Elfin, il braccio “armato” cyber della rivoluzione capace di azzerare le memorie dei computer. Per sempre.

(di Ciro Metaggiata)
10/01/19

Elfin, “Elfo” in italiano, è il nome in codice che la società di sicurezza informatica Symantec ha attribuito a un gruppo di hacker che, presumibilmente, è legato in qualche modo alla Repubblica Islamica dell’Iran. Tale nomignolo, decisamente più accattivante dell’anonima sigla APT 33, con la quale l’organizzazione in questione è universalmente conosciuta, non deve trarre in inganno. Al contrario, l’ondata di cyber attacchi che ha coinvolto l’azienda italiana SAIPEM lo scorso dicembre (società italiana che offre servizi ad aziende operanti nel settore petrolifero - v. articolo) dimostra che l’Elfo è in grado di colpire ancora più duramente di quanto accaduto in passato.

APT 33 ha una storia che, seppur relativamente recente se comparata con le vicende di altri gruppi cyber, è di tutto rispetto per quanto concerne sia le capacità di attacco dimostrate che la valenza degli obiettivi colpiti. In particolare, i ricercatori in questioni di cybersecurity seguono le operazioni di Elfin dal 2013, ma non escludono che il gruppo abbia mosso i primi passi nel cyberspazio già a partire da qualche anno prima. Gli analisti ritengono che APT 33 sia coinvolto in diverse campagne condotte principalmente contro obiettivi ubicati negli USA, in Arabia Saudita, negli Emirati Arabi Uniti, Qatar e nella Corea del Sud. Nello specifico, si tratta in maggioranza di aziende e organizzazioni operanti nel settore aerospaziale sia militare che civile, in quello energetico, con particolare riferimento alle compagnie petrolifere e petrolchimiche, e in quello finanziario.

È da evidenziare che APT 33 finora ha operato con due distinte modalità a seconda della nazionalità di appartenenza degli obiettivi. Infatti, se rispetto a quelli USA e sudcoreani il gruppo ha condotto principalmente campagne di cyber-spionaggio, contro le aziende e le organizzazioni basate in Medio Oriente ha invece lanciato veri e propri attacchi “distruttivi” (blocco delle attività aziendali, distruzione di dati, danneggiamento dei sistemi, ecc.). Si tratta quindi di un gruppo dotato di notevoli e variegate capacità cyber offensive e per questo gli esperti ritengono che con ogni probabilità sia supportato da una nazione. Peraltro, le capacità cyber dell’Elfo si sono fatte sempre più raffinate nel tempo, a dimostrazione che ha a propria disposizione notevoli risorse di personale, continuamente formato e aggiornato, e finanziarie, necessarie per lo sviluppo di vettori di attacco sempre più sofisticati.

In particolare, la tecnica più utilizzata da APT 33 per guadagnarsi l’accesso ai sistemi e alle reti degli obiettivi è quello dello spear phishing, ossia attraverso l'invio di e-mail artefatte e ingannevoli a persone che ricoprono particolari incarichi nell’ambito dell’organizzazione target (dirigenti, amministratori di sistemi informatici, tecnici specializzati, ecc.). Queste comunicazioni fraudolente sono congegnate dall’Elfo in maniera particolarmente raffinata, tanto che, nella maggior parte dei casi, sono considerate dai malcapitati come originali e di particolare interesse per lo svolgimento del rispettivo incarico. In realtà, esse inducono l’utente a compiere determinate operazioni apparentemente legittime, che invece permettono l’immissione nei sistemi target del software appositamente predisposto da Elfin, il cosiddetto malware, aggirando i sistemi di sicurezza informatica dell'organizzazione.

È stato dimostrato che il gruppo è in grado di condurre i propri attacchi sviluppando moduli diversi di malware che, interagendo tra loro, permettono a APT 33 di compiere azioni illecite, che possono andare dal furto di dati, alla loro distruzione senza possibilità di recupero, fino al blocco completo dei sistemi colpiti. Nello specifico, proprio nell’ultima ondata di cyber attacchi che ha interessato SAIPEM è stata isolata una variante del malware noto come SHAMOON, già impiegato nell’ambito di precedenti attacchi. Questa volta, oltre a danneggiare le memorie dei PC e dei server contenenti i sistemi operativi, essenziali per il loro funzionamento, ha cancellato anche tutti gli altri dati memorizzati, senza possibilità di poterli recuperare con le tecniche attualmente conosciute. Brevemente, il malware non si limita a “formattare” i dischi, ma ne sovrascrive anche il contenuto più volte, seguendo precisi algoritmi in modo che sia impossibile recuperarli (in questo caso il malware è definito wiper). In definitiva, SHAMOON può determinare non solo il momentaneo blocco delle attività dell’obiettivo colpito, ma altresì può rendere molto difficoltose anche le azioni di ripristino dei dati e di ripresa delle normali operazioni.

A differenza di analoghi precedenti attacchi, dalle prime analisi della variante del wiper utilizzato più recentemente è emerso che l’operazione è stata condotta mediante un ruolo “attivo” della componente umana, ovvero attraverso l’esecuzione di istruzioni impartite manualmente. Ciò, fa supporre che la fase “distruttiva” dell’attacco sia stata preceduta da un furto massivo di dati riservati che dovevano essere preservati da possibili danni accidentali. Al riguardo, giova evidenziare che in questo periodo SAIPEM è impegnata in alcune trattative per l’aggiudicazione di importanti appalti nell’area del Golfo Persico da parte della società petrolifera Saudi ARAMCO (peraltro già pesantemente colpito da analoghi attacchi cyber in passato). Si tratta quindi di spionaggio industriale o di sabotaggio? O di tutte e due le cose? E le finalità sono legate alla mera competizione commerciale o mirano al fallimento delle trattative a danno di una specifica parte? Sono domande a cui nessuno, per adesso, può dare una risposta che vada oltre l’ipotesi. A complicare le indagini, infine, vi è il fatto che l’attacco avrebbe avuto origine in India. Tuttavia, potrebbe trattarsi proprio di un tentativo di inganno attuato dal gruppo di hacker, una tattica adottata assai frequentemente nel panorama dei cyber attacchi ben pianificati e più sofisticati.

In tale ambiguo contesto, gli analisti ritengono che APT 33 sia legato, in qualche modo, all’Iran. Al netto delle opportune considerazioni generali sulla capacità di attribuire la paternità degli attacchi cibernetici e su quella di poterne stabilirne anche i mandanti, gli analisti ritengono che vi siano prove consistenti di precisi legami tra Elfin e il Nasr Institute, controllato dal governo iraniano e collegato, a sua volta, con l’Iranian Cyber Army (un altro gruppo di hacker). D’altronde gli scopi delle campagne cyber di APT 33 collimano perfettamente con taluni aspetti della politica estera iraniana e anche le tempistiche con cui sono stati perpetrati alcuni attacchi “distruttivi” coincidono con determinati momenti di tensione politica che si sono registrati tra la Repubblica Islamica e i paesi coinvolti. Molti altri indizi raccolti esaminando i malware impiegati dal gruppo avvalorerebbero la tesi, secondo cui, tale organizzazione opererebbe per conto dell’Iran. Per esempio, esaminando la nuova variante del wiper è stato isolato un frammento di codice di programmazione che, visualizzato sullo schermo, materializza un brano del Corano in arabo (v.immagine).

Più precisamente, secondo alcuni, APT33 sarebbe da inquadrare nell’ambito dell’ambizioso programma di sviluppo di capacità cyber sia difensive che offensive, che fu lanciato dall’Iran all’indomani del noto attacco cibernetico subito presso la centrale nucleare di Natanz nel 2010 (v. articolo). Probabilmente fu in quella circostanza che l’Iran comprese le reali potenzialità offerte dalla guerra cibernetica e, soprattutto, i suoi drammatici effetti nel mondo “reale”. Fu una lezione particolarmente dolorosa ma evidentemente costituì anche un punto di svolta. Da allora, in relativamente pochi anni, l’Iran ha implementato capacità cyber sofisticate che inizialmente furono molto sottovalutate e, in qualche caso, viste anche con una certa sufficienza.

È bene rammentare ancora una volta l’estrema opacità del cyberspazio, dimensione in cui operano singoli hacker, servizi di intelligence, forze armate, gruppi di attivisti politici, anche terroristici o eversivi, nonché organizzazioni criminali che, grazie al cyber crimine, fatturano milioni di dollari ogni anno. Peraltro, in molti casi taluni di questi soggetti cooperano tra loro più o meno consapevolmente, contribuendo così a rendere la realtà cyber estremamente ambigua e pericolosa. Un dato è certo, che sia legato o meno all’Iran, che si tratti di un gruppo di hacker mercenari o di funzionari statali o di militari, piuttosto che di attivisti politici, APT 33, mediante l’attacco dello scorso dicembre, non ha soltanto raggiunto i propri obiettivi tattici legati alla specifica esigenza, ma ha lanciato anche un preciso monito al mondo intero: l’Elfo è cattivo, ed è in grado di “colpire duro” le infrastrutture critiche private e pubbliche, quelle che dovrebbero essere difese più efficacemente. Insomma, Elfin si è definitivamente accreditato tra i più pericolosi gruppi di hacker del mondo, assolutamente da non sottovalutare!

Infine, alcuni interrogativi. Questa volta sembrerebbe che il wiper abbia operato seguendo istruzioni impartite manualmente, ma cosa succederebbe se, in futuro, agisse in piena autonomia sfuggendo al controllo dell’attaccante? La proliferazione delle cyber armi, di cui qualcuno si ostina a non riconoscere la pericolosità (forse perchè non è in grado di comprendere il valore che i dati informatici hanno assunto nell’era odierna) è una questione più volte messa in evidenziata da Difesaonline, ma che non è ancora affrontata adeguatamente dalle istituzioni preposte. Inoltre, se davvero APT 33 è legato all’Iran, perché tra i suoi obiettivi di attacchi eclatanti come il più recente non figurano quelli israeliani, viste le continue tensioni tra i rispettivi governi? Si tratta forse di una questione di deterrenza, nella considerazione che probabilmente gli israeliani sono i più all’avanguardia in questo settore (v. articolo)? È per lo stesso motivo per cui Elfin non “picchia duro” gli obiettivi USA? Se così fosse, sarebbe la dimostrazione che, anche nello spazio cibernetico, la strategia migliore per difendersi è quella di dimostrare che si è in grado di contrattaccare.

Probabilmente, superate le ipocrisie politiche di facciata, sarebbe il caso di ammettere che, nell’ambito di una efficace strategia di sicurezza cibernetica, la deterrenza cyber dovrebbe avere un peso almeno pari a quello delle misure di Cyber Defence.

  

Principali fonti:

https://www.fireeye.com/blog/threat-research/2017/09/apt33-insights-into...

https://attack.mitre.org/groups/G0064/

https://www.ts-way.com/it/weekly-threats/2018/12/28/weekly-threats-n-42-...

https://www.symantec.com/blogs/threat-intelligence/shamoon-destructive-t...

https://www.zdnet.com/article/shamoons-data-wiping-malware-believed-to-b...

https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/shamoon-atta...

https://www.reuters.com/article/iran-cyber/once-kittens-in-cyber-spy-wor...

https://www.cybersecurity360.it/nuove-minacce/saipem-attacco-di-cyber-sa...

www.google.it/amp/s/www.wired.com/story/iran-hacks-nuclear-deal-shamoon-...

www.milanofinanza.it/amp/news/saipem-possibile-commessa-offshore-da-saud...