sabato 22 ottobre 2016

Così è stato hackerato in massa lo staff di Hillary Clinton

La Stampa
carola frediani

Dei ricercatori hanno collegato e ricostruito tutti gli attacchi e li hanno attribuiti a un unico gruppo di hacker russi. Che aveva preso di mira anche Aeronautica e Marina italiane



Un’unica mano, anzi un unico gruppo, avrebbe hackerato il Comitato nazionale democratico (l’organo di governo del Partito democratico americano) e il comitato per la campagna elettorale al Congresso dello stesso Partito (DCCC), la casella di posta di John Podesta (il presidente della campagna di Hillary Clinton) e quella dell’ex segretario di Stato Colin Powell. E questo solo per citare i casi più noti che hanno portato negli ultimi mesi alla pubblicazione online di migliaia di email e documenti riservati dei Democratici nel pieno della campagna presidenziale americana. Violazioni e pubblicazioni che hanno portato a una escalation dei rapporti diplomatici tra Stati Uniti e Russia.

Attacco via mail
Tutti questi episodi sono il frutto di una stessa campagna che avrebbe usato il trucco più banale, una mail di spear phishing, cioè una mail mirata inviata dall’attaccante che finge di arrivare da un altro mittente, e per la precisione in molti casi da Gmail, chiedendo di reinserire la credenziali della posta. E questa unica mano - che avrebbe coordinato un’operazione ampia di attacchi mirati condotti contro politici americani, soprattutto democratici - sarebbe da attribuire al gruppo di hacker russi noti come Apt28, o Sofacy, o Fancy Bear. Che vari analisti riconducono più o meno direttamente al governo di Mosca. Alcuni, come la società Crowdstrike o i servizi tedeschi, li considerano inquadrati da GRU, l’intelligence militare russa.

Unica operazione
A ricollegare insieme tutti questi attacchi al gruppo, già fortemente sospettato dell’incursione nei server democratici, sono stati i ricercatori di Secure Works. Ma ad avallare questa tesi sono anche altri ricercatori indipendenti come Thomas Rid. Che cita anche attacchi condotti contro l’Italia. «Tra l’ottobre 2015 e il maggio 2016 – scrive su Esquire il professore del King’s College e nome autorevole negli studi sulla cyberguerriglia, specie fra Usa e Russia - il gruppo ha usato 9mila link per attaccare circa 4mila account Gmail, con target in Ucraina, Stati Uniti, Stati baltici, Cina, Iran. Fancy Bear (o Apt28, ndr) ha cercato di accedere a ministeri della Difesa, ambasciate e militari. Il più ampio gruppo di target, circa il 40 per cento, erano personale militare. Tra le violazioni recenti del gruppo ci sono stati il Parlamento tedesco, i militari italiani, il ministero degli Esteri saudita, le email di Philip Breedlove (generale Nato, ndr), Colin Powell, e John Podesta—presidente della campagna di Hillary Clinton— e naturalmente il Comitato nazionale democratico».

Militari italiani nel mirino
I militari italiani vittime di Fancy Bear (o Apt28)? Il riferimento - sulla base delle ricerche de La Stampa - è a una serie di attacchi che hanno colpito fra 2014 e 2015 membri dell’Aeronautica militare e della Marina militare italiana. A parlarne in una presentazione rimasta in circoli ristretti era stato nel novembre 2015, ad Abu Dhabi, Stefano Maccaglia, analista della società americana di sicurezza informatica RSA. Nella presentazione si analizzano alcuni attacchi compiuti da FancyBear/Apt28 contro militari di alcuni Paesi occidentali, inclusa l’Italia. In particolare gli hacker avrebbero preso di mira almeno sette ufficiali dell’Aeronautica militare e due ufficiali della Marina militare, sfruttando una vulnerabilità di Microsoft Office.

E in almeno due casi l’infezione sarebbe andata a buon fine. «Era l’analisi di tre casi avvenuti tra 2014 e 2015 contro i militari di tre nazioni occidentali», riferisce Maccaglia. «Gli attaccanti hanno prima preso i dati sul personale militare violando il sito di una fiera militare (il Farnborough Air Show 2014, ndr) e raccogliendo le mail dei partecipanti. E poi hanno studiato i possibili target delle strutture che volevano colpire, scegliendo soggetti non troppo esperti in informatica. L’attacco comunque è stato sofisticato e ben organizzato, molto di più di quelli fatti contro i democratici americani».

Analisi degli attacchi
Sì, perché nel caso del Comitato nazionale democratico, di Podesta, di Powell e via dicendo, gli hacker avrebbero confezionato delle semplici email di phishng che dicevano di essere Gmail. Specificando che qualcuno aveva violato la casella di posta delle vittime (c’era pure indicato un indirizzo IP in Ucraina, l’ironia) e quindi di reinserire e poi cambiare le credenziali di accesso. Quello che è notevole però dell’attacco ai democratici è come è stato organizzato complessivamente.
Un invio di massa di 9mila link in finte mail a 4mila individui. Ogni link (ogni Url) inviato, era poi accorciato attraverso il noto servizio di abbreviazione di indirizzi web Bitly con cui gli attaccanti aggiravano eventuali filtri antispam e nello stesso tempo tenevano traccia dei target (ogni link conteneva codificato nome e email della vittima).

Siccome però gli account aperti su Bitly dagli hacker non erano in modalità privata, la società di sicurezza Secure Works - che da tempo sta dietro alle tracce di Fancy Bear - a un certo punto è stata in grado di monitorarli, dopo essere arrivata a uno degli account Bitly risalendo fino a lì da un dominio controllato dagli hacker. E ne ha progressivamente ricostruito, come in un puzzle, gli attacchi e i target. SecureWorks ha visto ad esempio che il gruppo ha creato 213 link (abbreviati) che miravano a 108 indirizzi email del dominio Hillaryclinton.com. E studiando i link sono risaliti anche all’attacco mosso a Colin Powell che ha poi portato alla pubblicazione di sue email.

O a William Rinehart, membro dello staff Clinton. Nel marzo 2016 Rinehart avrebbe ricevuto una mail che sembrava un avviso di sicurezza, un alert di Gmail, in cui gli si chiedeva di cambiare la password con un link (consiglio: mai cliccare su link di mail di questo genere, ma andare sempre sul sito digitandolo nel browser). Sempre nel marzo 2016 anche John Podesta riceveva un alert simile. Il braccio destro della Clinton avrebbe cliccato sul link e immesso le proprie credenziali in un finto sito Gmail regalandole di fatto agli attaccanti.

Non sappiamo quando gli hacker abbiano preso le email e a chi le abbiano girate. Sta di fatto che mesi dopo, cioè pochi giorni fa, il 9 ottobre, WikiLeaks ha iniziato a pubblicare migliaia di email di Podesta. Così come aveva pubblicato quelle del Comitato nazionale democratico. Mentre le email di Powell erano finite sul sito DC Leaks, collegato all’hacker di nome Guccifer 2.0 che aveva rivendicato anche gli attacchi al Comitato nazionale democratico. Che diceva di essere indipendente e rumeno. Ma che molti osservatori considerano solo una manovra diversiva dei russi.

Prime avvisaglie
L’Fbi aveva avvisato il Comitato nazionale democratico di esaminare i propri sistemi già nell’autunno 2015. Ma solo a maggio il Comitato si era rivolto alla società di sicurezza Crowdstrike che aveva scoperto la presenza nella loro rete di ben due gruppi di hacker russi, Cozy Bear (Apt29) e Fancy Bear (Apt28), Apt sta per Advanced Persistent Threat, un gruppo in grado di compiere attacchi mirati e avanzati (ne abbiamo parlato qua). Per Crowdstrike e altri, Cozy Bear sarebbe ascrivibile al FSB, cioè l’ex Kgb; mentre Fancy Bear sarebbe l’intelligence militare GRU. In ogni caso sarebbe coinvolta Mosca. Ad aprile qualcuno registrava il sito DC Leaks, a giugno nasceva l’associato profilo Twitter.

E sempre a giugno la notizia di una violazione del Comitato nazionale democratico usciva infine sul Washington Post. Il giorno dopo nasceva anche un sito creato da un misterioso hacker di nome Guccifer 2.0 che rilasciava dei documenti del Comitato, dicendo di essere rumeno (ipotesi contestata da vari indizi raccolti dai giornalisti) e di aver dato migliaia di file a Wikileaks. Che ha poi pubblicato migliaia di email provenienti dal Comitato nazionale democratico e che sta rilasciando ora quelle - migliaia - di Podesta. Una delle prime conseguenze della pubblicazione, a luglio, sono state le dimissioni della presidente del Comitato nazionale democratico Debbie Schultz, accusata di aver favorito la Clinton su Bernie Sanders. Ad agosto sono pure comparsi degli hacker che vendevano online le armi digitali sottratte alla Nsa.

Tutte queste vicende hanno surriscaldato soprattutto i rapporti fra Washington e Mosca portando ad alcune prese di posizione senza precedenti. Come la dichiarazione, di pochi giorni fa, del Dipartimento Usa della sicurezza interna e del direttore dell’intelligence nazionale: si dicono sicuri che dietro gli attacchi ci sia il governo di Mosca e che l’intento degli attaccanti sia di influenzare il processo elettorale. O come le voci della preparazione di una possibile ritorsione americana.