sabato 24 dicembre 2016

“Gli hacker dei Democratici Usa hanno anche colpito l’artiglieria ucraina”. Con una app Android

La Stampa
carola frediani

Lo stesso gruppo dietro la violazione del Comitato nazionale democratico avrebbe condotto operazioni di cyberguerriglia in Ucraina. Lo sostiene la società che indaga sull’attacco ai Democratici



Ci sarebbe un collegamento tra l’attacco informatico al Partito democratico americano della scorsa estate e una specifica app Android hackerata e usata per spiare l’artiglieria ucraina. Il bizzarro accostamento è stato tracciato da un rapporto della società di cybersicurezza americana Crowdstrike. Si tratta della stessa azienda - guidata dall’americano-russo Dmitri Alperovitch, lunga esperienza nelle indagini su cyberspionaggio, dai tempi degli attacchi cinesi a Google nel 2010 - chiamata a investigare le tracce lasciate dagli hacker che hanno violato i server del Comitato nazionale democratico, l’organo di governo del partito di Hillary Clinton, oltre che il Comitato per la campagna elettorale al Congresso dello stesso partito (DCCC), e le mail di vari suoi esponenti.

IL COLLEGAMENTO COL CONFLITTO IN UCRAINA
Come abbiamo scritto in passato, da quella violazione sono scaturite una serie di accuse sempre più ufficiali da parte americana nei confronti della Russia, sospettata di essere il mandante dell’operazione. Tanto che recentemente perfino la Cia - e, dopo una prima esitazione, anche l’Fbi - sono arrivate al punto di sostenere non solo che la mano sia russa, ma che l’obiettivo fosse proprio di favorire il candidato Trump. Tesi veementemente respinta sia dal presidente eletto che da Putin.

Sta di fatto che collegare l’attacco al Comitato nazionale democratico a un’operazione di cyberguerriglia sul campo contro l’artiglieria ucraina, quindi a un’operazione di probabile origine militare russa, significa avallare ancora di più la tesi che dietro le disavventure digitali dei Democratici ci sia il Cremlino. E questo è proprio l’intento del rapporto pubblicato da Crowdstrike. Anche se c’è chi lo critica, questo rapporto, ritenendole debole. A partire da quei militari ucraini che hanno realizzato l’app Android originaria e che La Stampa ha raggiunto. Ma andiamo con ordine.

L’APP DEI MILITARI UCRAINI
Nel 2013 Yaroslav Sherstuk, un militare della 55esima brigata di artiglieria ucraina, sviluppa a titolo personale una app per Android, Попр-Д30.apk, la cui funzione è di velocizzare le operazioni di puntamento degli obici D-30 usati dall’esercito ucraino contro i separatisti filorussi nell’est del Paese. La diffonde informalmente a partire da alcune pagine sui social media, anche se come vedremo la distribuzione è apparentemente molto controllata. Secondo una intervista rilasciata all’epoca dallo stesso Sherstuk, oltre 9mila militari avrebbero usato l’app.



LA VERSIONE MALEVOLA DELL’APP
Ora, il report pubblicato nei giorni scorsi da Crowdstrike sostiene che fra il 2014 e il 2016 un gruppo di hacker russi, noti come Fancy Bear (altri li chiamano APT28, ne abbiamo scritto qua), abbia distribuito attraverso dei forum militari ucraini quella stessa app, ma modificata in modo da infettare i dispositivi su cui si trovava, spiarne le comunicazioni ed eventualmente geolocalizzarli. Il che, arriva a ipotizzare il report, potrebbe aver contribuito a spazzare via quel tipo di obici da parte dei filorussi, dal momento che, secondo alcuni studi, in due anni di conflitto l’artiglieria ucraina avrebbe perso più dell’80 per cento degli obici D-30 contro il 50 per cento del resto dell’artiglieria.

Crowdstrike dice anche che il malware usato nella app sarebbe una versione modificata per il mobile (e la prima rinvenuta per Android) di una famiglia di sofware malevoli usati da uno specifico gruppo di hacker russi, APT28 o Fancy Bear. Gli stessi individuati da Crowdstrike nell’attacco al Comitato nazionale democratico. Allora la società di cybersicurezza californiana aveva attribuito l’incursione nei computer democratici a due gruppi specifici di hacker russi: Cozy Bear (o APT29) e Fancy Bear (APT28). Ma si era spinta anche più in là, affermando che Cozy Bear era legato all’Fsb (i servizi segreti interni russi, eredi del Kgb), e Fancy Bear al Gru, i servizi segreti militari. E che proprio Fancy Bear avrebbe sottratto e diffuso le email e i documenti dei democratici. Ora collegare Fancy Bear a un’operazione di cyberspionaggio contro i militari ucraini rafforzerebbe l’ipotesi che dietro al gruppo ci sia il governo russo.

I DUBBI
Tuttavia il creatore originario della app, Yaroslav Sherstuk, non sembra affatto convinto del report di Crowdstrike, tanto da pubblicare un post su Facebook in cui lo definisce delirante. Sherstuk sostiene infatti che la distribuzione della app sarebbe stata controllata da lui stesso. E in effetti in un vecchio suo post su una delle pagine della app specificava, a chi gli chiedeva come scaricarla, di scrivergli in privato. Sherstuk non ha rilasciato dichiarazioni a La Stampa, ma abbiamo raggiunto Sergey Ivanonv, un altro militare ucraino, che ha lavorato con lui a uno dei passati aggiornamenti della app (come si vede anche da qua).

“Non c’è nessuna prova che l’app sia stata hackerata o che la versione hackerata sia stata usata dai militari ucraini”, commenta Ivanov a La Stampa. “L’applicazione è distribuita solo all’interno delle forze ucraine”, ha aggiunto, senza però spiegarci in dettaglio come effettivamente veniva diffusa.
Anche Jeffrey Carr, esperto internazionale di cyberguerriglia, organizzatore della conferenza Spooks and Suits, interpellato da La Stampa, appare perplesso. “L’obiezione dello sviluppatore in effetti mostra un problema con l’attribuzione dell’operazione a Gru, perché dei militari russi avrebbero saputo che la distribuzione di una app malevola indirizzata all’esercito ucraino attraverso una pagina social non poteva funzionare”.

Stefano Maccaglia, consulente dell’azienda di cybersicurezza Rsa ed esperto di APT28, ritiene invece che la distribuzione possa essere avvenuta in modi più creativi. “Se gli attaccanti russi controllavano una rete locale, ad esempio una rete wireless, potevano essere in grado di deviare gli utenti su un sito diverso (all’apparenza come l’originale) contenente la versione malevola della app e forzare un aggiornamento (anche avvisando la vittima di aggiornare) dell’applicazione”, commenta a La Stampa. Abbiamo contattato Crowstrike per chiarimenti su questo e altri aspetti ma non abbiamo ricevuto risposta.

UCRAINA CAMPO DI CYBER-CONFLITTI
Di sicuro, c’è che l’Ucraina negli ultimi anni è stato un campo di battaglia anche digitale. Avevamo raccontato qua del cyberattacco che il 23 dicembre 2015 aveva tolto la corrente per alcune ore a oltre 200mila residenti in una regione del Paese. Ora le autorità starebbero investigando un altro blackout, avvenuto pochi giorni fa a Kiev: il sospetto è che possa essere stata di nuovo una incursione informatica. “Con una guerra in corso, c’è e ci sarà molto hacking in parallelo”; commenta a La Stampa Kenneth Geers, del Cooperative Cyber Defence Centre of Excellence della Nato. “E quello più avanzato copre tutti i settori della sicurezza nazionale: operazioni politiche, di spionaggio e militari”.