Elezioni Usa, hackeraggio: indirizzi Ip e tastiere in cirillico portano agli ex Kgb
Il dossier. Guccifer 2.0 ha rivendicato la responsabilità delle intrusioni nei sistemi informatici dei democratici. In relatà sono opera di due gruppi legati ai servizi di Mosca. Ecco come hanno fatto e perché
di ARTURO DI CORINTO per La Repubblica del 31 Luglio 2016
In un’audizione di febbraio al Senato il capo dell’intelligence americana, James Clapper, aveva lanciato l’allarme sul pericolo di attacchi informatici nei confronti dei candidati alla presidenza americana. A giugno, in un’intervista alla National Public Radio, Clapper aveva parlato esplicitamente dell’importanza di preparare i responsabili delle campagne presidenziali a evitare i rischi di una cattiva gestione dei siti attraverso cui i candidati parlano agli elettori, raccolgono dati, ottengono donazioni. Ma, a giudicare dalle ultime vicende, non è stato ascoltato. E i democratici adesso pagano pegno. L’ultimo attacco è di ieri con un sito civetta che ha permesso ai criminali di reindirizzare le donazioni al Comitato elettorale democratico verso un sito fasullo.
Cosa hanno rubato
Per Hillary e i democratici i guai cominciano a metà giugno quando l’azienda di cybersecurity Crowdstrike rende nota la violazione del database del Comitato nazionale democratico e un gigantesco furto di dati, attribuendolo a due gruppi hacker russi. Oggetto del furto sono 19.250 email con 8mila allegati del Comitato successivamente pubblicate da WikiLeaks causando le dimissioni della direttrice del comitato. Non sappiamo quanto altro materiale sia in possesso degli hacker visto che già nel 2015 Detox Ransome si era appropriato dell’intero database democratico rubando username, password, email dello stesso Comitato mettendolo in vendita nel Dark web.
Il movente e i responsabili
L’identità degli attaccanti potrebbe non essere definitiva, tuttavia un’analisi degli strumenti usati e il profilo degli attaccanti coinvolti secondo le agenzie di sicurezza che si sono occupate del caso non lascia dubbi. Sono gli stessi che avevano già attaccato la Nato e la Casa Bianca: Cozy Bear, un gruppo hacker legato ai servizi russi Fsb, ex-Kgb, entrato nei server del Comitato democratico spiandolo per quasi un anno senza essere individuato, e Fancy Bear, un gruppo hacker legato al Gru, i servizi militari russi, che si è appropriato delle email del comitato. Un terzo soggetto, Guccifer 2.0, diffonde i documenti del Comitato democratico, la lista dei donatori e il materiale su Trump. Dice di essere romeno e di agire da solo, ma lo si ritiene legato al Gru: i suoi materiali sono editati su una tastiera in cirillico e gli indirizzi Ip sono legati alla Russia. Potrebbe, però, essere anche un tentativo di depistaggio.
Gli hacker hanno usato complesse tecniche di attacco la cui analisi ha rivelato l’uso di malware e pattern di comportamento riconducibili ad altre operazioni associate allo spionaggio russo, condotte in giorni compatibili con gli orari lavorativi di personale governativo russo. Elementi che convergono tutti verso uno stesso movente: l’interesse strategico per la Russia di conoscere programmi e constituency elettorale della candidata democratica Hillary Clinton e di favorire quella del suo rivale, Donald Trump, per cui Vladimir Putin non nasconde ammirazione. Tanto più che nei giorni scorsi Trump era parso “invocare” l’aiuto dei russi.
Chi sono e come lo hanno fatto
Gli attacchi sono stati basati sull’impiego di spear phishing: una tecnica che per ottenere dati sensibili dalle vittime usa messaggi email che sembrano provenire da qualcuno che si conosce e ci invita a cliccare su di un sito o un allegato che contiene un virus (un Remote Access Tool) in grado di prendere il controllo del computer della vittima. Una modalità di attacco propria del gruppo Fancy Bear condotta pare con un malware chiamato X-Tunnel, capace di togliere i filtri ai dati e parte dell’arsenale del temuto gruppo.
E infatti tutto potrebbe essere cominciato con la violazione dell’account di una consulente del Comitato che faceva ricerche su Trump, Alexandra Chalupa, e che aveva ricevuto una email dai tecnici di Yahoo in cui le notificavano la possibilità che il suo account fosse stato preso di mira da “state-sponsored actors“. Poche settimane dopo i democratici annunciavano la falla di sicurezza che avrebbe messo nelle mani di Wikileaks le email del comitato. Nonostante le rassicurazioni dello staff della Clinton, secondo Yahoo potrebbero essere stati compromessi anche i telefonini dei membri del comitato e i dati di importanti finanziatori della campagna democratica.
Non è ancora chiaro se sia stata un’ordinaria operazione di spionaggio o il tentativo di interferire con le primarie, ma adesso tutta l’attenzione è per il voto elettorale di novembre.