere gli aspetti tecnici da quelli politici. E dove non mancano gli elementi di confusione a partire dalla proliferazione di sigle e la moltiplicazione di “orsetti” (vedi le definizioni di Fancy Bear, Cozy Bear, GrizzlySteppe, ecc. Ma ci torniamo).
IL REPORT USA SU GRIZZLY STEPPE
Giovedì l’Fbi e il Dipartimento per la sicurezza nazionale Usa hanno pubblicato un rapporto, un’analisi congiunta sulle attività cyber malevole russe, battezzate Grizzly Steppe.
Il documento dovrebbe fornire i dettagli tecnici sugli strumenti e le infrastrutture usate – secondo il governo Usa – dai servizi di intelligence civili e militari russi (Ris) per compromettere e violare reti e computer associati alle ultime elezioni americane, oltre che a varie entità governative.
L’attribuzione di queste attività ai servizi russi – dice il documento – è sostenuta da indicatori tecnici individuati dall’intelligence statunitense, dall’Fbi, dal Dipartimento di sicurezza nazionale, dal settore privato e da altre realtà .
Secondo gli americani, sono due i soggetti principali di queste attività malevole, due i gruppi di hacker, definiti in gergo Apt, Advanced Persistent Threat – vedi anche questo nostro reportage sul tema.
Dunque si tratterebbe del gruppo noto come APT29, detto anche Cozy Bear, che avrebbe violato i sistemi del Partito Democratico (un partito, dice il documento, senza però nominarlo) nell’estate 2015; e del gruppo Apt28 – noto anche come Fancy Bear, e altri nomi – che li avrebbe penetrati nell’aprile 2016.
E sarebbe proprio APT28 il responsabile della fuoriuscita di email e documenti che hanno costellato la campagna presidenziale di Hillary Clinton.
Questa ricostruzione ricalca e conferma a grandi linee quella fatta mesi fa da Crowdstrike, la società privata chiamata a investigare l’attacco al Comitato nazionale democratico e a suoi esponenti – qui alcuni degli ultimi sviluppi di quell’indagine secondo la stessa società .
COME È AVVENUTA LA VIOLAZIONE
Di quali attività malevole stiamo parlando? Si tratterebbe soprattutto di campagne di spear phishing, ovvero di invio mirato di email malevole che possono infettare i destinatari, inviate a organizzazioni statali e politiche, università , think tank ecc.
Un invio mirato ma nello stesso tempo ad ampio raggio se – come dice il documento – avrebbe preso di mira, nella sola estate 2015, oltre mille destinatari (di questa modalità di attacco diretta in massa verso politici americani avevamo scritto qua).
Un tipo di operazione che lo scorso novembre, cioè a scandalo e tensioni fra Mosca e Washington ormai conclamate, sarebbe stata ancora in corso.
Il documento mostra uno schema di come sarebbe avvenuta la violazione delle mail di molte delle vittime o come da queste gli attaccanti sarebbero arrivati ai server democratici. In verità si tratta di una modalità nota di attacco e non particolarmente sofisticata, ampiamente usata dalla cybercriminalità .
Si invia al target una mail con mittente camuffato e con un link malevolo, cliccando sul quale si è diretti a un sito sotto controllo dell’attaccante (sito che ne imita un altro legittimo).
Qui vengono chieste le credenziali di accesso, che vanno però in mano agli hacker, i quali a quel punto possono usarle per entrare nell’account della vittima, che si tratti della sua e-mail o dell’accesso a un sistema.
Dove viene poi installato un malware che sottrae (esfiltra, in gergo) documenti e file.
ORSI E DUCHI: DIETRO LE SIGLE
Il rapporto elenca quindi una serie di sigle relative a gruppi o attività cyber dietro cui si celerebbero i servizi russi. L’elenco è lungo e fantasmagorico ma non bisogna farsi trarre in inganno.
Molte di quelle sigle sono modi diversi per chiamare lo stesso soggetto ed erano usate da anni da diverse società e ricercatori. APT28, ad esempio, viene anche chiamato Sofacy, Sednit, Pawnstorm, Fancy Bear, Tsar Team, BlackEnergy ecc.
Alcuni di questi nomi si riferiscono più al gruppo, altri più al malware usato dallo stesso. Mentre tutti i vari nomi composti con Duke si riferiscono a una serie di malware attribuiti a APT29 – analizzati tempo fa da società come F-Secure.
IL COMUNICATO DELLA CASA BIANCA
Oltre ai documenti tecnici, c’è un comunicato della Casa Bianca che rappresenta invece la posizione del governo, elencando anche i destinatari specifici delle sanzioni per tali attività , sanzioni che si aggiungono all’espulsione politica di 35 diplomatici russi e alla chiusura di due strutture russe negli Stati Uniti.
Qui si dice che le attività cyber russe volevano influenzare le elezioni, erodere la fiducia nelle istituzioni democratiche americane, e instillare dubbi sull’integrità del processo elettorale.
Inoltre si sanzionano nove entità o individui: due servizi di intelligence russi (i servizi segreti interni FSB e quelli militari GRU, cioè gli stessi già accusati da Crowdstrike di corrispondere rispettivamente a APT29 e APT28); quattro membri dei servizi segreti militari GRU; e tre aziende che avrebbero fornito aiuto materiale alle operazioni condotte da GRU.
Le aziende sono: Special Technology Center (o STLC, Ltd. di San Pietroburgo); Zorsecurity (o Esage Lab); e la Professional Association of Designers of Data Processing Systems (o ANO PO KSI).
Non solo: il comunicato aggiunge alla lista anche due noti cybercriminali russi che in verità stavano già nella lista dei più ricercati dall’Fbi.
Si tratta di Evgeniy Bogachev e Aleksey Belan, noti per le loro attività nel campo delle frodi online. E che non sembrano quindi direttamente coinvolti negli attacchi di natura politica, o almeno il loro ruolo non è stato esplicitato, anche se è interessante che siano stati inseriti nella stessa azione di ritorsione.
Tra l’altro la natura dei legami fra la potente e variegata cybercriminalità russa e gli apparati di Mosca è questione piuttosto complessa nonchè tema di discussioni e analisi.
C’è chi ritiene che il Cremlino non solo chiuda un occhio sulle attività della propria cybercriminalità , ma non esiti nemmeno a reclutare fra le file della stessa.
Ad ogni modo, Bogachev sarebbe responsabile di un furto di oltre 100 milioni di dollari a istituzioni e aziende americane, attraverso le sue attività e il suo ruolo nella diffusione del malware Zeus prima e di Cryptolocker poi, ovvero di uno dei più noti ransomware, sofware malevoli che cifrano i file di un computer chiedendo il pagamento di un riscatto. Belan avrebbe invece messo a segno molti furti d’identità e compromesso almeno tre aziende Usa di e-commerce.
MA CI SONO LE PROVE?
Esistono dunque le prove effettive che dietro gli attacchi ai computer dei Democratici ci sia il governo russo? I documenti tecnici citati – raccolti e visionabili qua – elencano anche una serie di indicatori di compromissione, cioè di artefatti tecnici (indirizzi IP, nomi di dominio, firme di file malevoli) associati alle attività di attacco dei gruppi di hacker in questione.
Tuttavia il parere di gran parte degli esperti di sicurezza informatica è che quanto mostrato nei documenti sia del tutto insufficiente ad attribuire gli attacchi a Mosca. Insomma, se esiste la pistola fumante il governo Usa ancora non può o non vuole mostrarla, sebbene Obama abbia annunciato un ulteriore rapporto al riguardo che dovrebbe uscire a breve.
Anche su questo aspetto esistono comunque posizioni diverse: chi ritiene che gli Usa dovrebbero mostrare le prove, se ce le hanno, vista anche l’entità delle accuse verso la Russia e dei provvedimenti presi; e chi sostiene che mostrarle significherebbe svelare troppo della propria attività di controspionaggio.
Di certo, a livello politico, gli Stati Uniti sembrano essere sicuri e anche piuttosto compatti nella loro attribuzione. Con l’eccezione non di poco conto del presidente eletto, Donald Trump.
Carola Frediani
(da “La Stampa”)
Leave a Reply