Cyberspionaggio

0

Il tema Cyberspionaggio continua ad essere all’attenzione dei media. E’ solo di pochi giorni or sono la vicenda di Hacking team, l’azienda IT italiana, produttrice di un prodotto di sorveglianza (ma che, tecnicamente, rimane un malware), che prestava servizio per svariate istituzioni italiane, e che è stata bucata da un gruppo di cracker.
Negli stessi giorni i laboratori di ricerca di Eset, una nota azienda slovacca produttrice dell’antivirus Nod32 e di software di sicurezza, ha pubblicato una ricerca su un nuovo malware in grado di controllare a distanza i computer infettati, anche questo molto probabilmente sponsorizzato da governi nazionali.

Il nuovo spyware è stato isolato lo scorso anno in Iran, e l’analisi tecnica lascia supporre che faccia parte di una famiglia di prodotti denominati Animal Farm (la fattoria degli animali), assieme a Casper, Bunny e Babar, altri prodotti di cyberspionaggio. Casper, ad esempio, è stato utilizzato per un imponente attacco a computer siriani. L’ultimo isolato, denominato Dino, sembrerebbe avere caratteristiche tecniche innovative, mentre l’organizzazione del codice tradirebbe una origine francofona dei suoi sviluppatori. Circostanza che confermerebbe le analisi di altre organizzazioni – se ne parla anche nei documenti wikileaks – che sembrerebbero ricondurre gli altri membri della fattoria degli animali ai servizi segreti francesi.

Dal punto di vista tecnico è una backdoor, cioè un programma in grado di dare un accesso segreto ad un computer, costruita in modo modulare. Risiede normalmente in memoria, ed è in grado di sopravvivere ai riavvii del sistema operativo grazie ad un modulo di persistenza che utilizza un piccolo file cifrato memorizzato sul disco fisso. In questo modo riduce al minimo la possibilità di essere scoperta. Eset è stata anche in grado di individuare la chiave che consente la decrittazione del file.

La backdoor consente di eseguire dei comandi da remoto: pare che quelli di Dino siano particolarmente sofisticati, e focalizzati sull’analisi di file e documenti. Il linguaggio di ricerca, infatti, è in grado di utilizzare filtri molto dettagliati, in modo da renderne più efficiente l’uso. C’è da tenere presente, infatti, che uno dei metodi più efficaci per individuare la presenza di malware deriva dall’analisi del traffico internet che il codice spia genera. Per mantenere l’ncognito è quindi fondamentale ridurre al minimo le comunicazioni.
Altre funzioni sembrano invece mediate direttamente da altri componenti del gruppo de la fattoria degli animali.

Le tracce che portano alla Francia sono varie: la prima è il codice di lingua dei file binari, che nelle prime versioni del malware era 1036, che corrisponde al francese della Francia. Successivamente è stato modificato in inglese (USA), quasi a correggere una svista delle prime versioni. Un secondo elemento è costituito dai riferimenti interni a delle librerie di codice standard, che sono tutti in francese.

Sembrano quindi sensate le ipotesi di Joan Calvet, il ricercatore di Eset autore dello studio, che pur non essendovi una prova diretta del legame fra lo spyware Dino e l’intelligence francese, è probabile che i cugini d’oltralpe cerchino di giocare sullo scacchiere internazionale un ruolo analogo a quello della NSA statunitense e di GCHQ britannico.

In questo quadro si innesta anche la vicenda di Hacking Team e della sottrazione di oltre 400GByte di dati riservati. La vicenda è ancora avvolta dalla nebbia, e sicuramente ci vorrà del tempo per sapere cosa sia realmente successo. E’ in ogni caso molto preoccupante che, nel frattempo, la loro tecnologia è diventata di pubblico dominio: molti dei loro codici sorgenti sono addirittura finita su github, il servizio pubblico largamente utilizzato dai programmatori per condividere il proprio codice on-line.

E’ forse inutile sottolineare come questo tipo di software è a tutti gli effetti un equivalente tecnologico delle armi. Alla stregua di queste, dovrebbero essere utilizzate nell’interesse della collettività: potenzialmente potrebbero avere un impatto devastante qualora finissero nelle mani sbagliate.

Per i curiosi, una analisi tecnica del funzionamento di Dino è disponibile in questo post.

La foto è di Robbert van der Steeg

 

Condividi:

L'autore

Consulente Informatico, blogger, problem solver, radioamatore. Ho iniziato la mia attività nel 1977 sviluppando sistemi di calcolo nell'area energie alternative e rinnovabili e da allora mi sono sempre interressato delle frontiere della tecnologia. Nel 1984 sono stato fra i pionieri delle BBS, i primi servizi telematici pubblici, e l'anno successivo ho portato in Italia Fidonet, la prima rete pubblica mondiale, che ho coordinato sino al 1994. Sono attivamente su Internet agli inizi degli anni 90, Nel 1998 sono stato fra i primi a credere nella convergenza digitale, arricchendo internet con materiale multimediale, come audio e video, anni prima del Web 2.0. Continuo da sempre ad occuparmi di informatica e di tecnologia con un occhio attento al futuro che ci attende. Continuo a lavorare come consulente informatico, con una specifica competenza in sicurezza, reti di comunicazione, sistemi operativi e tecnologie di virtualizzazione.

Lascia un commento