mercoledì 31 maggio 2017

Shadow Brokers vendono nuovi cyberattacchi Nsa (entro luglio)

lastampa.it
carola frediani

Il gruppo che ha rubato le cyberarmi americane muove i suoi soldi e mette in vendita ulteriori vulnerabilità. E c’è chi teme nuove Wannacry per quest’estate

Potrebbe annunciarsi un luglio di fuoco per la sicurezza informatica. Perché nuove vulnerabilità del software e i relativi codici per attaccarle potrebbero essere rilasciati ancora una volta dagli Shadow Brokers. 

Stiamo parlando di quella entità misteriosa che da mesi sta diffondendo una parte dell’arsenale digitale dell’intelligence americana, molto probabilmente della National Security Agency (Nsa). Proprio uno di questi attacchi - un exploit di nome Eternalbue che sfruttava una vulnerabilità di un software usato su sistemi Windows, reso disponibile per chiunque online ad aprile dagli Shadow Brokers - ha prodotto il disastro di Wannacry, il virus del riscatto che si propagava via rete e che ha mandato in tilt ospedali e aziende in molti Paesi.

I dettagli su come comprare nuovi attacchi
Bene, ieri gli Shadow Brokers sono tornati a farsi vivi in due modi. Da un lato hanno iniziato a muovere i soldi raccolti finora da chi sperava di accedere prima di altri a una parte di questo arsenale (ma su questo ci torniamo meglio alla fine); dall’altro hanno svelato i dettagli di un programma di «sottoscrizione» per ricevere un accesso esclusivo a nuovi exploit e strumenti di hacking (sempre sottratti alla Nsa).

Chi fosse interessato a comprarsi queste informazioni in anteprima dovrebbe dunque versare l’equivalente di circa 21.500 dollari su un indirizzo zcash. Zcash è una moneta elettronica simile a bitcoin, ma che vanta un più alto livello di anonimato, come vedremo tra poco. Tutto ciò nel mese di giugno. Chi paga dovrà inserire anche un indirizzo mail per essere ricontattato. Dopodiché tra l’1 e il 17 luglio, gli Shadow Brokers dovrebbero inviare via mail agli «abbonati» un link e una password per accedere a un archivio di dati e strumenti.

Cosa potrebbero rilasciare ancora?
Cosa ci potrebbe essere in questo archivio? Gli Shadow Brokers non lo dicono ora, ma in un post di qualche settimana fa avevano millantato di avere exploit per browser, router e sistemi operativi, tra cui Windows 10; dati sulla compromissione di banche; e perfino su programmi nucleari di alcuni Stati come Cina, Corea del Nord, Iran e Russia. Anche se non tutto quello che dicono va preso come oro colato - nel senso che è evidente in tutta la loro vicenda un alto livello di mistificazione - vero è che fino ad oggi hanno davvero rilasciato exploit e strumenti molto dannosi. Tanto dannosi da aver innescato indirettamente la crisi di Wannacry.

Chi potrebbe essere interessato a pagare questa cifra?
Secondo il messaggio pubblicato dagli stessi Shadow Brokers (e firmato crittograficamente, a riprova che si tratta sempre dello stesso soggetto), si tratta di materiale per hacker, aziende di sicurezza, governi, produttori di dispositivi. Insomma chi potrebbe essere disposto a tutelarsi e «patchare», ovvero chiudere una falla, in tempo, prima che si diffondano massive campagne di malware alla Wannacry. Ma anche attori malevoli potrebbero essere interessati. Senza contare che a un certo punto questi strumenti potrebbero essere messi online direttamente, come già successo.

Il rischio di un altro Wannacry è reale
«Non credo che ci sarà chi è disposto a pagare», commenta a La Stampa Jake Williams, noto esperto di cybersicurezza, con un passato in agenzie governative Usa, che ha seguito da vicino gli Shadow Brokers al punto da avere ricevuto anche la loro attenzione. «Detto ciò, penso che le possibilità che siano rilasciati ulteriori exploit siano alte. E se questi exploit non sono stati già “patchati” da Microsoft, è altamente probabile che vedremo un nuovo worm (un software malevolo che si diffonde via rete, ndr) alla Wannacry.

Tra l’altro in quel caso le organizzazioni hanno avuto due mesi di tempo per tappare la falla prima della comparsa di Wannacry (Microsoft aveva rilasciato un aggiornamento a marzo, gli Shadow Brokers hanno rilasciato l’expoit ad aprile, Wannacry, che usa quell’exploit, è comparso a maggio, ndr). Immagina -, prosegue Williams, - se ci fosse un worm basato su un altro exploit Nsa per cui non sia disponibile una patch? I risultati sarebbero catastrofici».

Senza contare la possibilità che questi strumenti vengano usati in modo più silenzioso e quindi subdolo, non per chiedere riscatti ma per spiare. «É probabile che gli strumenti già rilasciati così come quelli che verranno siano usati anche per rubare o modificare dati silenziosamente», commenta a La Stampa un altro ricercatore di sicurezza internazionale, Matthieu Suiche, che ha seguito sia Wannacry sia gli Shadow Brokers. «Pensa a Wannacry ma senza il pop-up che ti chiede i soldi».

Shadow Brokers: come è iniziato tutto?
In attesa di capire cosa potrebbe succedere, resta la domanda su chi siano davvero questi Shadow Brokers, quali siano le loro motivazioni e come abbiano fatto ad ottenere le armi digitali della Nsa. Su tutte queste domande ci sono zero certezze e anche pochi indizi. Sappiamo che gli Shadow Brokers sono comparsi online lo scorso agosto, spiegando di avere sottratto le armi digitali di Equation Group, il nome dato da ricercatori di sicurezza a un gruppo di hacker statali riconducibili di fatto all’americana Nsa. Gli Shadow Brokers inizialmente hanno lanciato un’asta pubblica in bitcoin per questi strumenti, che però non è andata a buon fine (anche perché avevano sparato alto: le offerte dovevano arrivare a 1 milione di bitcoin, equivalenti allora a circa 560 milioni di dollari). 

Nel mentre hanno raggranellato comunque, sul loro indirizzo bitcoin, l’equivalente di 24mila dollari (10,5 btc). Da agosto ad oggi, hanno poi rilasciato online una parte del loro arsenale digitale: exploit e strumenti di hacking per router, mail server, Windows, e dati sulla compromissione di banche. Secondo un’analisi del crittografo Bruce Schneier, si tratta di materiali del 2013 o giù di lì che potrebbero essere stati trafugati da server usati dalla Nsa per le sue operazioni: ovvero da macchine non direttamente di proprietà della Nsa ma da lei controllate (magari perché compromesse).

In questa ipotesi, in estrema sintesi, gli Shadow Brokers avrebbero hackerato i server usati dalla Nsa per hackerare a sua volta. Ma tra le ipotesi in campo c’è anche la fuga di dati da insider (o da spie). O che un dipendente della Nsa abbia fatto uscire questi materiali e sia stato poi hackerato (come il contractor Harold Martin, arrestato ad agosto per essersi portato a casa una tonnellata di materiale classificato, anche se non sembra essere stato accusato del leak). 

Ad ogni modo chi potrebbero essere questi Shadow Brokers?
«Gli zero-days SMB (gli attacchi ancora sconosciuti, poi rilasciati da The Shadow Brokers, ndr) potevano valere fino a un milione di dollari ciascuno nel mercato degli exploit», commenta ancora Williams. «Gli Shadow Brokers hanno indicato l’esistenza di questi file a gennaio e poi li hanno pubblicati ad aprile solo dopo che sono state diffuse le patch. Se fossero davvero interessati ai soldi non avrebbero mai rivelato gli exploit. Inoltre, secondo il Washington Post, proprio le informazioni inizialmente diffuse dal gruppo hanno indotto la Nsa ad avvisare Microsoft a gennaio, in modo da avere il tempo di patchare. Per tutti questi motivi penso che Shadow Brokers siano quasi certamente una intelligence straniera. I soldi non sono il loro movente».

Di una opinione simile sembrano essere anche altri esperti di sicurezza informatica, come il già citato Schneier, che ha ipotizzato il coinvolgimento di Paesi come la Russia o la Cina. Va anche ricordato il penultimo messaggio pubblicato da the Shadow Brokers, dove questi hanno rivendicato il fatto di essere stati «responsabili», per così dire, e di aver aspettato a diffondere l’exploit; hanno specificato che loro non fanno ricatti (come dire: non siamo noi ad aver fatto e diffuso Wannacry); e hanno ribadito di prendersela con avversari sul loro stesso piano. Perché – concetto ribadito in tutte le salse - «riguarda sempre The Shadow Brokers contro The Equation Group».

E i soldi?
Se le ipotesi sulla loro identità restano aleatorie, molti stanno seguendo i (pochi) soldi arrivati sull’indirizzo bitcoin diffuso da The Shadow Brokers. Per la prima volta, ieri, questi sono stati mossi: da quell’unico indirizzo i bitcoin hanno cominciato a spostarsi su più indirizzi, frammentandosi in cifre minori (qui da dove sono partiti ). Potrebbe essere l’inizio di ulteriori scomposizioni (in corso mentre scriviamo) che portino poi a un mixer, un servizio di lavatrice, che serve ad offuscare la tracciabilità dei bitcoin rimescolandoli con altri.

«Ci sono vari metodi di funzionamento dei mixer: alcuni consistono anche semplicemente nel depositare il tutto dentro un indirizzo, cioè, tutti gli utenti depositano dentro ad un solo indirizzo», commenta a La Stampa Franco Cimatti, presidente della Bitcoin Foundation in Italia. «Poi i bitcoin escono in quantità diverse, in tempi diversi, cosi non si sa di chi siano. Il mixing però funziona per piccole cifre, e se non sei uno ricercato dai servizi segreti».

In ogni caso, il nuovo servizio in «abbonamento» di The Shadow Brokers è passato a zcash. «Questa moneta non ha bisogno di mixer perché nasconde già la tracciabilità delle transazioni», spiega ancora Cimatti. «Anche se potrebbe presentare altri problemi rispetto a bitcoin, potrebbe avere dei bug nel funzionamento più difficili da individuare».

Questo per spiegare come e se tracciare i soldi di The Shadow Brokers. Sempre che siano ancora loro ad avere in mano la chiave privata di quell’indirizzo. Perché se i soldi non sono il movente - e in effetti pare improbabile - e i rischi di incassare quei bitcoin restano alti, allora anche questi movimenti potrebbero essere frutto di una strategia diversiva.