Le spie spiano, ma via computer

Hacker’s dictionary. L’attività dei gruppi hacker finanziati dagli Stati, gli Apt, si diffonde a macchia d’olio per colpire singoli cittadini e sedi diplomatiche e militari in Egitto, Usa, Europa, India e Venezuela

di ARTURO DI CORINTO per Il Manifesto del 17 Ottobre 2019

Siamo nel pieno di una guerra cibernetica e non ce ne rendiamo conto. Ce lo ha detto in faccia Miroslaw Trnka, fondatore di una delle maggiori compagnie di cybersecurity al mondo, Eset. La dichiarazione dell’imprenditore anti-corruzione e innovatore slovacco suona come un allarme dopo che i suoi ricercatori hanno spiegato in conferenza stampa che gli attacchi cibernetici ai danni di ambasciate, corpi militari e ministeri degli affari esteri sono assai più frequenti di prima.

In particolare dopo la ripresa di attività del gruppo The Dukes, noto per aver hackerato le email del Comitato Nazionale Democratico durante la corsa presidenziale persa da Hillary Clinton e che secondo Eset «non se ne sono mai andati da Washington». Il gruppo, noto anche col nome di Cozy Bear, l’orso coccolino, ha sviluppato negli anni un intero armamentario per penetrare le difese informatiche dei propri bersagli, ma ha in realtà spesso usato il solito vecchio trucco, lo spear phishing, email personalizzate che ci chiedono di cliccare su link in grado di infettarci il computer e controllarlo da remoto.

Lo stesso vale per Machete che in questo momento sta sottraendo a militari e politici venezuelani ed ecuadoriani documenti preziosi grazie al malware a cui hanno dato il nome. Questo gruppo, secondo Kaspersky, aveva attaccato anche Italia e Spagna nel 2014. Nel caso dei The Dukes, i vettori per le infezioni sono nascosti dentro immagini veicolate via Twitter che nascondono il loro codice malevolo grazie alla steganografia, una modalità di cifratura che nasconde i codici malevoli all’interno di documenti in chiaro, dentro innocenti fotografie.

Un altro gruppo di lingua cinese, Ke3chang o APT15, è stato scoperto a spiare missioni diplomatiche in India, governi in Europa e aziende in Canada.

Tutti questi gruppi sono chiamati in gergo Apt, Advanced Persistent Threats, cioè minacce persistenti avanzate, proprio per la tecnica che usano: si infiltrano, rimangono «in ascolto» e al momento opportuno esfiltrano i dati, anche usando penne Usb che riconoscono il malware precedentemente iniettato come nel caso di Machete.

Notizia di ieri è poi lo spionaggio di giornalisti e difensori dei diritti umani in Egitto scoperto dall’azienda israeliana Check Point Software, che ne ha trovato le prove nell’attività anomala di app malevole di terze parti trovate anche nel Google Play Store per usare servizi legittimi come Outlook e Gmail. Potrebbe essere opera dello stesso governo egiziano.

Secondo l’associazione per la sicurezza informatica Clusit, a livello globale, nella maggior parte dei casi, gli attacchi di successo contro le vittima bersaglio sono condotti con tecniche semplici. In particolare nel primo semestre 2019 è stato usato malware «semplice», prodotto industrialmente a costi bassi e decrescenti, con tecniche di phishing e ingegneria sociale.

Ma nel loro rapporto annuale gli esperti italiani suggeriscono di sommare al dato del malware semplice quello relativo agli attacchi più sofisticati della categoria Multiple Techniques/Apt, quasi sempre basati sull’utilizzo di malware, concludendo che il «malware rappresenta ormai complessivamente il 45,5% delle tecniche di attacco utilizzate».

Nel caso delle piattaforme mobili negli ultimi sei mesi invece l’11% del totale (6% Android, 5% iOS) dei malware osservati hanno sfruttato tecniche di violazione dell’account (Account hacking).

Insomma la cyberguerra è tra noi. Ed è tempo di prenderla sul serio in prossimità delle prossime tornate elettorali, come le presidenziali americane del 2020.