Non soltanto un semplice social network, ma anche una temibile arma di spionaggio, se usato dalle mani sbagliate. È Twitter, che alcuni hacker russi avrebbero utilizzato per diffondere potenti virus attraverso i quali controllare alcuni loro obiettivi.
IL GRUPPO DI HACKER
Vengono confermati così, indirettamente, per l’ennesima volta, i timori di Washington, che in svariati documenti ufficiali – compresa la recente Cyber Strategy approvata dal Pentagono – individua in Mosca un pericolo per la propria sicurezza cibernetica e per quella dei propri alleati.
Pochi ancora i dettagli trapelati ed eventuali relazioni col Cremlino, che per adesso ha comunque rifiutato di commentare la vicenda attraverso l’ambasciata russa a Washington. Per ora si sa che il gruppo di pirati informatici in questione, noto come APT29, sarebbe riuscito – racconta il Financial Times – a nascondere nei bit delle immagini allegate ai tweet dei malware che, penetrando attraverso le porte di servizio dei sistemi (le backdoor), sono in grado di entrare in reti di computer comandandole a distanza.
LA SCOPERTA DI FIRE EYE
A svelare questo metodo – potenzialmente invisibile a moltissimi antivirus – è stata una delle maggiori società di cyber security, l’americana Fire Eye (qui alcuni dettagli sull’azienda) che ha battezzato il virus usato dagli hacker russi Hammertoss (qui il report). Come riportò in passato Formiche.net, l’azienda fa parte di un’ampia coalizione con Cisco, F-Secure, iSight, Microsoft, Symantec, Tenable, ThreatConnect, ThreatTrack Security, Volexity, più altre imprese che hanno preferito non rivelare la propria partecipazione. Il loro compito, come in questo caso, è analizzare e comprendere l’ecosistema globale delle minacce che vengono dalla Rete, risalendo a origini e metodologie dei rischi e collaborando con le strutture di intelligence dei suoi partner per proteggere il loro business e guidare le loro strategie di security. Tra i loro clienti, ci sono aziende di vari settori, in particolare quelli dei servizi finanziari, dell’energia, oil and gas, della sanità, degli alimentari, del retail. ma anche le maggiori banche Usa e società che emettono carte di credito. I loro servizi di cyber intelligence sono ovviamente molto usati anche dagli enti federali e locali americani.
IL FUNZIONAMENTO
Ma come funzionava nel dettaglio il virus messo a punto dagli hacker russi? Il malware, una volta infettato il computer, controlla quotidianamente l’account Twitter desiderato. I pirati, dunque, istruiscono il sistema perché invii informazioni segrete presenti nella macchina ad un sistema cifrato di cloud storage, in parole povere un archivio digitale in Rete. In quel momento, l’hacker può impossessarsi dei dati rubati senza alcun ostacolo.
RETE SEGRETA
Ad aggiungere pericolosità all’attività del gruppo c’è un altro aspetto, che ha impensierito non poco i Servizi per i suoi potenziali risvolti. Hammertoss permette infatti a chi sapesse usarlo di comunicare e scambiarsi informazioni segrete “cinguettando” in 140 caratteri senza che nessuno se ne accorga, tramite una tecnica di spionaggio vecchio stile conosciuta come steganografia, in cui solo mittente e destinatario sono a conoscenza d’un codice grazie al quale celare in una normale pagina di testo scritto, apparentemente innocua, informazioni riservate non rilevabili se non si sa la chiave di decriptazione.
I LEGAMI COL CREMLINO
Tutte falle che ora verranno chiuse, ma che stanno conducendo inquirenti ed esperti a investigare su ragioni ed obiettivi reali del sistema messo in piedi dagli hacker. Sebbene sia al momento impossibile trovare un collegamento diretto tra APT29 e il Cremlino, Foreign Policy spiega che secondo Fire Eye l’attività del gruppo era coerente con gli interessi del governo russo, piuttosto che con quelli di una tipica impresa criminale. “Per molto tempo, questo gruppo ha rubato informazioni che non possono essere monetizzate”, ma che “valgono solo per il loro valore d’intelligence”.