Attacco all’America, dentro il sistema: tecniche mai sperimentate prima
Giugno 2020. L’Europa sembra essere vicina a lasciarsi la pandemia alle spalle, un ‘illusione che si rivelerà gravida di conseguenze. Negli Stati Uniti, invece, il dramma è appena agli inizi, ma per molti versi si fa come se non esistesse
Giugno 2020. L’Europa sembra essere vicina a lasciarsi la pandemia alle spalle, un ‘illusione che si rivelerà gravida di conseguenze. Negli Stati Uniti, invece, il dramma è appena agli inizi, ma per molti versi si fa come se non esistesse. L’estate si avvicina, le giornate sono lunghe, calde, ma ancora non torride e il mondo non fa più così paura. Si potrebbe addirittura indulgere all’ottimismo.
Scelta degli obiettivi
Ottimisti lo sono di sicuro gli “intrusi”. Gli hacker che attraverso i prodotti della società di informatica texana SolarWinds, opportunamente modificati dal malware Sunspot, si sono introdotti nei server e nelle reti interne di circa 18mila tra aziende, organi del governo degli Stati Uniti, pubbliche amministrazioni, e chissà cos’altro.
In ognuno di quei server, attraverso un secondo malware, Sunburst, hanno aperto una porta sul retro, una “backdoor”, così da ricevere informazioni per valutare la rilevanza del potenziale obiettivo. Molti vengono scartati subito. Per alcuni è necessario un supplemento d’indagine. Per altri ancora, invece, non ci sono dubbi, sono obiettivi validi e vanno ad aggiungersi a quelli già selezionati nel corso del mese precedente.
La porta sul retro spalancata per Cobalt
I genieri hanno aperto i varchi, gli esploratori hanno fornito gli elementi per mappare gli obiettivi, ora è il momento di inviare i commando. Gli hacker entrano nel sistema attraverso la porta sul retro e, tramite un malware di secondo livello, il trojan “Teardrop”, o in alcuni casi il suo simile “Raindrop”, vi installano l’arma finale, un programma speciale assai diffuso tra gli hacker, “Cobalt Strike Beacon”. I commando sono dentro.
Cobalt agisce nell’ombra, entra dove non potrebbe, rovista, sorveglia, soprattutto cerca di carpire le informazioni necessarie per riuscire a ingannare il nemico e far credere di essere dei loro. Attraverso di esso gli hacker possono registrare ciò che viene digitato sulle tastiere, scansionare le porte del computer, sniffare i dati in entrata e uscita, dirottare il traffico in uscita verso i loro server, recuperare dalla memoria file, password, credenziali di accesso. In breve, fare tutto ciò che serve per acquisire le informazioni necessarie per fingersi un utente autorizzato.
Le chiavi del regno
Il tutto però implica non poco lavoro umano, e infatti il numero degli obiettivi scende dalle migliaia alle centinaia. La strategia e le mosse utilizzate cambiano di volta in volta, ma lo scopo ultimo è sempre lo stesso: ottenere le chiavi del regno.
Nella loro caccia a informazioni utili gli hacker prediligono due particolari tipi di utenti: persone che possono avere accesso a informazioni riservate e gli amministratori di rete. Questi ultimi sono un profilo ambito non solo perché gestiscono gli accessi, ma anche perché sono coloro che ricevono le segnalazioni di possibili intrusioni. Sostituendosi a loro gli hacker possono scoprire se sono stati individuati e nel caso che tipo di misure siano state prese per buttarli fuori dal sistema.
Sono bravi, sofisticati, disciplinati, pazienti, elusivi. Tanto che anche se dovessero venire scoperti sarebbe difficile capire quale sia il loro reale obiettivo e quale il reale impatto dell’intrusione.
Inquietudine americana
I giorni d’estate si succedono uno dopo l’altro. Negli Stati Uniti i bollettini Covid sono sempre più allarmanti, Il 24 luglio è il giorno peggiore, con oltre 73mila nuovi casi. Nulla a che vedere con quel che sarà l’autunno, ma allora sembra un’enormità. Ad agosto si tiene la convention democratica che incorona Joe Biden e Kamala Harris come candidati. Il paese è agitato dalle manifestazioni contro la discriminazione razziale e dalle polemiche sul duro intervento della polizia, già sotto accusa per la morte di George Floyd. Black Lives Matter occupa la scena politica, mentre già iniziano le polemiche sul voto per posta.
L’America è inquieta, divisa, scossa. I social ribollono, le strade si riempiono. Ma nel cyberspazio non si avverte nulla di tutto ciò. E di sicuro non lo avvertono gli hacker che, implacabili, continuano a colpire i loro obiettivi. Entrano nelle reti di giganti della componentistica IT come Cisco Systems, Intel e Nvidia, penetrano nei sistemi di produttori di software e di rivenditori di apparecchiature wi-fi e di rete. Colpiscono la società di revisione Deloitte e poi si spingono ancora più in là, entrano dentro Microsoft e, sfruttando le credenziali di uno dei loro dipendenti, arrivano in uno dei codici sorgenti, il DNA di un software, che però possono solo leggere, non avendo il livello di autorizzazione necessario per modificarlo.
Pesca a strascico e gioco d’astuzia
L’incursione dentro Microsoft non è casuale. È parte di una nuova e diversa linea di azione. Quella portata avanti tramite Orion, il programma della SolarWinds, infatti, è servita per la pesca a strascico, rivelatasi comunque assai ricca, quasi miracolosa. Ma i malware non sono l’unica possibilità di introdursi dentro sistemi protetti. Esistono anche altri modi di procedere, meno meccanici, più vecchio stile, che tuttavia possono essere altrettanto fruttuosi, se non di più. Si può ad esempio giocare d’astuzia, ingannare il guardiano alla porta e farsi aprire.
Sembra roba d’altri tempi, cose da film come “Wargames” o “I signori della truffa”, impossibili nell’era dell’Intelligenza Artificiale. Per quanto complessi e sofisticati però anche i software alla fine sono pur sempre un prodotto dell’essere umano, e come ogni umana cosa hanno le loro imperfezioni, i loro errori. È il caso, ad esempio, dei sistemi cloud di Microsoft che soffrono di alcune idiosincrasie riguardanti il processo di autenticazione. In pratica, sono vulnerabili. E gli hacker lo sanno.
Saltando da un account all’altro
I sistemi sui quali gli intrusi si concentrano sono due: Azure Active Directory, il software Microsoft che gestisce le identità e le credenziali di accesso delle persone che possono entrare nel sistema, e la suite Microsoft 365, in pratica il vecchio Office. Il perché di tale interesse è presto detto. Entrando dentro Azure gli hacker possono acquisire le credenziali di persone esistenti o crearne di nuove. È come avere le tanto agognate chiavi del regno. Microsoft 365, invece, include il programma di posta elettronica attraverso il quale passano molte informazioni sensibili, utili per rubare identità, a volte persino user e password. In un modo o nell’altro, una volta dentro sarà poi più facile ottenere informazioni su di un collega, amico, cliente, fornitore, e così saltare da un account all’altro e di organizzazione in organizzazione fino ad arrivare all’obiettivo finale che verosimilmente girerà su un sistema Microsoft, come il 79% dei computer al mondo.
Il giro largo
Il primo passo tuttavia è accedere a uno o a entrambi i programmi e per farlo gli intrusi fanno il giro largo. Attaccano Mimecast, un’azienda di cybersicurezza che crea e distribuisce credenziali digitali, certificati e token, e utilizzano le credenziali rubate per accedere al Microsoft 365 utilizzato dai loro obiettivi senza dover passare per il login e l’autenticazione. In pratica è come se nella portineria di una grande azienda, al posto di mostrare la carta d’identità e registrarsi, sventolassero un tesserino rubato e passassero oltre, senza nemmeno strisciare il badge. E il bello è che lo fanno pure in aziende di cybersicurezza come Malwarebytes e CrowdStrike che della protezione da attacchi informatici hanno fatto il loro mestiere.
Be hungry be foolish
Se non riescono o non hanno la possibilità di sfruttare i prodotti Microsoft, cercano strade diverse. Si muovono in modo più mirato, creativo, sfruttano bachi nei prodotti software, utilizzano false identità, scovano password. Con questi sistemi gli hacker realizzano il 30% dei loro attacchi. Il resto è frutto della pesca a strascico tramite Orion.
La strategia, in ogni caso, è sempre quella di evitare un attacco diretto e di passare invece attraverso uno dei fornitori dell’organizzazione dentro la quale si vuole penetrare, sia essa privata o governativa. È quello che in gergo si chiama un “supply-chain attack”, un attacco che usa i prodotti del fornitore per arrivare al cliente.
Dentro il governo
E così, mentre il Paese si avvia a turbolente elezioni e Trump, contagiato dal Covid-19, viene ricoverato al Walter Reed National Military Medical Center, gli intrusi entrano anche nei sancta sanctorum del governo statunitense. Penetrano nel Dipartimento di Giustizia, dove intercettano il 3% delle mail, entrano in quello del Tesoro e in quello del Commercio, sono dentro al Dipartimento di Stato, a quello della Difesa e a quello per la Sicurezza Interna, e non tralasciano quello del Lavoro né quello dell’Energia né il National Institutes of Health. Non compiono gesti eclatanti, soprattutto spiano mail e documenti. L’obiettivo non è quello di creare problemi, ma di mettersi in un angolo e spiare, magari in attesa del giorno in cui invece sarà necessario agire davvero: falsificare, cancellare, bloccare, spegnere.
E venne dicembre
8 dicembre 2020. A San José, California, la temperatura è mite, 23 gradi, il tempo nuvoloso. Adagiata all’estremo sud della Baia di San Francisco, caratterizzata da un piacevole clima mediterraneo, la città è il cuore pulsante della Silicon Valley. Non lontano dalla baia, nel sobborgo di Milpitas, al 601 di McCarthy Boulevard, c’è il quartier generale di FireEye, una rinomata e stimata società di cybersicurezza, tra le maggiori negli Stati Uniti. L’edificio è una specie di tondeggiante torta a quattro strati alternati di vetro e cemento, due piani in tutto, separato dagli altri palazzi da ampi prati e da un vasto parcheggio. Il via vai è modesto, si potrebbe dire che la calma regna sovrana.
Dentro, invece, a regnare è l’agitazione. FireEye ha appena annunciato sul suo blog e in una segnalazione alla Securities Exchange Commission, la Consob americana, di «essere stata oggetto di un attacco informatico, compiuto da un avversario altamente sofisticato, un attacco che per disciplina, sicurezza operativa e tecniche si ritiene possa essere stato promosso da uno stato».
Rossi e blu
Entrati attraverso Orion, gli intrusi hanno rubato quelli che la società chiama gli “arnesi della squadra rossa”. Per testare le difese di un suo cliente FireEye le sottopone a un attacco simulato e, come nelle esercitazioni militari, chi attacca è la squadra rossa, chi difende quella blu. Gli strumenti della squadra rossa comprendono, tra gli altri, programmi simili a Cobalt Strike. Per parare il colpo l’azienda al momento dell’annuncio ha già rilasciato e diffuso oltre trecento contromisure, ma potrebbe non bastare.
Tecniche mai sperimentate prima
«Questo attacco» – segnala la società alla SEC - «è differente dalle decine di migliaia di incidenti a cui abbiamo risposto nel corso degli anni. Gli intrusi hanno adattato le loro notevoli capacità specificatamente per attaccare FireEye. Sono profondi conoscitori delle procedure di sicurezza operativa e agiscono con disciplina e focalizzazione. Utilizzano una nuova combinazione di tecniche che non avevamo mai sperimentato prima, né noi né i nostri partner. In linea con un’azione di cyberspionaggio condotta da uno stato, gli intrusi hanno cercato soprattutto informazioni relative a clienti governativi».
Riunione d’emergenza
12 dicembre 2020. È un sabato. A Washington D.C. il tempo è incerto, ma ancora non freddo. Le elezioni sono alle spalle da tempo e anche la battaglia legale ingaggiata da Donald Trump ha ormai mostrato tutti i suoi limiti. Il lunedì successivo il collegio elettorale per l’elezione del Presidente degli Stati Uniti, formato dai delegati di tutti gli stati, si riunirà e darà veste formale alla vittoria di Joe Biden. L’Amministrazione uscente ha ormai tirato i remi in barca e porta avanti solo lo stretto indispensabile. Mentre le autorità di regolazione approvano la distribuzione del vaccino Pfizer-Biontech, alla Casa Bianca è stata convocata in tutta fretta una riunione d’emergenza. A trovarsi intorno a un tavolo nel week-end di una strana stagione natalizia sono i componenti del National Security Council, il massimo organo di sicurezza governativo. Oggetto dell’incontro: l’intrusione di hacker nei sistemi di diverse agenzie governative. Alla fine l’allarme è scattato.