La notizia è di quelle che farebbero accapponare la pelle, se ormai non fosse “normale” leggerne di simili almeno una volta al mese. Kaspersky Lab, multinazionale russa leader nell’ambito della sicurezza IT, infatti, ha posto sotto i riflettori pubblici l’ennesima operazione di spionaggio elettronico, denominata “Red October”, avente come obiettivi privilegiati le informazioni riservate e classificate di governi, ambasciate, centri di ricerca e società operanti nel settore energetico, petrolifero e del gas. Fin qui, però, “niente di nuovo sotto il sole”.
Gli elementi che devono far riflettere, invero, sono ben altri. Questa operazione di spionaggio, infatti, si stima essere in piedi da non meno di 5 anni, sembra essere tutt’ora in corso e per quanto è attualmente dato sapere, seppure i principali obiettivi paiono essere concentrati nell’est Europa e nell’Asia centrale, il grafico proposto da Kaspersky Lab evidenzia come siano ben 69 i Paesi colpiti in tutto il mondo, Italia compresa (con 5 attacchi andati a segno verso una o più Ambasciate).
Al di là del funzionamento tecnico di questa vasta operazione di spionaggio elettronico, che può essere approfondito nella prima parte del report pubblicato dalla multinazionale russa, gli elementi che balzano immediatamente agli occhi dell’analista sono:
1. L’operazione è stata svolta attraverso un network di “Comando e Controllo” delle macchine infette di notevole ampiezza e con sistemi sparsi in numerosi Paesi, anche europei. Una rete di sistemi informatici, quindi, idonea non solo a gestire la numerosa mole di informazioni proveniente dai 69 Paesi che si stimano essere stati oggetto di attacco, quanto, soprattutto, capace di far fronte ad eventuali problemi tecnici e disservizi di uno o più nodi di “Comando e Controllo”.
2. L’ampiezza del ventaglio dei dispositivi elettronici da cui poter sottrarre le informazioni (non solo sistemi informatici, ma anche smartphone, apparecchiature per la gestione delle reti aziendali, dischi rimovibili, ecc.).
3. Il malware utilizzato per infettare i sistemi informatici bersaglio – denominato “Rocra” – è modulare, ovvero adattabile in tempo reale alle specifiche necessità di chi attacca. Non si basa, inoltre, sui cosiddetti “zero-day”, ovvero su vulnerabilità del software finora sconosciute, ma anzi sfrutta del codice – di origine cinese – già noto e utilizzato per altri attacchi.
4. Gli autori del malware e i gestori di questo imponente network per lo spionaggio elettronico paiono avere origini russe. Stanti gli elementi finora analizzati da Kaspersky Lab, tuttavia, non sembra che questa operazione sia il frutto di un’attività sponsorizzata da uno Stato. Molto più credibile è l’attribuzione di questa operazione ad un gruppo criminale organizzato di matrice russa, avente come scopo quello di sottrarre informazioni classificate da rivedere sul mercato al miglior offerente.
Se il livello di organizzazione e di sofisticazione di questo genere di attacchi, che sottendono alla base anche cospicui investimenti, riesce ancora a sorprendere, soprattutto quando non risultano essere il frutto di un’attività sponsorizzata da uno Stato, non sorprende più (purtroppo!) l’immobilismo diffuso verso questo genere di minaccia e l’incapacità da parte dei governi di farvi fronte.
Se Robert Hanseen, il tristemente noto agente doppiogiochista dell’FBI che per 22 anni ha spiato gli Stati Uniti per conto del KGB, nell’arco di questa sua attività riuscì a sottrarre, dal 1979 al 2001, poco più di 6.000 pagine di documenti classificati, rischiando personalmente di essere scoperto e scontando dal 2001 l’ergastolo, oggi giorno un singolo attacco informatico andato a segno è capace di sottrarre interi database contenenti decine di migliaia di documenti e informazioni riservate. Il tutto comodamente “da casa” e con un’altissima probabilità di restare completamente anonimi.
Devono far seriamente riflettere, allora, i dati pubblicati di recente dal Defense Security Service (DSS) americano, che, nel suo report annuale dal titolo Targeting U.S. Technologies: A Trend Analysis of Reporting from Defense Industry, attesta, per l’anno 2011, una crescita netta del 75% (rispetto al 2010) dei tentativi di accesso alle informazioni classificate, ai segreti industriali e alle tecnologie detenute dalle società private della Difesa americana, producendo ben 485 attività investigative ufficiali.
Un vero e proprio campanello d’allarme, quindi, che deve suonare, con sempre maggiore insistenza, anche per i Paesi europei, Italia compresa. Una minaccia, quella proveniente dallo spionaggio elettronico, che rende consistente quel sospetto che forse non è in discussione il “quando” e il “se” questo genere di sistemi informatici verranno violati; piuttosto, forse, è solo questione di quando i proprietari di quei sistemi si accorgeranno che le loro informazioni sono già state sottratte.
Stefano Mele è coordinatore dell´Osservatorio infowarfare e tecnologie emergenti dell’Istituto italiano di studi strategici “Niccolò Machiavelli”.