Cyber war: le hackering strategy

Cosa hanno in comune un soldato che si allena correndo lungo una strada di campagna nel Nevada, un giornalista libanese ed una casalinga olandese?

Apparentemente nulla, ognuna di queste persone conduce la propria vita e tra loro non si conoscono, ma i tre hanno una cosa che li accomuna. Usano un PC o uno smartphone e su ognuno di questi devices sono scaricate applicazioni. Il soldato gestisce il proprio allenamento con una app che gli consente di recuperare dati relativi ai tempi, al percorso ed altre cosette simpatiche che vedremo avanti, la casalinga gestisce i propri pagamenti attraverso una app messa a disposizione dalla sua banca e il giornalista custodisce sul suo PC notizie importanti che daranno vita ad un importante articolo da premio Pulitzer.

Le nostre vite creano informazioni, gli Stati creano informazioni, le aziende e le organizzazioni creano informazioni, tutte più meno sensibili e queste informazioni vengono trasformate in dati, tanti dati… una moltitudine di dati e se i dati hanno un valore, commerciale, politico, militare ecc.., ne consegue che ci sia qualcuno disposto a pagare o nel peggiore dei casi a rubarli per averli.

Le strategie hackering regolano gli obbiettivi da raggiungere e che si tratti di uno Stato sovrano che voglia interferire in una campagna elettorale sfruttando la profilazione di milioni di account facebook o si tratti di un gruppo di criminali che vogliano impossessarsi degli account dei correntisti di una banca la sinfonia è sempre la stessa, se non si è adeguatamente preparati ed attenti prima o poi qualche hacker riuscirà a bucare le nostre difese.

Solo qualche giorno fa, almeno tre banche olandesi e l’ufficio delle imposte olandese hanno subito attacchi coordinati DDoS contro le loro rispettive infrastrutture. ABN AMRO, Rabobank e ING Bank hanno riferito di aver subito attacchi DDoS che hanno impedito ai clienti di accedere alla loro dashboard sul Web. L’attacco DDoS su ABN AMRO è iniziato il sabato, mentre le altre due banche sono state colpite il lunedì successivo. Sempre il lunedì, il Belastingdienst, l’ente olandese per le tasse, ha subito un attacco DDoS che ha impedito agli utenti di accedere al proprio portale web e di archiviare i documenti relativi alle tasse. Gli attacchi, per quanto ci è dato sapere, hanno raggiunto il picco di 40 Gbps di volume, abbastanza per mettere quieto un server come quello di una banca. Gli attacchi provenivano principalmente da indirizzi IP associati a router domestici. Alcuni di questi attacchi DDoS sono stati effettuati utilizzando il malware Zbot, un trojan bancario noto basato sul vecchio trojan bancario ZeuS. L’attacco principale sarebbe partito da una botnet che è una rete di computer infetti comandati a distanza da un hacker. Questi computer, infettati solitamente da un Trojan o altri tipi di malware che ne permettono il controllo remoto, vengono chiamati bot o zombie e come si sa, le botnet vengono utilizzate solitamente per sferrare Attacchi DDos o Attacchi APT alla vittima presa di mira dall’hacker. Il trojan Zbot è considerato uno zombie per furto di informazioni bancarie ed agisce attraverso keylogger e form da compilare. Identificato la prima volta nel luglio 2007, quando fu utilizzato per rubare informazioni dal Dipartimento dei Trasporti degli Stati Uniti, in 10 anni la Zbot è presente in 196 nazioni. In questo caso i server di comando e controllo di questa botnet erano basati in Russia.

Nella fattispecie, pare che la hackering strategy sia stata di carattere politico e che sia stata posta in essere come rappresaglia del governo russo per le notizie divulgate dai media olandesi sulle elezioni statunitensi del 2016. Il quotidiano olandese Volkskrant e la rete televisiva NOS hanno pubblicato un rapporto in cui si afferma che il servizio di intelligence AIVD olandese abbia compromesso i computer del gruppo di spionaggio informatico russo Cozy Bear anche noto come APT29, trovando le prove di come i servizi segreti russi abbiano hackerato dei server durante le elezioni presidenziali degli Stati Uniti del 2016. Qualcosa di simile era già accaduto nel 2015 quando il Dutch Safety Board (DSB) era stato attaccato da un’altra unità russa di cyber-spionaggio – Fancy Bear- aka APT28, quando le autorità olandesi stavano investigando sul volo MH17 in Ucraina abbattuto da un missile militare sparato sull’aereo dai ribelli filo-russi.

Un altro esempio è il furto di dati in hackering strategy politico rivolto all’acquisizione di informazioni sensibili in possesso di giornalisti e funzionari di governo infettati dal malware. In questo caso si è utilizzato il CrossRAT indirizzato a dispositivi Linux, macOS e Windows che è riuscito a bucare senza essere rilevato dal software antivirus. Qualche settimana fa, i ricercatori della sicurezza IT di OutLook insieme al gruppo per i diritti civili, Electronic Frontier Foundation (EFF) hanno esposto un rapporto sullo spionaggio informatico, altamente sofisticato gestito da hacker libanesi di Dark Caracal, in cui il gruppo ha utilizzato malware Android contro giornalisti e funzionari governativi in 21 paesi. Il malware CrossRAT è scritto in linguaggio di programmazione Java e si crede sia stato sviluppato da Dark Caracal per il targeting di dispositivi basati su OSX, Linux e Windows. Il malware è in grado di eludere il software antivirus e manipolare il file system di un dispositivo mirato, acquisire schermate, eseguire DLL per l’infezione secondaria su Windows persistendo sul sistema infetto. Una volta infettato il computer, il malware esegue una scansione approfondita sulla macchina. Può identificare il kernel, il livello di base che integra il sistema con l’hardware e il tipo di architettura. Lo scopo è fare l’installazione specifica del programma in base a ciascun software. CrossRAT è così sofisticato da poter frugare attraverso il sistema Linux per identificare la distribuzione del sistema, inclusi Arch Linux, Centos, Debian, Kali Linux, Fedora, ecc. Inoltre, CrossRAT ha un keylogger integrato, un software che registra ciò che viene digitato sul computer e lo invia al centro di controllo dei comandi (C & C) e i computer Windows e Linux sono più suscettibili alle infezioni poiché il malware è costruito in Java.

Vediamo l’ultimo caso, dove informazioni sensibili sulla posizione e il personale delle basi militari e degli avamposti spia in tutto il mondo sono state rivelate da un’azienda di tracciamento del fitness. I dettagli sono stati pubblicati da Strava in una mappa di visualizzazione dei dati che mostra tutte le attività tracciate dagli utenti della sua app, che consente alle persone di registrare il loro esercizio e condividerlo con gli altri. La mappa, pubblicata a novembre 2017, mostra ogni singola attività mai caricata su Strava – più di 3 trilioni di punti dati GPS individuali, secondo la compagnia. L’app può essere utilizzata su vari dispositivi tra cui smartphone e fitness tracker come Fitbit per vedere percorsi di corsa popolari nelle principali città o individuare persone in aree più remote che hanno modelli di allenamento insoliti. Come se non bastasse, gli analisti militari hanno notato che la mappa è anche abbastanza dettagliata da fornire informazioni estremamente sensibili su un sottoinsieme di utenti Strava: personale militare in servizio attivo. Un analista dell’Institute for United Conflict Analysts, ha prima notato che sulla heatmap “le basi statunitensi sono chiaramente identificabili e mappabili”. “Se i soldati usano l’app come fanno le persone normali, attivando il monitoraggio quando vanno a fare esercizio, viene evidenziata una particolare traccia che “sembra” come se registri un percorso di jogging regolare”. In luoghi come l’Afghanistan, Gibuti e la Siria, gli utenti di Strava sembrano essere quasi esclusivamente personale militare straniero, il che consente di identificare le basi militari. Nella provincia di Helmand, in Afghanistan, ad esempio, si possono vedere chiaramente le posizioni delle basi operative avanzate, bianche come la luce contro la mappa nera. Lo zoom su una delle basi più ampie rivela chiaramente il suo layout interno, come mappato dalle rotte di jogging tracciate da numerosi soldati. La base stessa non è visibile sulle viste satellitari di provider commerciali come Google Maps o Apple Maps, ma può essere vista chiaramente attraverso Strava. Al di fuori delle zone di conflitto diretto, è ancora possibile raccogliere informazioni potenzialmente sensibili. Ad esempio, una mappa dell’aeroporto di Homey, Nevada – la base dell’aeronautica statunitense comunemente nota come Area 51 – registra un ciclista solitario che fa un giro dalla base lungo il bordo occidentale di Groom Lake, segnato sulla mappa termica da una sottile linea rossa. RAF Mount Pleasant nelle Falkland Islands è illuminata brillantemente dalla heatmap, riflettendo i regimi di esercizio dei mille membri del personale britannico lì – così come i vicini Lake Macphee e Gull Island Pond, luoghi di nuoto apparentemente popolari. Quando Strava ha rilasciato la heatmap, una versione aggiornata di una versione precedentemente pubblicata nel 2015, ha annunciato che “questo aggiornamento include sei volte più dati di prima – in totale 1 miliardo di attività da tutti i dati Strava fino a settembre 2017. È una visualizzazione diretta della rete globale di atleti di Strava”. Strava ha dimostrato che la nuova mappa termica è sufficientemente dettagliata per vedere il kiteboarding in Messico, per tracciare il percorso del Camino de Santiago attraverso la Spagna settentrionale e per vedere la rotta marittima dell’ironman triathalon a Kona, nelle Hawaii.

Gli esempi riportati, sono la punta dell’iceberg di quanto accade nel web, a questi esempi vanno aggiunte le forme di frode CEO o BEC (Business email compromise (BEC), chiamate a livello internazionale anche “CEO fraud”) molto invasive e pericolose. In Austria un’azienda aerospaziale ha licenziato presidente e CFO per aver causato all’azienda una perdita di 50 milioni di dollari a causa di una cyber frode. Secondo uno studio internazionale oltre 400 imprese ogni giorno sono vittime di
frodi finanziarie attraverso tecniche di ingegneria sociale ed in particolare di spear phishing. In Italia invece, l’ultimo caso ha riguardato un dirigente di Confindustria che, con una banalissima mail, è stato spinto a fare un bonifico da mezzo milione di euro.

In parole semplici, a fattor comune, siamo generalmente tutti impreparati a gestire la nostra privacy sul web e questo ci pone pericolosamente come facili bersagli da colpire. Aziende e privati dovrebbero iniziare a vedere la questione della cyber security non più come qualcosa relegata al settore ITC dove il tecnico di turno, più o meno bravo, risolve i problemi. La cyber defence passa in primo luogo da corrette policy aziendali di social engineering sviluppate a favore di tutto il personale dipendente e solo in ultima analisi dalla ITC. L’istruzione del personale non fa perdere soldi all’azienda e garantisce gli investimenti di sviluppo, per tanto l’unico suggerimento che posso dare è “keep up to date”.

A cura di: Giuseppe Spadafora

Profilo Autore