Il Cyber Arsenale dei “malware di stato” e il Protecting our Ability To Counter Hacking Act “PATCH Act”
In reazione al malware WannaCry è stata presenta pochi giorni fà al Congresso U.S.A. una proposta di legge chiamata “Protecting Our Ability to Counter Hacking Act”, detta anche “PATCH Act”.
Alla base della proposta c’è la collaborazione di tutti gli attori della security USA ed a garanzia di ciò nell’atto viene proposta una Commissione “Vulnerability Equities Review Board”, composta dal Ministro della Sicurezza Interna (Dhs), il Direttore dell’Ufficio Federale di Investigazione (FBI), il Direttore dell’Intelligence Nazionale (DNI), della Agenzia d’Informazioni Centrale (CIA), della Agenzia per la Sicurezza Nazionale (NSA), il Segretario al Commercio, il Ministro degli Esteri, il Segretario al Tesoro, il ministro per l’Energia, la Commissione federale del commercio, e altri importanti organismi.
Tutti i membri hanno il compito di stabilire insieme una linea politica su come, quanto e quando rendere nota pubblicamente una vulnerabilità.
Per capire meglio l’importanza di una norma del genere a mio avviso bisognerebbe confrontarsi con il Cyber Arsenale USA e la portata del crimine informatico in termini di rischio, danni e valore economico.
Un breve accenno su alcuni dei “malware di stato” che sono stati fatti circolare nel Cyber Spazio:
Stuxnet il malware-worm creato e diffuso dal Governo USA durante l’operazione “Giochi Olimpici”, ovvero una serie di cyber attacchi contro l’Iran, intrapresa nel 2006 da Bush in collaborazione col governo israeliano con l’obiettivo di sabotare le centrali nucleari iraniane. Si diffuse all’interno dei sistemi SCADA tramite chiavette USB infette colpendo con quattro expoit zero-day. Scoperto nel 2010 da una società di sicurezza bielorussa, fu invece reso noto solo nel 2012 dal segretario alla difesa americano. Il virus era talmente complesso che i massimi esperti di security non riuscirono a creare un software per contrastarlo.
Venne di seguito scoperta anche una variante del malware chiamata Flame designata però allo cyber spionaggio, e Gauss che aveva invece il compito di rubare file e password.
Equation Group, un pacchetto di Advanced Persistent Threat (APT) molto sofisticati contraddistinti dall’attacco multilivello e multi canale che si dimostrarono una minaccia di altissimo livello.
Il gruppo di attacchi che avevano come obiettivi Stati come Iran, Russia, Pakistan, Afghanistan, India, Syria, e Mali vengono fatti risalire agli Equation Group, visti gli schemi crittografici sofisticati e molto complessi, inoltre molti sostengono che il gruppo hacker o la combinazione di tool “Equation Group” sia riconducibile alla NSA.
Alcuni moduli dell’Equation Group risalgono al 2001, ma negli anni sono stati aggiornati, ecco brevemente i tool: EquationLaser, compatibile con i sistemi operativi Windows; Double Fantasy, responsabile degli upgrade di modulo e piattaforma; EquationDrug, uno dei componenti primari che contiene i moduli di riprogrammazione del firmware HDD; GrayFish, contenente i moduli di riprogrammazione del firmware HDD e un bootkit, Fanny è la componente worm; TripleFantasy, trojan di convalida del bersaglio.
Oltre ad una struttura complessa e la forte capacità di propagarsi il virus ha la caratteristica di non essere rilevabile da parte del software di sicurezza.
Ad aggiungersi ai cyber-armamenti zero-day c’è Regin attibuibile alle due intelligence britannica e americana, malware diffusosi prima del 2008, e comunque aggiornato negli anni. Un malware flessibile che permette di colpire diversi obiettivi grazie ad un un framework molto complesso con all’interno centinaia di playload, legato al furto delle informazioni, quindi al cyber spionaggio.
Tra le campagne di spionaggio messe in atto tramite ATP c’è Turla che colpì infrastrutture governative e strategiche in Europa e negli USA, The Mask aka Careto, un malware sofisticato che ha colpito Cina, Francia , Germania, Regno Unito e Stati Uniti, per un totale di oltre 30 nazioni. A questi si aggiunge Itaduke chiamato così perché il codice contiene commenti della Divina Commedia di Dante Alighieri. Fino ad arrivare al malware Animal Farm Group composto da tool sofisticati come Bunny, Dino, Babar, NBot, Tafacalou, Casper.
Tutto questo si inserisce in un contesto ancora più vasto chiamato “Five eyes”, uno dei più estesi programmi di sorveglianza invasiva della storia, che convolge le agenzie di sicurezza USA e UK insieme a Canada, Australia e Nuova Zelanda. Una grande alleanza di Intelligence per lo spionaggio globale che utilizza mezzi come PRISM. Il programma di cyber spionaggio NSA che si serve della collaborazione dei principali provider come Google, Facebook, Microsoft, Skype, Apple, Yahoo e tanti altri, concepito grazie alle leggi in materia di terrorismo, e che oggi viene messo sotto accusa per la sua parte di codice maligno in grado di controllare i computer da remoto.
Lo stesso vale anche per Muscular, programma di sorveglianza messo appunto dal governo britannico (GCHQ) insieme alla NSA americana. A completare la lista dei malware legali ci sono anche altri mezzi top secret come Tempora, Boundless informant, XKeyscore, Marina, Pinwale, e Traffichief e così via.
Layer 7 è invece un insieme di cyber armi della CIA, la prima parte del lotto chiamata “Year Zero” è stato pubblicato da WikiLeaks e svela alcune tecniche di hacking messe in atto dai servizi di intelligence. Successivamente Snowden rilascia informazioni su Dark Matter, malware in grado di compromettere i dispositivi Apple; Marble Framework utile a mascherare malware e cyber attacchi; GrassHoper in grado di compromettere i dispositivi Microsoft al fine di installare e attivare i malware; Hive in grado di raccogliere i dati da smartphone e computer; Weeping Angel in grado di colpire l’IoT; Scribbles capace di inviare “segnali” nel web; tecniche Men in the middle sviluppate sulla base di un malware già esistente “Fulcrum” consentono di infettare una intera rete locale, attraverso un solo PC; After Midnight e Assassin sono due malware molto simili che lavorano su sistema operativo Microsoft Windows; Athena e Hera sono invece spyware aggiornati in grado di compromettere anche i sistemi di sicurezza di Windows 10.
A questa lista andrebbero aggiunti anche i “malware di stato” provenienti da gruppi Russi come ad esempio il gruppo APT29 aka The Dukes aka Cozy Bear, che conta le seguenti tecniche di attacco: Hammertoss, sfrutta la steganografia; CozyCar, piattaforma malware molto sofisticata che sfrutta tecniche di crittografia e anti-rilevamento; Mimikatz in grado di ottenere login e password di account Windows; PsExec, uno strumento gratuito di Microsoft che può essere utilizzato per eseguire un programma su un altro computer; e poi tutta la famiglia dei tool Duke: CosmicDuk, CloudDuke, GeminiDuke, MiniDuke, OnionDuke, SeaDuke, PowerDuke.
E a loro volta questi virus andrebbero sommati a tanti altri provenienti da tutti gli altri paesi come Cina, Germania, Turchia, Corea, India etc arrivando così a definire uno scenario di militarizzazione informatica massiccia. Il prezzo di tutto ciò è molto alto e sostenere costi esorbitanti per lo sviluppo di armi cyber che sempre più spesso divengono alla mercé di tutti finendo così per diventare un arma verso se stessi, non è sicuramente il massimo.
Tutto ciò dimostra quanto la Cyberwarfare sia difficilmente controllabile ma vanno ancora fatti i conti con la nuova struttura del cyber spazio che arriva oggi ad avere la propria cryptovaluta riconosciuta anche nel mercato “reale”. Serve fare grande attenzione soprattutto al rapido sviluppo del deep web divenuto ormai una piazza in continua crescita ed evoluzione che arriva a fatturare milioni di dollari. Realtà questa formata da un ben strutturato network di persone specializzate, mezzi sofisticati e servizi al passo con la richiesta, dove tutto si monetizza e i costi sono molto competitivi. L’industria del crimine informatico ha da sempre avuto ben chiaro il concetto di crime-as-a-service, e ha dall’inizio sfruttato a pieno il potere della rete in grado di unire le forze degli hacker e di garantirne l’anonimato.
Se agli attacchi State-sponsored si aggiungono gli attacchi dei gruppi hacker, e a questi si somma la presa visione delle cyber-weapon realizzate da militari, intelligence e comunità hackers, la serenità del cittadino viene sicuramente messa a dura prova. Quando i concetti di riservatezza e sicurezza si fondono annullandosi a vicenda, cosa rimane a tutelare il cittadino?
Per dare una risposta agli ultimi accadimenti in materia di attacchi informatici e alla diatriba con Snowden, il Governo U.S.A. sceglie di predisporre il PATCH Act, mentre Wikileaks vede come soluzione al mercato nero delle cyber armi e al terrorismo la divulgazione delle vulnerabilità e delle informazioni poiché solo con l’informazione si può garantire il giusto livello di sicurezza. Ad esempio rendere nota la vulnerabilità di Microsoft avrebbe impossibilitato la divulgazione di WannaCry.
Il Governo americano continua il suo percorso formulando una nuova norma dove sceglie di valutare di volta in volta la necessità o meno di rendere nota la minaccia, garantendosi così una riservatezza che gli permette di muoversi in quel confine, definibile come zona grigia, dove il bianco si fonde con il nero e dove il possibile si fonde con l’impossibile.
A cura della Redazione