Dimentichiamo Regin e Stuxnet: i malware svelati dalla società russa della sicurezza Kaspersky Lab sono i più sofisticati di sempre – e sono usati per spiare. Chi? Aziende e enti governativi di Iran, Russia, Cina e decine di altri paesi. Sugli autori Kaspersky non fornisce nomi, ma tra le righe lascia intendere che a sviluppare questi software sono stati gli Usa o, meglio, la ormai famigerata Nsa.
L’EQUATION GROUP
Il gruppo di cyber-spie, che Kasperky chiama “Equation group” per la predilezione per complesse formule di cifratura, “ha condotto molteplici operazioni CNE (computer network exploitation) a partire dal 2001, forse anche dal 1996. L’Equation group usa diverse piattaforme malware, alcune delle quali superano il noto Regin in termini di complessità e sofisticazione. L’Equation group è probabilmente uno dei più sofisticati gruppi di cyber-attacco nel mondo; è l’autore di minacce più avanzato che abbiamo mai visto”, si legge nel report.
I MALWARE
Equation ha usato diversi strumenti per diffondere i suoi programmi di spionaggio: compromissione di siti web, infezione di chiavette Usb e Cd, sviluppo di un baco che infettava i computer chiamato Fanny e che, come Stuxnet, sfruttava delle falle zero-day. Altre analogie vengono sottolineate con un vecchio spyware, Gauss, che Kaspersky portò alla luce nel 2012 e che colpì soprattutto computer in Iran e Libano.
L’Equation group ha messo a punto anche uno specifico programma, che Kaspersky ha ribattezzato DoubleFantasy, che serve a confermare che il malware ha trovato una vittima interessante: una validazione del target perché venga poi infettato con i malware-spia EquationDrug o GrayFish.
LE SPIE DENTRO I COMPUTER
Questi ultimi due programmi hanno attratto l’attenzione di Kaspersky, perché capaci di installarsi nel firmware dell’hard drive, ovvero il codice che parte ogni volta che un computer viene acceso e che funziona da interfaccia tra l’hardware e il software. Il firmware degli hard drive è considerato dalle spie e dagli esperti della cyber-security come il secondo elemento di maggior valore per un hacker su un Pc, dopo il codice BIOS, che pure parte all’avvio del computer.
Il malware creato da Equation riprogramma il firmware dell’hard drive, creando dei settori nascosti. Una volta installato, non si può più eliminare, neanche formattando il disco o reinstallando l’Os.
“In teoria sapevamo che era possibile infettare il firmware ma questo è l’unico caso in cui ne abbiamo osservato l’applicazione concreta”, ha detto Costin Raiu, direttore del team di global research and analysis di Kaspersky Lab. “Si tratta di un sensazionale risultato dal punto di vista tecnologico”, che ha reso molto difficile scoprire l’infezione.
RESPONSABILE L’NSA?
Kasperky non dà un nome al paese dietro alla campagna di spionaggio, ma indicando che l’autore delle minacce è strettamente connesso con Stuxnet punta il dito contro gli Stati Uniti, visto che Stuxnet è stata la cyber-arma disegnata dalla Nsa, insieme a Israele, per attaccare uno stabilimento nucleare iraniano. Un ex dipendente della Nsa ha dichiarato alla Reuters che l’analisi di Kaspersky è corretta e un’altra fonte dell’intelligence americana ha confermato che la Nsa possiede la tecnologia per nascondere spyware negli hard drive.
GLI OBIETTIVI
Kaspersky ha scoperto personal computer infetti con uno o più programmi di spionaggio in 30 nazioni: la maggior parte delle infezioni è stata rilevata in Iran, seguito dalla Russia, patria di Kaspersky. Altre infezioni hanno colpito Pakistan, Afghanistan, Cina, Mali, Siria, Yemen, Algeria. Tra i paesi europei, sono stati spiati Belgio, Francia, Germania, Svizzera, Gran Bretagna, ma non l’Italia. In tutto Kaspersky ha contato più di 500 vittime nel mondo.
I target sono enti del governo e delle forze militari, aziende telecom, banche, società dell’energia e del nucleare, gruppi dei media, aziende dell’aerospazio e dei trasporti, società che sviluppano tecnologie di cifratura e attivisti islamici. L’azione di spionaggio non si è svolta a tappeto, ma in modo mirato, nei confronti di persone e istituzioni specifici. Raiu ha spiegato che Kaspersky ha scovato solo pochi computer, di particolare valore, con le infezioni dell’hard drive.
GLI HARD DRIVE “MANOMESSI”
Gli hard drive spiati sono prodotti commerciali, di aziende ben note come Western Digital, Seagate Technology, Toshiba, Ibm, Micron Technology e Samsung Electronics – in pratica i più diffusi sul mercato.
Ma per infettare con lo spyware gli hard drive di queste aziende Raiu dice che l’Equation group deve avere avuto accesso al codice proprietario degli hard drive stessi. “Non è possibile che qualcuno abbia riscritto il sistema operativo dell’hard drive usando solo le informazioni di dominio pubblico”, sostiene Raiu. Secondo fonti dell’intelligence americana, la Nsa ha diversi modi per ottenere il codice sorgente da un’azienda tecnologica, dal chiederlo direttamente al fingersi uno sviluppatore di software. Inoltre, se un’azienda vuole vendere prodotti al Pentagono o ad altre agenzie americane che gestiscono dati sensibili, il governo può domandare di conoscere il codice per verificarne la sicurezza, spiega Vincent Liu, socio della società di consulenza sulla sicurezza Bishop Fox ed ex analista dell’Nsa. “E’ la Nsa che conduce l’audio e non mi stupirei che conservasse il codice”.
La portavoce della Nsa Vanee Vines ha per ora evitato ogni commento sul report di Kaspersky limitandosi a dichiarare che la Nsa segue le leggi americane e le direttive della Casa Bianca e agisce per proteggere gli Stati Uniti e i suoi alleati “da un’ampia gamma di gravi minacce”.
TENSIONI INTERNAZIONALI
Dopo il caso Snowden, le informazioni portate alla luce da Kaspersky Lab, pur non facendo riferimento diretto alla Nsa, rappresentano un nuovo colpo per le attività di spionaggio dell’agenzia americana, criticata all’interno stesso degli Stati Uniti nonché dai suoi alleati. Inoltre, le rivelazioni di Kaspersky potrebbero danneggiare la fiducia dei clienti internazionali nei prodotti tecnologici delle aziende occidentali, come già accaduto dopo il Datagate, specialmente in Cina. Ma soprattutto, con l’escalation della crisi ucraina, avere ora una conferma che gli Usa hanno adottato sofisticati strumenti informatici per spiare (anche) obiettivi russi non può essere d’aiuto per trovare una soluzione.
Peter Swire, uno dei cinque menbri del Review Group on Intelligence and Communications Technology del Presidente Barack Obama, ha riconosciuto che il report di Kaspersky dimostra che è fondamentale per gli Usa considerare il possibile impatto sulle relazioni diplomatiche e commerciali prima di decidere di usare le sue conoscenze sulle vulnerabilità software per le operazioni di intelligence: “Ci potrebbero essere pesanti effetti negativi sugli interessi americani”.
