Questo articolo è stato pubblicato da questo sito
Al centro dell’inchiesta sul cyberspionaggio che ha portato all’arresto dei due fratelli Occhionero c’è un classico caso di Apt o Advanced Persistent Threat. Il che, in soldoni, si traduce in un’opera di hacking che protrae nel tempo contro un obiettivo di alto livello, come può essere un apparato governativo, militare o aziendale.
I media stanno spargendo quintali d’inchiostro e pixel tratteggiando quella che, in realtà, è un’operazione piuttosto classica nel mondo del cyberspionaggio. Alla base c’è un punto di vulnerabilità, già presente nel sistema da attaccare o, più spesso, creata con l’ausilio di appositi software. Questi ultimi sono i cosiddetti malware, cioè programmi nocivi che, una volta installati, creano un collegamento diretto tra i criminali e i computer infetti. Il web, e soprattutto il deep web, pullula di strumenti come questi, che vengono venduti da aziende specializzate o da singoli sviluppatori che abbracciano un mercato molto redditizio. Si pensi, per esempio, al noto caso di Hacking Team.
Nel caso specifico, si è utilizzato un malware chiamato Eye Pyramid. L’annuncio della Polizia di Stato, che è arrivata a scoprire l’Apt di concerto col Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche (Cnaipic), non offre molti dettagli tecnici sul software-spia. Al punto che viene da chiedersi se non si sia deciso di identificare quello scoperto col nome dell’operazione della Polizia, che è appunto Eye Pyramid. Al momento, infatti, questo nome non compare nelle liste di programmi dediti all’Apt di cui si abbiano già notizie. Ovviamente è una cosa comune: per operazioni delicate (dal punto di vista del criminale), che si prevede di portare avanti per lungo tempo e verso obiettivi in genere ben protetti, e avendo a disposizione un certo budget, la scelta ricade sempre su malware poco noti o addirittura creati ad hoc, e quindi virtualmente senza nome riconosciuto (anche solo per il fatto che, se fosse noto, significherebbe che le aziende di sicurezza informatica sono già dotate di opportuni sistemi di riconoscimento).
Dalle prime notizie emerge che il malware per il cyberspionaggio è stato scoperto dopo che un amministratore di sistema di un’infrastruttura critica ha inoltrato un’email, contenente un allegato, al Cnaipic. L’allegato, non c’è nemmeno bisogno di dirlo, conteneva il malware, e questo ha consentito di iniziare un lavoro di reverse engineering (ingegneria al contrario) sia per stabilire le caratteristiche della bestiola digitale, sia per giungere ai diretti mandanti. Ancora una volta, dunque, si profila la responsabilità indiretta di chi riceve email e ne apre gli allegati a cuori leggero. Basta questa operazione, infatti, per installare il malware nel sistema. In altri casi (ed è probabile che Eye Pyramid ricada in questo), si installa un semplice payloader, cioè un software più piccolo e maneggevole il cui unico scopo è collegarsi a internet e scaricare, da un sito ad hoc, il malware vero e proprio. Con comodo.
Tornando all’operazione che ha coinvolto i due fratelli arrestati, una volta che il malware si installava in un computer, lo collegava ad altri sistemi infettati dal medesimo software, creando quella che viene chiamata botnet. Le botnet, di solito, servono a due scopi. O a lanciare attacchi massicci verso un obiettivo, ed è quello che è successo qualche mese fa a Dyn, oppure a mettere nelle mani di un unico criminale tutti i dati che passano per i computer infetti. Perché fare la fatica di accedere ogni volta a ciascuno, quando si può gestire tutto da un comodo pannello di controllo che le tiene tutti sott’occhio?
Più che i dettagli tecnici, siamo convinti che da questa scoperta arriveranno informazioni preziose in merito a chi ha pagato, sviluppato e commissionato un’operazione che, a occhio e croce, è costata parecchio. Se i clienti fossero davvero alti papaveri della finanza romana, i fondi non dovrebbero essere mancati e i due fratelli avrebbero potuto sostenere un investimento dell’ordine di qualche centinaio di migliaia di euro. Difficile ipotizzare che i due abbiano anche provveduto a tutto lo sviluppo del malware, ma visti gli strumenti disponibili nel deep web, e l’ingenuità con cui molti utenti aprono un allegato, non è un’ipotesi da escludere.
The post Cyberspionaggio ai politici, che cosa potrebbe essere successo appeared first on Wired.