Il rapporto è datato 27 aprile scorso, ma il documento è stato reso pubblico alcuni giorni fa dalla Homeland Security, ovvero il Dipartimento della sicurezza interna degli Stati Uniti, il cui compito principale è quello di proteggere il territorio statunitense da attacchi terroristici. Frutto di una raccolta informativa di ben diciannove report stilati dal Federal Bureau of Investigation (Fbi), dal National Institute of Standards and Technology (Nist), dal cybersecurity advisor del Dipartimento della Difesa, e dall’assimilazione di altri documenti di tipo open source diffusi dai media e da aziende pubbliche e private, il report mette al bando senza mezzi termini, almeno negli Stati Uniti, l’applicazione di videoconferenza Zoom, prodotto dall’omonima società di servizi di teleconferenza con sede a San Jose in California che fornisce servizi di conferenza remota, riunioni online e chat. Il titolo del documento realizzato rispettivamente dal Cyber Mission Center and Counterintelligence Mission Center è piuttosto rivelatore: “Covid-19: Advanced Persistent Threat Actors Likely View Zoom Platform Vulnerabilities as Attractive Opportunity to Threaten Public and Private Sector Entities”.
Nel documento si parla esplicitamente di APT (Advanced Persistent Threat) utilizzati da hackers (APT actors) che utilizzano le vulnerabilità dell’applicazione per violare i sistemi informatici dei fruitori di Zoom. Nel documento sono descritte non poche debolezze di cui soffrirebbe la piattaforma, ma viene evidenziato anche un aspetto piuttosto inquietante: l’inspiegabile ritardo dell’azienda di produrre gli aggiornamenti per sanare le anomalie riscontrate. Tale decelerazione del processo di patching consentirebbe agli APT actors di sviluppare exploit basati non solo sulle vulnerabilità ma anche sulle patch rilasciate precedentemente. Secondo la National Security Agency (NSA) gli APT actors sfrutterebbero le patch software anche per sviluppare specifici exploit in grado di penetrare le reti e i computer dei fruitori dell’applicazione. Una convinzione che si basa sulla scoperta di accessi ai server di Zoom provenienti da entità cinesi. Secondo gli analisti della Homeland Security i cinesi sfrutterebbero la funzione Zoom Conference Desktop per dirottare le sessioni di conference dell’applicazione, ivi compreso il traffico voce e video, ma utilizzerebbero anche una vulnerabilità presente in Zoom Client for Meetings, che consentirebbe l’accesso al computer addirittura come “root user”, ossia come amministratore di sistema.
Dopo l’accesso come “supervisor”, un’applicazione software attivata da un web server anonimo e progettata per aggirare i pop-ups, sarebbe in grado di rimuovere ogni richiesta di password, utilizzare un settaggio di default, per generare dei codici di accesso al meeting in corso. Nel documento si cita un evento risalente ai primi giorni dello scorso aprile secondo il quale due exploit zero-day, progettati per violare l’accesso a Zoom sia per le piattaforme Microsoft che Apple, siano stati venduti per circa 500.000 dollari. Tra le fragilità di Zoom, inoltre, ci sarebbe anche la possibilità di utilizzo di malware come backdoor e trojan horse. Già nel mese di marzo del 2020 la divisione Fbi di Boston aveva rilevato in diverse scuole americane, durante le lezioni tenute dagli insegnanti con Zoom, delle violazioni di accesso condotte da alcuni APT actors finalizzate alla sperimentazione delle cosiddette zoombombing, ovvero delle intrusioni non autorizzate per condurre delle azioni di disturbo. Nei primi giorni di aprile è la società statunitense di cyber intelligence Bleeping Computer a denunciare il trafugamento e la successiva cessione nel dark web di oltre 500.000 account Zoom, che includevano credenziali di accesso di istituti bancari e di strutture accademiche. A tal proposito Zoom afferma che la sua applicazione consente riunioni crittografate end-to-end, ma all’interno del suo blog, attraverso un post pubblicato nel mese di aprile, ha poi chiarito che Zoom non implementa attualmente la crittografia end-to-end nella maniera in cui l’industria della sicurezza informatica concepisce il termine.
Dal 2011, data della sua fondazione, e fino a dicembre del dicembre 2019, Zoom ha raccolto oltre dieci milioni di utenti, raggiungendo nel primo trimestre del 2020 l’invidiabile numero di duecento milioni di utilizzatori giornalieri, una popolarità vertiginosa acquisita recentemente a causa del lockdown determinato dal Covid-19 che ha costretto milioni di dipendenti a lavorare in remoto. Navigando all’interno dei dati di aziende e organizzazioni afferenti ad una vasta gamma di settori che vanno dal commercio all’industria, dalla difesa alla sanità, fino a quello del comparto governativo, Zoom è riuscita a creare un repository informativo di tutto rispetto su milioni di organizzazioni di vario genere su base mondiale. Sebbene Zoom risieda negli Stati Uniti, la principale applicazione è stata sviluppata da tre società cinesi in cui lavorano circa settecento tecnici informatici. Un laboratorio di ricerca di Zoom risiede in Canada e si occupa della pianificazione tecnologica, strategica, politica e legale dell’azienda. Secondo il rapporto della Homeland Security, alcuni test condotti dal laboratorio di ricerca canadese avrebbero confermato che le chiavi utilizzate per cifrare e decifrare le riunioni vengono trasmesse sistematicamente in alcuni server ubicati in Cina. Uno scenario che solleva non poche angosce anche a causa delle recenti normative sulla sicurezza delle informazioni varate dal Governo di Pechino, con particolare riferimento alla famigerata legge sull’intelligence entrata in vigore a luglio 2017 che introduce nel famoso articolo 7 l’obbligo delle organizzazioni e dei cittadini cinesi a sostenere il lavoro dell’intelligence nazionale, garantendo una costante e riservata collaborazione con le agenzie governative.
Come se non bastasse a creare maggiore scompiglio è stata la notizia diffusa dai media statunitensi il 6 maggio scorso: il generale Herbert Raymond McMaster, che fino allo scorso anno aveva assunto il ruolo di consigliere per la sicurezza nazionale di Trump, è stato nominato membro indipendente del consiglio di amministrazione di Zoom. Il ceo dell’azienda cinese, Eric Yuan, miliardario sino-americano laureato all’Università di Scienze e Tecnologia dello Shandong, ha definito l’ingresso di McMaster come una “una gradita aggiunta”. Probabilmente ciò che avrà influito nella decisione di McMaster nell’accettazione dell’incarico risiede nella corposità del compenso che gli è stato offerto, ma forse, in maniera minore, avrà pesato il riscatto per il suo brusco licenziamento voluto da Trump a marzo del 2018.
Non vi è dubbio però sul livello di preoccupazione nutrito dalle agenzie di intelligence occidentali che vedono Zoom come un versatile strumento per l’incremento delle attività di spionaggio del governo di Pechino, soprattutto per l’aspetto della veicolazione dei dati in territorio cinese. Ciò che rimane indiscutibile è la proverbiale abilità della Cina nella conduzione di una guerra non convenzionale, sul piano tecnologico, economico e dell’intelligence, basata sull’adozione di uno degli stratagemmi più antichi della cultura cinese: “Il miele sulle labbra e il pugnale alla cintola”.