Spionaggio russo in piena attività, e grazie alle falle di Microsoft Windows. La società di cyber-intelligence iSight Partners ha infatti scoperto che un gruppo di hacker russi ha sfruttato una vulnerabilità nel sistema operativo di Microsoft per prelevare dati dai computer della Nato, dell’Ue, dell’Ucraina e di aziende del settore energia e Tlc. La società specializzata in sicurezza informatica avrebbe accertato incursioni nei sistemi di una telco francese, di una utility polacca e di un think tank americano, ma la lista potrebbe essere molto più lunga.
L’ANNUNCIO DI ISIGHT
iSight Partners – in stretta collaborazione con Microsoft – ha annunciato la scoperta di una vulnerabilità zero-day che impatta tutte le versioni di Microsoft Windows e Windows Server 2008 e 2012. L’annuncio viene dato solo oggi, perché solo oggi è pronta la patch messa a punto da Microsoft per riparare la falla.
La vulnerabilità è stata scoperta mentre iSight era sulle tracce di un’attività di cyber-spionaggio attribuita alla Russia. Da quanto la società di sicurezza ha potuto appurare, i target dello spionaggio sono la Nato, organizzazioni del governo ucraino, organizzazioni governative dell’Europa occidentale, aziende del settore energetico (specificamente in Polonia), aziende delle telecomunicazioni europee e organizzazioni accademiche statunitensi. iSight chiarisce che la visibilità che ha del problema non è totale: è possibile che i target dello spionaggio siano anche altri e che ci siano altri gruppi che usano la vulnerabilità zero-day per le loro azioni.
CRISI UCRAINA AL CENTRO DELLO SPIONAGGIO
iSight non sa quali dati siano stati trovati e sottratti dagli hacker ma il sospetto è che le spie siano alla ricerca di informazioni sulla crisi in Ucraina, oltre che su questioni che riguardano i settori dell’energia, delle telecomunicazioni e delle relazioni diplomatiche, visti gli obiettivi degli attacchi. Nel mirino ci sarebbe stato per esempio il recente vertice Nato in Galles: gli hacker russi si sarebbero inseriti nei computer di esponenti del governo ucraino e di almeno una organizzazione americana.
Si tratta, spiega iSight, non di un’azione isolata, ma di un’attività coordinata di cyber-spionaggio che esiste da almeno cinque anni. iSight ha ribattezzato il gruppo di spie “Sandworm Team“, perché nel suo codice vi sono riferimenti in russo al pianeta deserto di Arrakis, un’invenzione del libro di fantascienza “Dune”.
Gli hacker si sono serviti della tecnica dello “spear-phishing”, l’invio di email che sembrano giungere da mittenti legittimi, ma che contengono allegati la cui apertura permette di inserirsi nel computer preso di mira. Da agosto, poi, è stata sfruttata la falla di Windows zero-day che garantisce, sottolinea iSight, il successo almeno parziale dell’attacco.
UN MONDO DI SPIE
iSight dovrebbe pubblicare oggi anche un report di 16 pagine per i suoi clienti sul Sandworm Team. Ovviamente, che si tratti di spie russe è una deduzione, non una certezza assoluta. Ma iSight dice che alcuni riferimenti linguistici nel codice usato e la scelta dei target da colpire indicano che le spie arrivano da Mosca. Inoltre, iSight ritiene che il gruppo abbia il sostegno di uno Stato perché è impegnato in vero e proprio spionaggio, non cyber-crime. Lo spionaggio viene attribuito alla Russia anche per un falla nella sicurezza del server di comando dell’operazione, con sede in Germania, che ha inavvertitamente mostrato dei file in russo caricati dagli hacker.
iSight controlla l’attività del Sandworm da fine 2013, anche se il team è attivo dal 2009. Oltre al Sandworm, iSight monitora attivamente gruppi di hacker con missioni, target e capacità di attaccare diversi e al momento segue le azioni di almeno cinque distinti team di intrusione; per esempio, ha scoperto l’attività dello Tsar team che usa il mobile malware. Questo team è stato autore di attacchi contro l’intelligence, le forze militari, i media, le Ong e altre organizzazioni di Usa e Europa. Ha anche colpito jihadisti e ribelli in Cecenia.
Gli agenti dell’intelligence Usa fanno notare che le capacità degli hacker russi sono simili a quelle degli hacker di Stati Uniti e Israele. “Sono altrettanto abili ed è possibile che siano divenuti più attivi in risposta alla crisi ucraina”, nota una ex spia americana. “Quando si diventa più attivi, ovviamente, cresce anche la probabilità di essere scoperti”.
Le falle zero day sono quelle di cui non esiste una patch, perché si scoprono nel momento stesso in cui vengono sfruttate dagli hacker. Proprio perché non esiste la fix, sono le vulnerabilità più pericolose e anche le più ambite dai pirati del web: esistono anche i “cacciatori” di falle zero-day di Windows che le vendono a caro prezzo (centinaia di migliaia di dollari) sul cyber-mercato nero. Anche i governi hanno degli specialisti che passano al setaccio milioni di righe di codice informatico per individuare queste vulnerabilità prima degli hacker.
I PRECEDENTI
La ricerca di iSight non è la prima che porta alla luce azioni di cyber-spionaggio dietro alle quali sembrano esserci i russi. Ad agosto la società di cyber-security Kaspersky Lab ha svelato i dettagli degli attacchi (messi a segno a inizio anno) contro due agenzie di intelligence e centinaia di obiettivi governativi e militari di Europa e Medio Oriente.
Gli hacker, secondo Kaspersky, avevano probabilmente il supporto di uno Stato e hanno usato tecniche tipiche del cyber-spionaggio di alto profilo che l’intelligence occidentale ha già collegato con il governo russo, anche se Kaspersky, che ha sede a Mosca, non ha mai detto che dietro questa azione di spionaggio ci fosse la Russia.
Ad agosto la società americana Hold Security ha scoperto un gruppo criminale russo che è entrato in possesso della più grande quantità di credenziali Internet rubate, tra cui 1,2 miliardi di combinazioni di user name e password e più di 500 milioni di indirizzi email.
Ci sarebbero ancora i russi dietro il massiccio furto di dati subito sempre quest’estate dalla banca americana JPMorgan Chase, con cui sono stati prelevati i dati di 76 milioni di clienti. Tanto che il president Barack Obama e i suoi più alti collaboratori in materia di sicurezza nazionale hanno chiesto aggiornamenti regolari sugli attacchi alla JPMorgan e ad altri istituti finanziari per capire meglio la portata del cyber-spionaggio russo.
