Operazione Vault 7: il punto sui "segreti" della CIA svelati fino ad oggi, mentre nel mondo infuria WannaCry

(di Ciro Metaggiata)
22/05/17

Nella quasi totale indifferenza dei media generalisti, l'operazione Vault 7, lanciata da WikiLeaks lo scorso 7 marzo, continua a rivelare materiale interessante circa le information operations della CIA. L'agenzia, come c'era da aspettarsi, non ha né confermato né smentito l'autenticità dell'ingente quantitativo di file che l'organizzazione del sig. Assange afferma di aver acquisito, nientemeno, dal "cuore" della struttura. Tuttavia, il sig. Snowden, ben conosciuto da WikiLeaks, non ha dubbi sulla autenticità di tali informazioni e molti esperti del settore concordano con lui. Inoltre e anche questo c'era da aspettarselo, i maggiori produttori del software e hardware oggetto delle "attenzioni" dell'agenzia secondo quanto mostrato da Vault 7, si sono affrettati a ridimensionare la vicenda. In particolare, affermano che molte delle tecniche e degli strumenti usati dalla CIA, sono noti da tempo o che sfruttano vulnerabilità dei sistemi già superate, pertanto ritengono i propri prodotti assolutamente sicuri. Ma non è così: Vault 7 prima e adesso WannaCry, mettono in evidenza quanto sia fragile l'ecosistema cibernetico creato dai produttori di software e di hardware. Aldilà che si creda o meno all'attribuzione alla CIA delle informazioni divulgate o della personale diffidenza verso WikiLeaks, l'aspetto più eclatante di questa vicenda è proprio la dimostrazione che, allo stato attuale, niente si può affermare essere veramente "sicuro" nel cyber-spazio. Chi dice il contrario, evidentemente, ha interessi precisi per farlo, che non sempre coincidono con quelli di noi cittadini e consumatori. Ma riassumiamo cosa è emerso finora grazie a Vault 7.

Da principio, con "Year Zero", il primo rilascio del 7 marzo (articolo), è stata diffusa la quantità più ingente delle informazioni riguardanti le operazioni cyber della CIA, da cui emergerebbe anche il coinvolgimento dei servizi di intelligence di Sua Maestà. A parte la storia delle smart TV, l'aspetto più rilevante che è emerso, consiste nel fatto che l'intelligence sarebbe in grado di utilizzare tecniche di hacking (compromissione) sia reperite in rete sia sviluppate in proprio. Alcune di queste tecniche, particolarmente sofisticate, sarebbero o sarebbero state in grado di compromettere i sistemi operativi più utilizzati nel mondo, ad un livello mai riscontrato finora: quello del kernel, il nucleo centrale del codice con cui sono scritti.

Successivamente, il 23 dello stesso mese è stato rilasciato il "pacchetto" battezzato "Dark Matter", focalizzato su tecniche di hacking appositamente sviluppate dall'agenzia americana, al fine di compromettere dispositivi Apple. Secondo tale azienda, le vulnerabilità sfruttate dalla CIA sarebbero state risolte e rimosse ormai tempo dai propri dispositivi. Probabilmente ciò è vero ma resta il fatto che il materiale pubblicato da WikiLeaks copre un periodo che va dal 2013 al 2016, quando probabilmente le vulnerabilità non erano state ancora rimosse da tutti i sistemi e, comunque, non sembra verosimile che la CIA abbia sviluppato un tale ambizioso progetto sapendo che avrebbe avuto breve vita.

Con "Marble Framework", invece, il 31 marzo sono stati pubblicati più di 600 file contenenti codice sorgente legati al progetto dell'agenzia di intelligence americana, teso a mascherare le proprie operazioni cyber. Gli esperti concordano nel ritenere che Marble non sia niente di particolarmente avanzato, tuttavia ne evidenziano l'uso disinvolto fatto da parte della CIA. In particolare, per mascherare i propri malware o cyber attacchi, sono state utilizzate tecniche volte sia a non farne riconoscere il codice sorgente da parte dei software di sicurezza sia a lasciarvi tracce che, qualora analizzate da parte di investigatori o esperti di società di sicurezza, ne avrebbero sviato le indagini, portandoli ad attribuirne la "paternità" ad altri soggetti. Infine, con Marble sarebbero stati rivelati anche i metodi di disattivazione del mascheramento degli attacchi. Un aspetto che non deve aver certo reso felici i responsabili dell'agenzia.

Il 7 aprile, sul sito di WikiLeaks ha fatto la sua apparizione "GrassHoper", un altro progetto volto a compromette i dispositivi e i software usati dagli utenti, questa volta prodotti dalla società Microsoft. In particolare, GrasshHoper avrebbe permesso all'agenzia di aggirare i software di sicurezza tra i quali gli antivirus, al fine di installare e attivare malware destinati, con tutta probabilità, ad attività di intelligence.

Appena sette giorni dopo è stato pubblicato "Hive", un progetto che riguarderebbe una infrastruttura messa in piedi dalla CIA, principalmente per raccogliere i dati trasmessi dai computer e dagli smartphone compromessi e per controllarli (ovvero inviare comandi) a distanza. Nello specifico, tutto questo sarebbe avvenuto all'insaputa degli utenti, attraverso insospettabili siti web di pubblico dominio, in realtà sotto il controllo dell'agenzia. Un'altra tecnica mutuata dal mondo degli hacker.

Il 21 aprile è stato rilasciato il materiale riguardante "Weeping Angel", il malware che sarebbe stato sviluppato in collaborazione con i servizi di intelligence britannici e che, a suo tempo, tanto ha fatto scalpore nei media. Dell'Angelo Piangente, che sarebbe in grado di compromettere le smart TV, si è già scritto abbastanza.

Molto più interessante è "Scribbles", un progetto sviluppato con l'obiettivo di acquisire la capacità di tracciare le informazioni classificate rivelate in rete intenzionalmente. In sintesi, nei file prodotti mediante Microsoft Office contenenti tali informazioni, sarebbe stato possibile "impiantare" un codice in grado di inviare "segnali" nel web, captati e tracciati dalla CIA. Ciò avrebbe consentito all’agenzia di risalire ai dispositivi da cui si ha avuto accesso ai file e, soprattutto, ai relativi proprietari. Evidentemente nel caso di Vault 7, però, qualcosa non ha funzionato.

"Men in the middle", invece, potrebbe sembrare una delle tante espressioni gergali coniate negli States per indicare una particolare pratica sessuale, tuttavia si tratta, invece, della tecnica usata per il malware "Archimedes". Questo altro strumento sarebbe stato sviluppato dall'agenzia sulla base di un malware già esistente, battezzato "Fulcrum". È stato messo alla luce da Vault 7 lo scorso 5 maggio e consentirebbe di infettare una intera rete locale, attraverso un solo PC ad essa collegato. Tale computer, sotto il diretto controllo della CIA, si frapporrebbe logicamente tra i computer "obiettivo" e il collegamento della rete con l'esterno. In tal modo, "l'uomo che sta in mezzo" non si dedicherebbe ad altro se non ad acquisire tutti i dati scambiati dalla rete con l'esterno, con lo scopo di scoprire le vulnerabilità da sfruttare per infettare gli altri computer e prenderne quindi il controllo.

Il 12 maggio scorso, invece, è stato possibile fare la conoscenza di due malware molto simili tra loro: "AfterMidnight" e "Assassins". Questi due "fratellini" sarebbero particolarmente affezionati ai sistemi operativi Microsoft Windows e, usando tecniche leggermente diverse, avrebbero la cattiva abitudine di inviare i dati contenuti nei dispositivi infettati e di ricevere comandi dalla CIA, compresi quelli relativi all'installazione di ulteriori malware. Infine, sarebbero in grado di disinstallarsi a comando o a una data prestabilita, senza lasciare tracce.

Veniamo all'ultimo prodotto della CIA documentato da WikiLeaks, ovvero la coppietta di spyware "Athena" e "Hera", che nel complesso sarebbero in grado di compromettere qualsiasi versione del sistema operativo Microsoft Windows, dalla XP alla 10 e dalla 2008 alla 2012 server. E questo è proprio l'aspetto più interessante, piuttosto che il meccanismo del loro funzionamento: la datazione di alcuni documenti fanno supporre che l'agenzia sia effettivamente in grado di compromettere anche l'ultima creatura della Microsoft, Windows 10, il sistema operativo che dovrebbe rappresentare un deciso passo in avanti in fatto di sicurezza. Per il resto, Athena/Hera non sembrano essere niente di particolarmente sofisticato.

Insomma, se leggendo questo articolo molti storceranno il naso, affermando che WikiLeaks ha scoperto "l'acqua calda", si dovrebbe ammettere, piuttosto, che Vault 7 ha almeno il pregio di offrire al "cittadino digitale medio" l'opportunità di prendere maggior coscienza in che "mondo digitale" vive. Se è vero che ormai si parla di "infosfera", nella quale ormai viviamo, è bene che si sappia che, quando va bene, essa è soggetta alle attenzioni degli apparati di intelligence, nell’ambito dello svolgimento delle proprie missioni. Quando va male, invece, nella considerazione che molti degli strumenti impiegati sono i medesimi dell'intelligence, a mettere in pericolo le informazioni da cui ormai dipendiamo, sono i criminali.

Un altro chiaro esempio: WannaCry. Al momento della stesura di questo modesto articolo, è ancora forte l'eco del trambusto causato da questo nuovo attacco cibernetico, che ha colpito a livello planetario causando grandi problemi. Tuttavia, WannaCry merita uno specifico articolo, che verrà pubblicato non appena saranno noti maggiori dettagli e, soprattutto, quando saranno confermati alcuni suoi aspetti specifici. In particolare, desta interesse la probabile origine del malware utilizzato per l'attacco, che risalirebbe alla National Security Agency (NSA), che ne avrebbe "perso il controllo” da tempo.
In ogni caso, la situazione che emerge dalle vicende Vault 7 e WannaCry è particolarmente grave: sembra che non esistano software destinati al largo consumo, in grado di garantire un ragionevole livello di sicurezza per le informazioni degli utenti. Ma questo, come scritto in un precedente articolo, fa il buon gioco di produttori, governi e criminali. I primi continuano a produrre sacrificando qualcosa in termini di sicurezza, con il solo scopo di ottenere il massimo profitto. I secondi traggono vantaggio dalle vulnerabilità tralasciate dai primi, per il raggiungimento dei propri fini, leciti e meno leciti. Gli ultimi si arricchiscono a nostre spese, rischiando, nella maggior parte dei casi, al massimo un brutto mal di schiena per le troppe ore passate al computer. Sarebbe l'ora di interrompere questo odioso circolo vizioso!

 

Principali fonti:
http://www.wired.co.uk/article/cia-files-wikileaks-vault-7

http://nation.foxnews.com/2017/03/31/latest-wikileaks-release-reveals-cia-disguises-hack-attacks-russian-or-chinese-activity

https://threatpost.com/wikileaks-reveals-cia-tool-scribbles-for-document-tracking/125299/

aftermidnight-assassin-malware-framework.html

http://securityaffairs.co/wordpress/58775/hacking/cia-archimedes-tool.html

http://securityaffairs.co/wordpress/58518/hacking/wikileaks-cia-scribbles.html

http://securityaffairs.co/wordpress/59256/intelligence/wikileaks-athena-spyware.html