mercoledì 22 febbraio 2017

Gli hacker russi avrebbero usato codice italiano per i loro attacchi

lastampa.it
carola frediani

Secondo un ricercatore, il gruppo di cyberspie APT28 avrebbe copiato il codice della società Hacking Team per colpire i Mac. Ma l’azienda milanese è scettica

Il più famoso e controverso gruppo di hacker, noto come APT28, di probabile origine russa, potrebbe aver copiato del codice di una nota azienda italiana, Hacking Team, per completare il proprio sistema di intrusione contro i Mac. Codice che era disponibile online a seguito del leak - la fuga di dati causata a sua volta da un attacco informatico - subito dalla società milanese nel luglio 2015.

A sostenerlo è un noto ricercatore internazionale di sicurezza, Patrick Wardle, già in passato alla Nasa, alla Nsa, e oggi a capo della ricerca dell’azienda Synack, ma soprattutto esperto di software malevoli per i sistemi operativi di Apple. Wardle nei giorni scorsi aveva iniziato a illustrare la sua tesi con alcuni giornalisti (inclusa La Stampa), ed è poi uscito con un articolo al riguardo in cui spiega la presunta e bizzarra connessione fra una porzione del software realizzato da Hacking Team e quello poi implementato da APT28. Ricordiamo che APT28 (chiamato anche con molti altri nomi, come Sofacy eFancy Bear) è da tempo uno dei gruppi di hacker più noti sulla scena internazionale, considerato di probabile origine russa.

Alcuni lo reputano sponsorizzato direttamente da Mosca. Mentre la società Crowdstrike, che ha effettuato l’analisi dell’attacco al Comitato nazionale democratico della scorsa estate, si è spinta a definirlo addirittura una emanazione del GRU, i servizi segreti militari russi, pur senza mostrare elementi precisi al riguardo. Ad ogni modo per il governo Usa, Crowdstrike e altri ricercatori, APT28 sarebbe responsabile degli attacchi subiti dai Democratici americani. Ma la sua sigla è stata tirata in ballo anche per una serie di incursioni che avrebbero interessato, negli ultimi tre anni, diversi ministeri e istituzioni italiane, come la Difesa, gli Esteri, la Marina, l’Aeronautica.

E altri Paesi europei, come la Germania, avrebbero espresso preoccupazione per le sue attività di cyberspionaggio. Ora, almeno secondo la tesi di Wardle, proprio APT28 avrebbe approfittato del codice (finito online) di Hacking Team - società milanese che produce da anni spyware, software di intrusione e sorveglianza, per governi - per copiarlo, riadattarlo e realizzare una parte del suo malware per Mac. Malware denominato XagentOSX/Komplex.B e scoperto pochi giorni fa da altre società di sicurezza (di cui abbiamo dato i dettagli qua).

Il 14 febbraio infatti l’azienda BitDefender ha pubblicato un articolo su questo specifico software malevolo per computer Apple, capace di «avanzate capacità di cyberspionaggio», associandolo ad APT28. Poco dopo un’altra azienda, PaloAlto Networks, pubblica ulteriori dettagli tecnici. Tuttavia Wardle nota che non è stata analizzata una parte specifica del software malevolo, che riguarda l’iniezione (o inoculazione) di codice (injection code).

«L’iniezione del codice è una tecnica per inserire in coda a dei dati delle nuove istruzioni che prendono il posto di quelle originali», spiega a La Stampa Andrea Ghirardini, esperto di informatica forense. Una tecnica che serve per caricare del codice all’interno di altri processi. Wardle decide quindi di occuparsene partendo dagli elementi ormai a disposizione. A quel punto si accorge delle somiglianze fra il codice di Hacking Team e la tecnica di iniezione del malware per Mac appena scoperto, e attribuito ad APT28.

Somiglianza che secondo Wardle non sarebbe casuale. Gli hacker di APT28 avrebbero usato esattamente lo stesso codice realizzato dagli sviluppatori italiani. Per gli aspetti più tecnici rimandiamo all’articolo di Wardle, ma in sostanza il ricercatore americano ritiene che ci sarebbero degli indizi molto forti. Alcuni “errori” (nel senso di bachi) sarebbero passati direttamente dal codice online di Hacking Team a quello dei russi (o presunti tali). E alcune parti del codice originario sarebbero state eliminate da APT28 perché non necessarie, ma nell’operazione sarebbero rimaste delle incongruenze, derivanti proprio dal copia-e-incolla.

«Sono sicuro al 100 per cento che si tratti dello stesso codice», commenta Wardle a La Stampa. «E penso che i russi lo abbiano copiato dal leak online perché hanno rimosso del codice di cui non avevano bisogno mentre hanno lasciato dei pezzi che non hanno senso per loro».

Contattata al riguardo da La Stampa, Hacking Team, attraverso un suo portavoce, commenta con molto scetticismo le affermazioni di Wardle. «Il gruppo di hacker conosciuto con il nome di APT28 sembra sia l’autore dei più importanti attacchi hacker a livello mondiale e pare essere al servizio del governo russo; in ogni caso le performance del gruppo evidenziano una grande disponibilità di risorse economiche e tecnologiche, e di strumenti sicuramente superiori al software di Hacking Team pubblicato da WikiLeaks, codice diventato inutilizzabile e inefficace già nella prima settimana di luglio 2015» ha comunicato l’azienda italiana via mail.

«Infatti, già nei giorni successivi all’attacco hacker subito dalla società, tutti i produttori di software hanno potuto leggere il codice di Hacking Team e aggiornare i sistemi operativi per neutralizzarlo, come risulta dalle verifiche effettuate dalla società dopo l’hackeraggio. Alla luce di questa premessa, Hacking Team ritiene assurdo che APT28 possa aver utilizzato per le sue recenti azioni il software della società reso pubblico dopo l’hackeraggio del luglio 2015».

In passato era già successo che alcuni hacker avessero provato a sfruttare delle parti di quel leak per i propri attacchi, ma era avvenuto quasi in concomitanza con l’attacco del 2015. Ad esempio, una vulnerabilità per Flash ancora sconosciuta, e usata dall’azienda italiana, era stata subito impiegata da alcuni malware, mentre Adobe correva a rilasciare un aggiornamento del suo software.