Recentemente gli Stati Uniti sono stati colpiti da due degli attacchi hacker più invadenti e pericolosi che siano mai stati registrati negli annali della tecnologia digitale. Episodi di una rilevanza tale da giustificare indagini che richiederanno anni di lavoro e che probabilmente non riusciranno mai a quantificare tutti i danni subiti dal Governo e dalle molte aziende private che si sono trovate malauguratamente trovate coinvolte.
Si tratta i due vicende emerse consecutivamente e dal peso cataclismatico, tuttavia se n’è parlato relativamente poco, dettaglio che dimostra una progressiva normalizzazione delle fughe di dati, ma anche il desiderio di non fornire visibilità agli aspetti critici di un sistema di cyberspionaggi da cui ormai è molto difficile difendersi.
Nella speranza di agevolare la discussione, ripercorriamo le dinamiche dei due incidenti e affrontiamo il mondo di guerre cibernetiche che ci ha condotti su questo percorso impervio e pieno di buche.
Il caso SolarWinds
Nel 2016 degli hacker sponsorizzati da una nazione straniera – la Russia, secondo gli investigatori americani – erano stati in grado di scombussolare le elezioni statunitensi, facendo di tutto perché a essere eletto fosse il tanto controverso Donald Trump.
I giornali titolarono lo scandalo con l’epiteto “Russiagate“, un nome pacchiano che ha spinto molti a pensare che le testate si stessero semplicemente lanciando nel solito sensazionalismo becero e un po’ propagandistico che aiuta a guadagnarsi molti click.
Questa volta la storia non era campata per aria, non era una “caccia alle streghe”, l’Intelligence e la commissione USA hanno riconosciuto esplicitamente come “la Russia fosse dietro alle elezioni di Trump”, tuttavia risalire alla gerarchia dello spionaggio digitale è sempre molto complesso, in più alcuni fedelissimi di Trump hanno fatto di tutto per inquinare le indagini, con il risultato che la faccenda sia semplicemente sfumata nel nulla.
Secondo le carte, la Russia ha manipolato la democrazia statunitense, ma nessuno poteva essere incolpato per i vari crimini che sono stati ventilati.
Gli USA, nel pieno di un panorama politico alquanto torbido, hanno però avanzato una solenne promessa: un abominio simile non sarebbe mai più ricapitato.
In occasione delle elezioni del 2020 i controlli sono stati alzati ai massimi livelli e nessuna forza estera è riuscita a intromettersi per invalidare la credibilità del processo democratico di transizione. Si sono sviluppati altri disagi, certo, ma quelli sono nati da una follia distruttiva autoctona.
Proprio nel dicembre del 2020, quando tutti gli occhi del mondo erano rivolti alla sfida Trump-Biden, è emerso però un altro attacco hacker, uno che ha colpito praticamente ovunque, meno che i candidati presidenziali.
Il Dipartimento del Commercio, quello dell’Energia, della Difesa, della Giustizia, dello Stato, del Tesoro, dell’Agricoltura, della Salute, della Sicurezza Nazionale e del Lavoro hanno tutti subito infiltrazioni. A questi vanno aggiunti l’ufficio amministrativo delle Corti statunitensi – la “magistratura” a stelle e strisce – e, presumibilmente, anche la NASA e la Federal Aviation Administration (FAA).
Un disastro, certo, ma i cybercriminali non si sono fermati lì e hanno raggiunto anche diverse aziende private, tra le quali spiccano Malwarebytes, Nvidia, Belkin e, soprattutto, Microsoft, la quale si è trovata le spie straniere a consultare liberamente il suo codice sorgente.
Il panorama degli accadimenti non è ancora del tutto chiaro, ma quello che è certo è che un ruolo vitale nella faccenda l’abbia avuto SolarWinds, un’azienda specializzata in software di network managing che è stata adoperata a sua insaputa come cavallo di Troia attraverso cui penetrare i sistemi dei suoi clienti.
Il software compromesso, Orion, ha una funzione tecnica noiosa, marginale, ma anche molto importante, ovvero monitora la situazione dei network aziendali in tempo reale, un servizio di cui abbisognano un’infinità di organizzazioni e che spesso viene delegato ad aziende terze. Aziende che, immancabilmente, sono più vulnerabili agli attacchi cibernetici e alle fughe di dati.
L’attacco inferto attraverso SolarWinds è stato intercettato quasi per caso: un’azienda di cybersecurity californiana, la FireEye, ha notato un accesso ai sistemi sospetto e ha avviato i controlli di routine, capendo velocemente che il malware fosse una costola tumorale del programma di servizio.
Da allora sono partiti controlli a tappeto, controlli che vanno avanti da più di tre mesi, ma che hanno sondato solamente la punta di un immenso iceberg. Attualmente si sospetta che il grosso dell’operazione di cyberspionaggio sia avvenuta durante gli ultimi otto o nove mesi dell’Amministrazione Trump.
Gli hacker avrebbero iniziato la loro operazione con calma, metodicamente, per poi accelerare con foga nel periodo pre-elettorale, periodo che, fatalmente, vedeva la Cybersecurity and Infrastructure Security Agency (CISA) e la Department of Home Security (DHS) immerse in un caos gerarchico generato dai licenziamenti dell’allora Presidente.
Vecchie indagini dell’FBI hanno rivelato che i dati di accesso a SolarWinds erano emersi sulla Rete già a partire dal 2017, una criticità che potrebbe aver portato nel tempo alla situazione catastrofica in cui verte ora l’intero network statunitense, ma che non ne sembra essere la causa diretta.
Per quanto riguarda gli hacker russi, la teoria dominante è infatti quella che li vede mettersi in moto il 4 settembre 2019, applicando strategie “molto sofisticate” che gli hanno permesso di intromettersi in un update di Orion senza che l’azienda tech potesse intercettarli.
Il risultato è a questo punto noto: un attacco hacker che è durato per diversi mesi, che ha intercettato importanti documenti riservati, che ha forse creato delle pericolose backdoor e di cui forse non si comprenderà mai la vera portata.
Il disastro discreto di Microsoft Exchange
In occasione del caso SolarWinds, quando tutti puntavano il dito contro la Russia, il Presidente degli Stati Uniti proteggeva il Governo di Mosca, deflettendo – senza prove alla mano – la responsabilità sulla Cina. L’atteggiamento della Casa Bianca è stato tanto provocatorio da spingere il Ministro degli Esteri cinese a pubblicare a inizio febbraio una dichiarazione netta e precisa: “la Cina si oppone con risolutezza e combatte ogni forma di cyberattacco e furto di dati”.
Marzo 2021, a un mese da uno statement tanto forte, è emerso un ennesimo attacco hacker devastante, questa volta ai danni di Microsoft Exchange Server. Microsoft, in maniera tutt’altro che ambigua, ha stracciato la posizione del Ministro cinese e ha suggerito che dietro alla manovra vi fosse proprio Beijing.
Microsoft Exchange Server è un software di gestione dei server aziendali molto diffuso e apprezzato, viene adoperato da innumerevoli aziende per gestire la posta e i calendari digitali dei vari staff, ottimizzandone la sincronizzazione. Exchange fornisce i suoi servizi con due approcci diversi, a seconda delle necessità del cliente: quello Cloud, preferito dalle grandi aziende, e quello locale, che fa affidamento su server privati. Gli hacker hanno colpito quest’ultima categoria.
Il fatto che il cyberspionaggio si sia infilato in ditte di medie e piccole dimensioni potrebbe esser visto come un elemento positivo, incapace di causare danni comparabili a quelli di SolarWinds, tuttavia bisogna ricordare che questo vuole anche dire che gli attentatori hanno potuto attingere a un bacino notevolmente più vasto.
I cybercriminali sono riusciti a sfruttare una vulnerabilità zero-day di Exchange per infiltrarsi nei server dei clienti Microsoft, ottenendo accesso completo alla lettura e alla modifica della posta virtuale.
Le vittime, stima il The Wall Street Journal, potrebbero essere più di 250.000 e tra queste figurano anche l’italiana Tim Business e, cosa ben più grave, l’Autorità Bancaria Europea.
L’esistenza della vulnerabilità è stata rilevata per la prima volta il 5 gennaio 2021 dall’azienda tech DEVCORE, ma le infiltrazioni effettive hanno iniziato a essere notate solamente a distanza di qualche settimana. A fine gennaio, un’azienda di cybersicurezza nota come Volexity si è accorta che diversi suoi clienti avevano subito infiltrazioni e che il loro unico minimo comun denominatore fosse rappresentato dai servizi di Exchange. Microsoft si è messa immediatamente a lavorare su una patch, in modo da coprire le falle.
Tutto bene, dunque, nulla di apocalittico come quanto si è visto in occasione del caso SolarWinds, giusto? Non proprio. Anche in questo caso restano moltissime incognite e i danni, seppur meno scenografici, non sono affatto da sottovalutare, soprattutto perché l’infiltrazione potrebbe aver colpito il servizio sin dai tempi di Exchange Server 2010, quindi è impossibile dire quanti siano effettivamente stati vittima dell’attacco.
A complicare la situazione, c’è il fatto che i cybercriminali abbiano un canale d’informazione preferenziale che gli permette di anticipare le mosse della Big Tech. Non si sa ancora se si tratti di “talpe” o di spionaggio di altro tipo, resta il fatto che dal momento in cui Microsoft si è iniziata a muovere per creare il fatidico aggiornamento, gli hacker si siano lanciati in un attacco poderoso e smaccato verso ogni server che potevano raggiungere.
Si teorizza che, capendo di aver ancora poco tempo a disposizione per agire indisturbati, abbiano preferito scoprire le carte e lanciarsi su una strategia d’attacco estremamente aggressiva, strategia che ha permesso loro di installare delle “web shell” con cui garantirsi l’accesso ai server colpiti anche qualora venissero aggiornati.
Jen Psaki, addetta stampa della Casa Bianca, lo ha confessato subito: la situazione è preoccupante e potrebbe avere “un impatto molto vasto”. Non scherzava: il Governo USA sostiene non ci siano prove che l’attacco abbia colpito le agenzie governative centrali, tuttavia i poli periferici quali centrali di polizia, ospedali, scuole e attività commerciali sono stati esplorati da cima a fondo.
La manovra ha raggiunto senza troppi ostacoli anche l’Europa, prendendo di mira soprattutto Gran Bretagna e Germania, ovvero le nazioni più influenti del Vecchio Continente. Complessivamente, gli hacker hanno messo le mani su di un bottino capillare e imprevedibile, potenzialmente “1.000 volte più devastante” di quello carpito in occasione del caso SolarWinds, come sottolinea Lior Div, CEO di Cybereason.
La patch che ha tappato la falla di programmazione del servizio, infatti, non è in grado di rimuovere la potente web shell depositata sui server compromessi, inoltre questa può essere facilmente sfruttata e replicata da gruppi di cybercriminali diversi da quelli originari, cosa che si è immediatamente tradotta in un’impennata documentata di attacchi ransomware.
Molti di questi attacchi sono grossolani, quasi raffazzonati, dettaglio che da a intendere che le “chiavi” dei server infetti siano state distribuite ai quattro venti, con molti che sospettano l’obiettivo non fosse tanto quello di rubare informazioni, ma quello di scatenare un pandemonio che bloccasse centinaia di migliaia di piccole aziende, mettendo a soqquadro l’economia occidentale.
Strategia di cyberguerra
In risposta a questi attacchi in rapida successione, l’Amministrazione Biden sta valutando di estendere la cybersorveglianza anche ai propri cittadini, nonché di chiedere maggior supporto dalle agenzie private di cybersicurezza. Due soluzioni che tuttavia non contribuiscono a curare un sistema di guerra dell’informazione tossico e distruttivo, un sistema che invece di essere abbandonato è divenuto parte integrante delle strategie diplomatiche USA.
La strategia di difesa digitale degli Stati Uniti è semplice quanto miope: attaccare, attaccare attaccare.
Secondo a Paul Nakasone, CEO della National Security Agency, questa “difesa attiva” permetterebbe al Paese di prevenire qualsiasi forma di attacco, annichilendola al punto d’origine. Come? Semplice, infiltrandosi per primi nei sistemi informatici degli avversari, senza che una simile manovra sia giustificata da urgenze particolari.
Un simile atteggiamento funzionava alla grande nel 2007, quando Stati Uniti e Israele hanno potuto distruggere le centrifughe di una centrale nucleare iraniana, tuttavia da allora il panorama è molto cambiato e i principali oppositori degli USA hanno sviluppato delle Intelligence digitali raffinate quanto basta per dare grattacapi ai loro nemici.
Non solo, molte delle conoscenze di cyberspionaggio della National Security Agency sono ormai finite in mani pubbliche, sia perché molti ex-dipendenti si sono dati al più remunerativo mercenariato, sia perché alcuni virus digitali sono trapelati in rete e sono stati adoperati da quei poteri che ne sarebbero dovuti cadere vittima.
Ricordate il devastante attacco ransomware WannaCry del 2017? Ebbene, gli hacker nordcoreani avevano quasi sicuramente adoperato una variante di EternalBlue, malware creato proprio dall’NSA, il quale faceva leva su una debolezza di Microsoft che il Governo statunitense si era ben guardato dal notificare alla Big Tech, almeno finché l’exploit non è finita in mani nemiche.
Da qui al futuro
Quindi non resta che fare tabula rasa della tecnologia e tornare agli anni ‘20, giusto? Ovviamente no, la digitalizzazione e la connettività sono delle risorse importanti, che però dovremmo educarci ad adoperare con parsimonia e consapevolezza.
Sistemare il colabrodo che è la cybersicurezza internazionale non è impossibile, alcuni interventi prioritari potrebbero essere portati avanti subito e senza grandi stravolgimenti di forma.
Innanzitutto sarebbe utile che le aziende smettessero di chiedere i dati dei propri clienti quando non ve n’è assoluto bisogno, che le ditte tech testassero adeguatamente i software prima di distribuirli ai clienti/cavie, che i server delle strutture critiche fossero tenuti staccati dal web e che noi utenti imparassimo a rinunciare qualche comodità superflua.
Avere un “portachiavi” centralizzato su Google Chrome è innegabilmente una favola, ma è anche molto più pericoloso che avere password sfuse, da cambiare frequentemente e, magari, con doppia autenticazione dell’utente. A ben vedere è così che è stato intercettato l’attacco SolarWinds: FireEye si è resa conto di una doppia autenticazione lasciata a metà, ha contattato il dipendente a cui apparteneva il profilo incriminato e ha scoperto un’infiltrazione che è passata inosservata per mesi sotto il naso dell’NSA.
Accortezze relativamente facili da portare avanti, ma che danneggerebbe l’economia per come attualmente strutturata: le ditte non potrebbero più ricavare guadagni dalla raccolta di dati, gli internauti ci penserebbero più volte prima di fare iscrizioni a servizi digitali e gli editor di programmi dovrebbero dedicare maggior tempo e risorse per evitare di commerciare impunemente un prodotto ancora grezzo.
A ben vedere, forse per sistemare la Rete è prima necessario rivalutare le priorità delle nostre società.
The Gateway è il magazine settimanale di Lega Nerd che vi parla del mondo della tecnologia e dell’innovazione.