“Barometri impazziti” nel cyber-spazio. Ecco come NotPetya e gli altri “cyber-uragani” hanno funestato l’estate 2017

(di Ciro Metaggiata)
23/09/17

Quella appena terminata sarà certamente ricordata come una delle stagioni più calde e siccitose da quando i dati meteorologici sono rilevati. Probabilmente, l’estate 2017 sarà citata in futuro anche per le numerose “turbolenze” che hanno funestato il cyber-spazio, alcune delle quali potrebbero assumere una portata addirittura storica. La lista degli incidenti informatici registrati negli ultimi mesi, infatti, è particolarmente lunga, tuttavia almeno quattro episodi sono certamente degni di essere ricordati, in quanto destinati a “fare scuola”. In particolare: l’inarrestabile pubblicazione dei cyber-segreti della Central Intelligence Agency (CIA), la presunta estesa attività di cyber intelligence svolta ai danni delle aziende energetiche europee e USA, le pesanti conseguenze della diffusione del ransomware NotPetya e il clamoroso cyber attacco, andato a buon fine, all’azienda USA Equifax.

Andiamo con ordine.

WikiLeaks procede con ritmo ormai settimanale nella diffusione dei documenti trafugati alla CIA, riguardanti il cyber arsenale messo a disposizione degli agenti operativi. In realtà, in alcuni casi si tratta di documentazione risalente a qualche anno fa, tuttavia non è possibile stabilire se si tratti dei documenti più recenti di cui l'organizzazione è riuscita ad entrare in possesso o se, piuttosto, essi si riferiscano a programmi ormai abbandonati dall’Agenzia. Ciononostante, dall'analisi delle pubblicazioni emerge chiaramente che gli agenti hanno a disposizione una serie quasi infinita di strumenti di hacking pronti all'uso, che copre un'ampia gamma di dispositivi e di sistemi operativi. Rispetto a quanto riportato in precedenza (v.articolo), tra essi spiccano, ad esempio, i tools volti a compromettere gli impianti di sorveglianza TV a circuito chiuso, al fine di coprire le operazioni degli agenti operativi. Oppure, il programma ExpressLane, mediante il quale la CIA ha fornito ai servizi di intelligence “amici” di mezzo mondo un software che, oltre ad acquisire i dati biometrici degli agenti, li trasmetteva furtivamente all’Agenzia. La finalità di tale programma, ovviamente, non è nota.

Mentre Wikileaks rivelava questo ed altri segreti, la società Symantec lanciava l'allarme riguardo il preoccupante ritorno sulla scena del gruppo di hacker noto con il nome in codice Dragonfly. Già nel 2011 i ricercatori della predetta azienda scoprirono un esteso programma di hacking lanciato ai danni delle industrie energetiche europee e statunitensi. Nello specifico, sembra che all’epoca il gruppo di ignoti fosse riuscito a penetrare nei sistemi di tali aziende per svolgere azioni continuative di intelligence. Poi, nel 2015 Dragonfly si concentrò, in particolare, sui settori energetici di USA, Turchia e Svizzera. Adesso, invece, usando tecniche ancor più raffinate, pare che il gruppo stia riuscendo a penetrare nuovamente nei sistemi americani ed europei. Quello che preoccupa di più, oltre all’impossibilità di identificare i componenti di Dragonfly, è il fatto che non si possano stabilire con certezza neanche le loro reali intenzioni. Pertanto, non è possibile escludere che l'attività in questione sia propedeutica ad un attacco “distruttivo” alle reti energetiche dei Paesi interessati. Brutta storia.

In giugno, invece, il ransomware NotPetya si è abbattuto globalmente come un uragano nel cyber-spazio, mietendo vittime soprattutto in Ucraina. In merito, la maggior parte degli analisti concorda nel ritenere che non si tratti di una variante del malware già scoperto nel 2016 e battezzato Petya, in quanto alcuni indizi fanno dedurre che si tratti di qualcosa di totalmente nuovo. Primo: NotPetya, per propagarsi nelle reti in cui riesce a intrufolarsi, sfrutta alcune delle ormai note vulnerabilità utilizzate in passato da un gruppo di hacker ritenuto essere vicino alla National Security Agency statunitense. Eppure tali vulnerabilità dovrebbero essere state ormai superate, visto che le patch di sicurezza sono disponibili da marzo. Invece, evidentemente, molti utenti non le hanno ancora installate e in quei casi NotPetya non ha lasciato scampo: una volta penetrato, è stato in grado di propagarsi in rete autonomamente, colpendo anche i computer più aggiornati. Secondo: il sistema di pagamento del riscatto chiesto agli utenti coinvolti, al fine di ottenere la chiave di decifrazione e sbloccare i computer, è stato estremamente inefficiente e ha fruttato ben poco. Pertanto, il reale obiettivo di NotPetya potrebbe essere stato non quello meramente economico, bensì quello di arrecare più danni possibili alle attività coinvolte. Terzo: l’Ucraina è stata particolarmente colpita dal malware, perché uno dei metodi di infezione utilizzati è stato quello di nasconderlo negli aggiornamenti di un software di gestione aziendale molto utilizzato proprio in quella nazione. Un caso? Chissà? Fatto sta che, nonostante in occasione dell’esplosione dell’analogo caso WannaCryptor (v. articolo) sia emerso chiaramente il pericoloso fenomeno della proliferazione di cyber-armi sfuggite al controllo dei loro “creatori”, la vicenda di NotPetya dimostra che non si è fatto ancora abbastanza per contenere tale problematica. E le conseguenze, oramai, si misurano nell’ordine dei milioni di dollari. Ne sa qualcosa il gigante del trasporto marittimo MAERSK, la cui operatività è stata messa in ginocchio dal blocco dei terminali informatici infettati da NotPetya verso la fine di giugno (v.articolo). Solo dopo alcuni giorni di lavoro si è potuta ripristinare la piena funzionalità dei sistemi e ciò ha causato una perdita per la MAERSK stimata in almeno 300 milioni di dollari.

Passiamo, infine, al clamoroso caso di Equifax, una società statunitense che ha fatto della raccolta, custodia e analisi dei dati, il proprio business. Un obiettivo particolarmente ghiotto per gli hacker, in quanto rappresenta per i dati personali USA ciò che Fort Knox è per le riserve auree nordamericane. Ebbene, lo scorso 7 settembre l’azienda è stata costretta ad ammettere che a luglio ha rilevato un attacco ai propri sistemi, lanciato già a partire dal maggio precedente, che ha causato la compromissione dei dati relativi a qualcosa come 143 milioni di cittadini. Significa che i dati personali e creditizi di circa la metà della popolazione USA, oltre a un certo numero di cittadini britannici e canadesi, sono finiti in mani sconosciute. Le conseguenze per i consumatori coinvolti possono essere molteplici ma una su tutte preoccupa di più: il furto della loro identità. C'è da giurare che nel mercato nero del cosiddetto dark web circolino già, a buon prezzo, interi “pacchetti” di identità pronti all'uso per truffe e raggiri. Se ciò di per sé costituisce già un fatto gravissimo, è del tutto inconcepibile il comportamento dell'azienda, che ha reso noto l'incidente e le identità violate con almeno un mese e mezzo di ritardo, ovvero quasi “un’era geologica” nell’epoca del cyber-spazio. Insomma, tra l’ammettere di aver subito un attacco e cercare di contenerlo insabbiandolo, troppo spesso prevale ancora la seconda linea di condotta, non capendo che così, alla fine, perdono tutti tranne gli attaccanti: sicuramente i consumatori, ma anche l'azienda che comunque perde la faccia e, peraltro, non consente di ricevere l'aiuto tempestivo di tutta la comunità per risolvere il problema e, infine, ci rimette la credibilità dell’intero mondo della sicurezza informatica.

In definitiva, i mesi passano ma la situazione della cyber security non migliora. Anzi, più passa il tempo e più i danni causati dagli attacchi si amplificano. La dimensione cyber, infatti, continua a espandersi coinvolgendo sempre più attività della nostra società, senza che tale processo venga accompagnato da provvedimenti seri che risolvano i problemi di sicurezza intrinseci del software, dei protocolli di comunicazione e dell’hardware. Il cosiddetto Internet of Things, inoltre, sembra complicare ulteriormente le cose a causa dell’inserimento in rete di un numero sempre più elevato di dispositivi, spesso realizzati da società il cui core business non è certamente lo sviluppo di software sicuro. In aggiunta, gli investimenti volti ad accrescere la cultura e l'educazione dei cittadini sulla cyber security, continuano ad essere irrisori in confronto alle risorse impiegate per sviluppare e produrre continuamente nuovi dispositivi e software, che di sicuro hanno soltanto il fatto che prima o poi accuseranno qualche problema di sicurezza. Ma in realtà, a chi importa tutto questo?

Un'ultima riflessione riguardo l'incidente che ha coinvolto una nave da guerra statunitense e un vascello civile ad est dello stretto di Malacca (v.articolo): molti hanno commentato con sarcasmo la decisione presa dalle autorità militari, di coinvolgere il Navy Cyber Team nelle relative indagini. Invece, anche se molto probabilmente emergerà che la collisione non è stata causata da un attacco cyber, il solo fatto che la Marina USA, la più potente al mondo, abbia preso un tale provvedimento, dovrebbe far riflettere. In un ipotetico conflitto tra due Paesi che presentano sia rapporti di forza sia livelli di digitalizzazione molto differenti (il digital divide applicato alla guerra asimmetrica), quale risulterebbe essere, tra i due, quello più vulnerabile, ossia quello che subirebbe i danni maggiori in caso di attacchi cyber? Speriamo di non doverlo mai scoprire.

(foto: web / U.S. Army / NBC news / U.S. Navy)

Principali fonti:

https://wikileaks.org/

https://www.symantec.com/connect/blogs/dragonfly-western-energy-sector-targeted-sophisticated-attack-group

https://www.kaspersky.com/blog/new-ransomware-epidemics/17314/

https://www.google.it/amp/s/amp.ft.com/content/b8432fc4-60c1-11e7-91a7-502f7ee26895

https://www.economist.com/news/leaders/21728894-security-breach-equifax-was-handled-spectacularly-badly-other-firms-take-note

rheinmetal defence