Il settore del cyber-spionaggio è tra i più fiorenti del momento. A confermarlo arriva la notizia dell’ennesimo attacco portato a RUAG, un’azienda attiva in un settore strategico e legata a doppio filo al Dipartimento Federale della Difesa svizzero.
RUAG opera sia nel settore civile, sia in quello militare. In quest’ultimo settore si occupa di sviluppo e produzione di armamenti pesanti, munizioni e simulatori. Impiega 8.000 dipendenti e ha un fatturato di quasi 2 miliardi di euro.
Nessun dubbio che nei suoi server ci fossero informazioni particolarmente ghiotte per chi si occupa di spionaggio industriale.
La notizia della violazione dei suoi sistemi è stata data all’inizio di questo mese, ma la vicenda ha assunto una maggiore rilevanza quando alcuni organi di stampa svizzeri hanno dato la notizia che, tra le informazioni sottratte, ci sono anche quelle relative all’unità DRA10, una squadra d’elite impiegata dal governo svizzero per operazioni al di fuori del territorio della confederazione elvetica.
Secondo quanto pubblicato nel report ufficiale di MELANI, l’organo di comunicazione dei servizi di intelligence svizzeri, i pirati avrebbero usato una variante di Turla, il malware utilizzato da una rete di spionaggio segnalata lo scorso settembre dagli analisti di Kaspersky Lab e che sarebbe attiva in tutto il mondo da almeno 8 anni.
La ricostruzione fatta dai servizi segreti svizzeri coincide con il modus operandi del gruppo. I pirati hanno selezionato con cura i bersagli da colpire e hanno atteso pazientemente di ottenere l’accesso ai dispositivi che gli servivano per ottenere le informazioni che volevano.
Oltre a un sistema di offuscamento per evitare di essere individuato, il malware utilizzava un sistema di comunicazione basato su named pipe tra i diversi dispositivi infetti, che permetteva di ridurre al minimo il traffico dati verso i server C&C esterni.
Un sistema che ha funzionato alla perfezione per oltre un anno, consentendo ai cyber-criminali di raccogliere tutte le informazioni che volevano.
Secondo il report, l’attacco risale almeno al settembre del 2014, ma i primi indizi riguardo una possibile violazione dei sistemi sono arrivati solo lo scorso dicembre.
Il 21 gennaio 2016 i responsabili IT di RUAG, in collaborazione con il GovCERT svizzero hanno iniziato le indagini, individuando in seguito le comunicazioni verso i server Command and Control e avviando un monitoraggio delle comunicazioni per risalire all’origine dell’attacco. Ai primi di maggio, però, l’incidente diventa di pubblico dominio e il monitoraggio viene interrotto.
La ricostruzione della vicenda, per quanto estremamente accurata, non fa luce sulle modalità usate per l’attacco iniziale. I file di log disponibili, infatti, arrivano solo fino al settembre 2014 ed evidenziano che, a quella data, erano già presenti delle comunicazioni con i server C&C.
Stando a quanto riferito da MELANI, parte dei computer sono stati sostituiti e questo impedisce di eseguire un’analisi completa che permetta di ricostruire nel dettaglio le modalità con cui i pirati hanno infiltrato la rete.