giovedì 12 ottobre 2017

HACKER israeliani SPIAVANO HACKER russi CHE SPIAVANO HACKER americani

Mentre hacker russi sfruttavano l’antivirus Kaspersky per spiare la Nsa erano a loro volta spiati da israeliani. Cosa sappiamo di questa vicenda complessa


La complicata partita geopolitica tra Stati Uniti e Russia sul fronte digitale, che nei giorni scorsi aveva tirato in mezzo l’azienda di antivirus Kaspersky, ha appena aggiunto un quarto incomodo e un nuovo livello di complicazione: Israele
Proprio hacker israeliani avrebbero allertato gli americani del fatto che i russi li avessero compromessi sfruttando come testa di ponte il noto software della società di cybersicurezza fondata da Eugene Kaspersky

La violazione del dipendente Nsa  
Un rigiro vertiginoso che ora proviamo a spiegare per segmenti. Innanzitutto l’antefatto. Pochi giorni fa fonti governative americane avevano rivelato al Wall Street Journal che hacker russi avrebbero rubato strumenti di attacco della Nsa, l’Agenzia di sicurezza nazionale statunitense, dal computer di un dipendente

 Il quale si era incautamente portato a casa i materiali dell’agenzia di intelligence. L’individuazione dei file della Nsa sarebbe avvenuta, sostengono le fonti Usa, attraverso l’antivirus Kaspersky che l’uomo aveva sul suo pc

 Non era chiara però la dinamica, né se esistesse o meno un coinvolgimento della società di cybersicurezza. In pratica, dato per buono quanto riportato dal Wall Street Journal, la domanda era se gli hacker russi avessero compromesso l’infrastruttura di Kaspersky a sua insaputa o se invece ci fosse una qualche forma di collusione
 E poi rimaneva da spiegare come avessero fatto gli americani a capire quanto successo


Gli hacker israeliani violarono Kaspersky  
Ora almeno alla seconda domanda è stata data una risposta. Sarebbero stati hacker dell’intelligence israeliana, che avevano compromesso la rete di Kaspersky fra 2014 e 2015, ad assistere in tempo reale al fatto che hacker russi stessero raccogliendo informazioni sui computer contenenti programmi riservati americani, e su cui era installato l’antivirus della società russa, sfruttando le sue funzioni di ricerca

 Questo genere di prodotti richiedono infatti un accesso ai file del computer per confrontarli con una database di “firme”, di impronte di software malevoli e permettono anche di effettuare ricerche mirate. Quanto mirate è ora oggetto di dibattito fra esperti

In pratica, secondo questa ricostruzione del New York Times, gli israeliani hanno violato Kaspersky per vedere che altri hacker russi ne utilizzavano l’infrastruttura (con Kaspersky inconsapevole, e quindi violata a sua volta o no, non è chiaro) per fare intelligence su target particolarmente interessanti, ovvero su americani che avessero sul pc - come quel dipendente di cui si diceva - programmi e strumenti della Nsa

In questo modo gli attaccanti di Mosca avrebbero poi effettivamente violato il pc del dipendente della Nsa (in particolare del TAO, il gruppo di hacking d’élite della Nsa, che si dedica a operazioni offensive) rubando documenti classificati e codice

 Non è chiaro però se questi materiali siano poi gli stessi di quelli usciti in alcuni leak, fughe di dati successive. Il New York Times sembra escludere che si tratti ad esempio degli strumenti diffusi nel 2016 dal misterioso gruppo The Shadow Brokers

Il ruolo e la reazione di Kaspersky  
Ma è ancora la prima cruciale domanda - ovvero se l’uso di Kaspersky da parte degli hacker russi sia avvenuto a insaputa dell’azienda o meno - a rimanere senza risposta
 Lo scenario raccontato dal New York Times attraverso le intelligence israeliane e statunitensi lascia aperta la possibilità che la stessa Kaspersky sia una vittima in questa storia. Che insomma sia stata compromessa due volte, da russi e da israeliani.  

Il fondatore dell’azienda, Eugene Kaspersky, esclude in modo categorico qualsiasi collusione e anzi annuncia una indagine interna, chiedendo agli stessi americani di condividere eventuali informazioni al riguardo. “Kaspersky Lab non era coinvolta e non aveva alcuna conoscenza dell’operazione di intelligence descritta dall’articolo del “New York Times”, ribadisce un comunicato della società

 Che si sarebbe accorta dell’intrusione israeliana a metà del 2015, quando un suo ingegnere decise di testare un nuovo strumento per individuare attività anomale sul proprio network. L’analisi della compromissione subita divenne poi un rapporto pubblicato già nel giugno 2015, con cui Kaspersky delineava un attore di hacking molto sofisticato che chiamava Duqu 2.0

Non citava gli israeliani ma il riferimento e le somiglianze erano col precedente Duqu, che era stato accomunato ai creatori di un altro famosissimo malware, Stuxnet. Un malware - impiegato contro l’Iran - ormai considerato da tutti un prodotto israelo-statunitense

 Nel caso di Duqu 2.0 però le sue vittime, oltre che Kaspersky, erano soprattutto target di interesse israeliano

Duqu 2.0 e Equation Group  
Secondo il rapporto di Kaspersky, chi si celava dietro a Duqu 2.0 era particolarmente interessato al lavoro della società russa su Equation Group - foglia di fico con cui Kaspersky indicava di fatto una gruppo/campagna di hacking della Nsa - e Regin, altro termine in codice che alludeva a una campagna di hacking dell’intelligence britannica

 Ora sappiamo che gli hacker di Duqu 2.0 erano effettivamente israeliani. E che questi avrebbero poi informato gli americani di aver visto hacker governativi russi usare l’infrastruttura di Kaspersky per raccogliere informazioni su di loro

Qualcuno nota che con queste rivelazioni gli americani avrebbero bruciato l’operazione di controintelligence degli israeliani, ma quella forse era già terminata da un pezzo e di fatto bruciata dalla stessa Kaspersky nell’estate 2015

Vale però la pena soffermarsi sulla tempistica. Secondo il Washington Post, ad esempio, gli hacker israeliani avrebbero trovato gli strumenti di hacking della Nsa nei sistemi di Kaspersky. Una volta avvisati, gli americani avrebbero fatto partire una indagine per capire come ci erano arrivati

Tuttavia nel febbraio 2015, quindi dopo che forse era stata già compromessa da Israele e prima di rivelare di esserlo stata, Kaspersky uscì con un rapporto su un gruppo di hacking d’elite, Equation Group (che come abbiamo già detto era la Nsa, anche se mai nominata)

Quindi in quel momento l’azienda denunciava di aver individuato alcuni dei software usati dal gruppo, anzi, ne ricostruiva l’infrastruttura e i server di comando e controllo, gli indicatori di compromissione nonché le attività di anni precedenti

Insomma, la vicenda è complicata e risale addietro nel tempo. E restano ancora molte domande. Per dirla con un tweet di Matt Tait, noto ricercatore di area atlantica: “È il lavoro di Kaspersky dare la caccia agli hacker, inclusi quelli della Nsa. Ma Kasperky dava la caccia anche ad altro (cercando cioè documenti classificati, ndr)? Malgrado questi leak, ancora non lo sappiamo”

 O per dirla con un altro esperto di sicurezza, Matt Suiche: “Ancora non sappiamo come gli hacker russi avrebbero avuto accesso alla rete di Kaspersky. Ma sappiamo che due attori (Israele e Russia) erano simultaneamente lì dentro”

Sullo sfondo, ricordiamo la decisione presa dal governo americano a metà settembre di mettere al bando i prodotti Kaspersky dagli uffici federali. Che a questo punto sembra ormai irrevocabile


http://www.lastampa.it/2017/10/11/esteri/cos-hacker-israeliani-spiarono-hacker-russi-che-spiavano-hacker-americani-xwTsJ5fiDVsVqWCRQuMaLO/pagina.html

Nessun commento:

Posta un commento