Tiscali.it
SEGUICI

Attacco all’America, dentro il sistema: tecniche mai sperimentate prima

Giugno 2020. L’Europa sembra essere vicina a lasciarsi la pandemia alle spalle, un ‘illusione che si rivelerà gravida di conseguenze. Negli Stati Uniti, invece, il dramma è appena agli inizi, ma per molti versi si fa come se non esistesse

Alessandro Spaventadi Alessandro Spaventa   
Attacco hacker agli Usa (Foto Ansa)
Attacco hacker agli Usa (Foto Ansa)

Giugno 2020. L’Europa sembra essere vicina a lasciarsi la pandemia alle spalle, un ‘illusione che si rivelerà gravida di conseguenze. Negli Stati Uniti, invece, il dramma è appena agli inizi, ma per molti versi si fa come se non esistesse. L’estate si avvicina, le giornate sono lunghe, calde, ma ancora non torride e il mondo non fa più così paura. Si potrebbe addirittura indulgere all’ottimismo.

Scelta degli obiettivi

Ottimisti lo sono di sicuro gli “intrusi”. Gli hacker che attraverso i prodotti della società di informatica texana SolarWinds, opportunamente modificati dal malware Sunspot, si sono introdotti nei server e nelle reti interne di circa 18mila tra aziende, organi del governo degli Stati Uniti, pubbliche amministrazioni, e chissà cos’altro.

In ognuno di quei server, attraverso un secondo malware, Sunburst, hanno aperto una porta sul retro, una “backdoor”, così da ricevere informazioni per valutare la rilevanza del potenziale obiettivo. Molti vengono scartati subito. Per alcuni è necessario un supplemento d’indagine. Per altri ancora, invece, non ci sono dubbi, sono obiettivi validi e vanno ad aggiungersi a quelli già selezionati nel corso del mese precedente. 

La porta sul retro spalancata per Cobalt

I genieri hanno aperto i varchi, gli esploratori hanno fornito gli elementi per mappare gli obiettivi, ora è il momento di inviare i commando. Gli hacker entrano nel sistema attraverso la porta sul retro e, tramite un malware di secondo livello, il trojan “Teardrop”, o in alcuni casi il suo simile “Raindrop”, vi installano l’arma finale, un programma speciale assai diffuso tra gli hacker, “Cobalt Strike Beacon”. I commando sono dentro.

Cobalt agisce nell’ombra, entra dove non potrebbe, rovista, sorveglia, soprattutto cerca di carpire le informazioni necessarie per riuscire a ingannare il nemico e far credere di essere dei loro. Attraverso di esso gli hacker possono registrare ciò che viene digitato sulle tastiere, scansionare le porte del computer, sniffare i dati in entrata e uscita, dirottare il traffico in uscita verso i loro server, recuperare dalla memoria file, password, credenziali di accesso. In breve, fare tutto ciò che serve per acquisire le informazioni necessarie per fingersi un utente autorizzato.

Le chiavi del regno

Il tutto però implica non poco lavoro umano, e infatti il numero degli obiettivi scende dalle migliaia alle centinaia. La strategia e le mosse utilizzate cambiano di volta in volta, ma lo scopo ultimo è sempre lo stesso: ottenere le chiavi del regno.

Nella loro caccia a informazioni utili gli hacker prediligono due particolari tipi di utenti: persone che possono avere accesso a informazioni riservate e gli amministratori di rete. Questi ultimi sono un profilo ambito non solo perché gestiscono gli accessi, ma anche perché sono coloro che ricevono le segnalazioni di possibili intrusioni. Sostituendosi a loro gli hacker possono scoprire se sono stati individuati e nel caso che tipo di misure siano state prese per buttarli fuori dal sistema.

Sono bravi, sofisticati, disciplinati, pazienti, elusivi. Tanto che anche se dovessero venire scoperti sarebbe difficile capire quale sia il loro reale obiettivo e quale il reale impatto dell’intrusione.

Inquietudine americana

I giorni d’estate si succedono uno dopo l’altro. Negli Stati Uniti i bollettini Covid sono sempre più allarmanti, Il 24 luglio è il giorno peggiore, con oltre 73mila nuovi casi. Nulla a che vedere con quel che sarà l’autunno, ma allora sembra un’enormità. Ad agosto si tiene la convention democratica che incorona Joe Biden e Kamala Harris come candidati. Il paese è agitato dalle manifestazioni contro la discriminazione razziale e dalle polemiche sul duro intervento della polizia, già sotto accusa per la morte di George Floyd. Black Lives Matter occupa la scena politica, mentre già iniziano le polemiche sul voto per posta.

L’America è inquieta, divisa, scossa. I social ribollono, le strade si riempiono. Ma nel cyberspazio non si avverte nulla di tutto ciò. E di sicuro non lo avvertono gli hacker che, implacabili, continuano a colpire i loro obiettivi. Entrano nelle reti di giganti della componentistica IT come Cisco Systems, Intel e Nvidia, penetrano nei sistemi di produttori di software e di rivenditori di apparecchiature wi-fi e di rete. Colpiscono la società di revisione Deloitte e poi si spingono ancora più in là, entrano dentro Microsoft e, sfruttando le credenziali di uno dei loro dipendenti, arrivano in uno dei codici sorgenti, il DNA di un software, che però possono solo leggere, non avendo il livello di autorizzazione necessario per modificarlo.

Pesca a strascico e gioco d’astuzia

L’incursione dentro Microsoft non è casuale. È parte di una nuova e diversa linea di azione. Quella portata avanti tramite Orion, il programma della SolarWinds, infatti, è servita per la pesca a strascico, rivelatasi comunque assai ricca, quasi miracolosa. Ma i malware non sono l’unica possibilità di introdursi dentro sistemi protetti. Esistono anche altri modi di procedere, meno meccanici, più vecchio stile, che tuttavia possono essere altrettanto fruttuosi, se non di più. Si può ad esempio giocare d’astuzia, ingannare il guardiano alla porta e farsi aprire.

Sembra roba d’altri tempi, cose da film come “Wargames” o “I signori della truffa”, impossibili nell’era dell’Intelligenza Artificiale. Per quanto complessi e sofisticati però anche i software alla fine sono pur sempre un prodotto dell’essere umano, e come ogni umana cosa hanno le loro imperfezioni, i loro errori. È il caso, ad esempio, dei sistemi cloud di Microsoft che soffrono di alcune idiosincrasie riguardanti il processo di autenticazione. In pratica, sono vulnerabili. E gli hacker lo sanno.

Saltando da un account all’altro

I sistemi sui quali gli intrusi si concentrano sono due: Azure Active Directory, il software Microsoft che gestisce le identità e le credenziali di accesso delle persone che possono entrare nel sistema, e la suite Microsoft 365, in pratica il vecchio Office. Il perché di tale interesse è presto detto. Entrando dentro Azure gli hacker possono acquisire le credenziali di persone esistenti o crearne di nuove. È come avere le tanto agognate chiavi del regno. Microsoft 365, invece, include il programma di posta elettronica attraverso il quale passano molte informazioni sensibili, utili per rubare identità, a volte persino user e password. In un modo o nell’altro, una volta dentro sarà poi più facile ottenere informazioni su di un collega, amico, cliente, fornitore, e così saltare da un account all’altro e di organizzazione in organizzazione fino ad arrivare all’obiettivo finale che verosimilmente girerà su un sistema Microsoft, come il 79% dei computer al mondo.

Il giro largo

Il primo passo tuttavia è accedere a uno o a entrambi i programmi e per farlo gli intrusi fanno il giro largo. Attaccano Mimecast, un’azienda di cybersicurezza che crea e distribuisce credenziali digitali, certificati e token, e utilizzano le credenziali rubate per accedere al Microsoft 365 utilizzato dai loro obiettivi senza dover passare per il login e l’autenticazione. In pratica è come se nella portineria di una grande azienda, al posto di mostrare la carta d’identità e registrarsi, sventolassero un tesserino rubato e passassero oltre, senza nemmeno strisciare il badge. E il bello è che lo fanno pure in aziende di cybersicurezza come Malwarebytes e CrowdStrike che della protezione da attacchi informatici hanno fatto il loro mestiere.

Be hungry be foolish

Se non riescono o non hanno la possibilità di sfruttare i prodotti Microsoft, cercano strade diverse. Si muovono in modo più mirato, creativo, sfruttano bachi nei prodotti software, utilizzano false identità, scovano password. Con questi sistemi gli hacker realizzano il 30% dei loro attacchi. Il resto è frutto della pesca a strascico tramite Orion.

La strategia, in ogni caso, è sempre quella di evitare un attacco diretto e di passare invece attraverso uno dei fornitori dell’organizzazione dentro la quale si vuole penetrare, sia essa privata o governativa. È quello che in gergo si chiama un “supply-chain attack”, un attacco che usa i prodotti del fornitore per arrivare al cliente.

Dentro il governo

E così, mentre il Paese si avvia a turbolente elezioni e Trump, contagiato dal Covid-19, viene ricoverato al Walter Reed National Military Medical Center, gli intrusi entrano anche nei sancta sanctorum del governo statunitense. Penetrano nel Dipartimento di Giustizia, dove intercettano il 3% delle mail, entrano in quello del Tesoro e in quello del Commercio, sono dentro al Dipartimento di Stato, a quello della Difesa e a quello per la Sicurezza Interna, e non tralasciano quello del Lavoro né quello dell’Energia né il National Institutes of Health. Non compiono gesti eclatanti, soprattutto spiano mail e documenti. L’obiettivo non è quello di creare problemi, ma di mettersi in un angolo e spiare, magari in attesa del giorno in cui invece sarà necessario agire davvero: falsificare, cancellare, bloccare, spegnere.

E venne dicembre

8 dicembre 2020. A San José, California, la temperatura è mite, 23 gradi, il tempo nuvoloso. Adagiata all’estremo sud della Baia di San Francisco, caratterizzata da un piacevole clima mediterraneo, la città è il cuore pulsante della Silicon Valley. Non lontano dalla baia, nel sobborgo di Milpitas, al 601 di McCarthy Boulevard, c’è il quartier generale di FireEye, una rinomata e stimata società di cybersicurezza, tra le maggiori negli Stati Uniti. L’edificio è una specie di tondeggiante torta a quattro strati alternati di vetro e cemento, due piani in tutto, separato dagli altri palazzi da ampi prati e da un vasto parcheggio. Il via vai è modesto, si potrebbe dire che la calma regna sovrana.

Dentro, invece, a regnare è l’agitazione. FireEye ha appena annunciato sul suo blog e in una segnalazione alla Securities Exchange Commission, la Consob americana, di «essere stata oggetto di un attacco informatico, compiuto da un avversario altamente sofisticato, un attacco che per disciplina, sicurezza operativa e tecniche si ritiene possa essere stato promosso da uno stato».

Rossi e blu

Entrati attraverso Orion, gli intrusi hanno rubato quelli che la società chiama gli “arnesi della squadra rossa”. Per testare le difese di un suo cliente FireEye le sottopone a un attacco simulato e, come nelle esercitazioni militari, chi attacca è la squadra rossa, chi difende quella blu. Gli strumenti della squadra rossa comprendono, tra gli altri, programmi simili a Cobalt Strike. Per parare il colpo l’azienda al momento dell’annuncio ha già rilasciato e diffuso oltre trecento contromisure, ma potrebbe non bastare.

Tecniche mai sperimentate prima

«Questo attacco» – segnala la società alla SEC - «è differente dalle decine di migliaia di incidenti a cui abbiamo risposto nel corso degli anni. Gli intrusi hanno adattato le loro notevoli capacità specificatamente per attaccare FireEye. Sono profondi conoscitori delle procedure di sicurezza operativa e agiscono con disciplina e focalizzazione. Utilizzano una nuova combinazione di tecniche che non avevamo mai sperimentato prima, né noi né i nostri partner.  In linea con un’azione di cyberspionaggio condotta da uno stato, gli intrusi hanno cercato soprattutto informazioni relative a clienti governativi».

Riunione d’emergenza

12 dicembre 2020. È un sabato. A Washington D.C. il tempo è incerto, ma ancora non freddo. Le elezioni sono alle spalle da tempo e anche la battaglia legale ingaggiata da Donald Trump ha ormai mostrato tutti i suoi limiti. Il lunedì successivo il collegio elettorale per l’elezione del Presidente degli Stati Uniti, formato dai delegati di tutti gli stati, si riunirà e darà veste formale alla vittoria di Joe Biden. L’Amministrazione uscente ha ormai tirato i remi in barca e porta avanti solo lo stretto indispensabile. Mentre le autorità di regolazione approvano la distribuzione del vaccino Pfizer-Biontech, alla Casa Bianca è stata convocata in tutta fretta una riunione d’emergenza. A trovarsi intorno a un tavolo nel week-end di una strana stagione natalizia sono i componenti del National Security Council, il massimo organo di sicurezza governativo. Oggetto dell’incontro: l’intrusione di hacker nei sistemi di diverse agenzie governative. Alla fine l’allarme è scattato.

Alessandro Spaventadi Alessandro Spaventa   
I più recenti
Usa, i bombardieri B-52 sono arrivati in Medio Oriente
Usa, i bombardieri B-52 sono arrivati in Medio Oriente
Idf, 'ieri 100 razzi di Hezbollah contro Israele'
Idf, 'ieri 100 razzi di Hezbollah contro Israele'
Elezioni Usa, non solo America: il mondo aspetta la scelta tra Trump e Harris
Elezioni Usa, non solo America: il mondo aspetta la scelta tra Trump e Harris
Nuovo sondaggio in Iowa, Harris avanti con il 47%
Nuovo sondaggio in Iowa, Harris avanti con il 47%
Teleborsa
Le Rubriche

Alberto Flores d'Arcais

Giornalista. Nato a Roma l’11 Febbraio 1951, laureato in filosofia, ha iniziato...

Alessandro Spaventa

Accanto alla carriera da consulente e dirigente d’azienda ha sempre coltivato l...

Claudia Fusani

Vivo a Roma ma il cuore resta a Firenze dove sono nata, cresciuta e mi sono...

Claudio Cordova

31 anni, è fondatore e direttore del quotidiano online di Reggio Calabria Il...

Massimiliano Lussana

Nato a Bergamo 49 anni fa, studia e si laurea in diritto parlamentare a Milano...

Stefano Loffredo

Cagliaritano, laureato in Economia e commercio con Dottorato di ricerca in...

Antonella A. G. Loi

Giornalista per passione e professione. Comincio presto con tante collaborazioni...

Lidia Ginestra Giuffrida

Lidia Ginestra Giuffrida giornalista freelance, sono laureata in cooperazione...

Alice Bellante

Laureata in Scienze Politiche e Relazioni Internazionali alla LUISS Guido Carli...

Giuseppe Alberto Falci

Caltanissetta 1983, scrivo di politica per il Corriere della Sera e per il...

Michael Pontrelli

Giornalista professionista ha iniziato a lavorare nei nuovi media digitali nel...