Hacking the hackers! Quando a cadere nella (cyber) tela è il ragno stesso...

(di Ciro Metaggiata)
06/11/19

Nei precedenti articoli il cyber-spazio è stato spesso rappresentato come il far west in cui sono ambientati i classici film western, ossia come una realtà totalmente priva di regole, in cui banditi spietati e senza scrupoli mietono vittime completamente incapaci di difendersi. In particolare, i gruppi di criminali informatici, più o meno sponsorizzati da stati sovrani, imperversano nella dimensione cyber ai danni di semplici cittadini, come di governi o di organizzazioni e industrie private, peraltro arricchendosi con bottini da capogiro.

Questo panorama cibernetico del tipo "tutti contro tutti" non si sottrae alla legge molto “reale” del più forte, che vale anche per i citati gruppi di cyber criminali, come dimostra la vicenda che segue. Una vicenda probabilmente non inedita, tuttavia emblematica del momento in cui viviamo, in quanto mostra fin dove si possa spingere la lotta per il predominio dello spazio cibernetico e soprattutto la lotta per il posesso delle preziosissime informazioni che esso contiene. Una lotta, come vedremo, senza quartiere e senza regole...

Lo scorso 21 ottobre, il britannico National Cyber Security Centre (NCSC), in collaborazione con la National Security Agency (NSA) statunitense, ha emesso un bollettino di sicurezza in cui venivano citati due gruppi di hackers specializzati in Advanced Persistent Threat (APT - attacchi cyber molto sofisticati, protratti nel tempo e tesi a raccogliere informazioni) ritenuti essere legati a due nazioni.

Nello specifico, tenendo bene a mente quanto evidenziato nei precedenti articoli in merito alla capacità di attribuire l'origine degli attacchi cyber, si tratta del gruppo noto come Turla (o WhiteBear/WaterBug/Venomous Bear), che sarebbe in qualche modo al servizio del governo russo e del gruppo APT 34 (conosciuto anche come OilRig Crambus) che, invece, sarebbe al soldo della Repubblica Islamica Iraniana. Per entrambi i gruppi si hanno prove sufficienti tali da far ritenere che abbiano accesso a risorse materiali e intellettuali che tipicamente sono nella disponibilità esclusivamente di Stati sovrani e che operano a livello globale, anche se APT 34 è più orientato a compiere operazioni nel Medio Oriente.

Proprio in questa regione, nei giorni scorsi, il NCSC ha rilevato un'ondata di attacchi cyber molto particolare. In sintesi, Turla avrebbe preso il controllo di un'infrastruttura informatica realizzata da APT 34 per condurre le proprie attività illecite, principalmente di intelligence, ai danni di organizzazioni militari e governative, industrie e banche, operanti nella citata regione e di particolare interesse per l'Iran. Secondo le prove raccolte, accedendo ai server utilizzati dal gruppo iraniano, Turla sarebbe stato in grado di controllare l'intera rete di computer, smartphone e chissà cos'altro, compromessi nei mesi precedenti da parte di APT 34.

Ciò ha implicato almeno quattro conseguenze dirette:
PrimaTurla avrebbe ottenuto con una sola mossa l'accesso a tutti i dati di intelligence raccolti da APT 34, ovvero a un patrimonio di inestimabile valore, ottenuto dall'Iran grazie a un'operazione durata mesi, se non anni e che ha richiesto certamente investimenti non trascurabili. Bel colpo!
SecondaTurla avrebbe utilizzato l'infrastruttura di comando e controllo realizzata da APT 34 allo scopo di lanciare ulteriori attacchi e compromettere altri dispositivi, impiegando proprie tecniche e propri software. A quanto pare, gli attacchi sarebbero andati a buon fine e avrebbero interessato qualcosa come trentacinque nazioni, per la maggior parte ubicate in Medio Oriente. Un altro ottimo risultato.
Terza. "Il re é nudo", ossia le tecniche e le vulnerabilità informatiche sfruttate da APT 34 non avrebbero più segreti per Turla e per il suo mandante e in seguito potrebbero essere impiegate adattandole per gli scopi del gruppo russo e questi sarebbe in grado di difendersi da eventuali ritorsioni di APT 34. Ancora complimenti.
Quarta. Il caos. É noto che, soprattutto nell'ultimo periodo, il Medio Oriente, interessato da questa vicenda, è anche un crocevia di crisi internazionali sia regionali che di potenziale portata mondiale. In tale delicato contesto, dopo la pubblicazione del bollettino del NCSC, la stampa occidentale si è affrettata a puntare il dito verso il governo russo che, a sua volta, smentendo categoricamente qualsiasi coinvolgimento, ha accusato l'occidente di aver ordito un astuto piano di inganno, al fine di incrinare gli ottimi rapporti di collaborazione instaurati tra Federazione Russa e Iran, per la risoluzione delle crisi attualmente in atto nella predetta regione.

Insomma, un bel rompicapo, che dimostra ancora una volta come le capacità cyber, al pari delle altre capacità militari “tradizionali”, possano essere utilizzate dai governi per imporre le rispettive agende di politica estera.

Aldilà delle tecniche utilizzate da Turla e riportate nel bollettino del NCSC e nelle successive ricerche sull’argomento, certamente molto interessanti per gli addetti ai lavori (e di lavoro ce n'ė!), questa vicenda dovrebbe far riflettere, ancora una volta, sulla realtà che stiamo vivendo e su come affrontarla.

Nella considerazione che il far west cibernetico resterà tale per molto tempo ancora, visto che nessuna organizzazione sovranazionale intende o è in grado di imporre una seria regolamentazione, dovremmo chiederci: dobbiamo continuare a limitarci a sfornare leggi su leggi "a costo zero" e a giocare sulla difensiva o, piuttosto, conviene dotarsi anche di concrete capacità nazionali cyber offensive, tali da fungere da deterrente?

In un mondo in cui anche il ragno più abile può finire nella propria tela e soccombere, come può sopravvivere un inerme "moscerino"?

Ne va della sopravvivenza della nostra nazione, almeno per come la conosciamo oggi, tuttavia l’impressione è che nel nostro amato Paese siano ancora in molti che non hanno capito il pericolo che stiamo correndo e, anzi, ritengono questi discorsi eccessivamente allarmanti. Speriamo che abbiano ragione loro. Speriamo.

Principali fonti:
https://www.2-spyware.com/iranian-hacking-tools-hijacked-by-turla-group-...
https://attack.mitre.org/groups/G0010/
https://www.fireeye.com/current-threats/apt-groups.html#apt34
https://www.ncsc.gov.uk/news/turla-group-exploits-iran-apt-to-expand-cov...
https://nationalcybersecurity.com/hacking-russia-dismisses-hacking-repor...