Tom's Hardware Italia Tom's Hardware
Sicurezza

Attacco all’NSA: è stato un traditore interno all’agenzia?

Il 13 di agosto, un gruppo di hacker identificatosi come “The Shadow Brokers” ha annunciato di aver avuto accesso all’arsenale di vulnerabilità e strumenti di hacking del famoso Equation Group, ritenuto il braccio armato dell’NSA nel settore della guerra informatica.

A conferma delle sue gesta, il gruppo di The Shadow Brokers ha postato su Pastebin molto materiale, incluse una “selezione” di vulnerabilità, file di configurazione e altri tool, specificando che ne esistono molti altri e che sono attualmente in vendita per la modica cifra di un milione di bitcoin (circa mezzo miliardo di euro).

Github ha poi rimosso il contenuto perché il gruppo hacker rendeva disponibile dietro pagamento il resto del materiale e questo è contrario alle policy d’uso di Pastebin, dove è vietata qualsiasi tipo di vendita o asta.

National Security Agency headquarters, Fort Meade, Maryland
Magari il traditore era solo insoddisfatto della posizione del parcheggio che gli era stato assegnato.

Comunque in molti sono riusciti a scaricare il file e sin da subito gli esperti di sicurezza hanno dichiarato che il leak sembrava originale. Sebbene il materiale da esaminare fosse cospicuo, in molti concordarono che quanto visto era esattamente quello che si sarebbero aspettati da un leak del genere, tanto come tipologia di strumenti, quanto come tipologia e struttura dei file.

Gli esperti di Kaspersky, poi, tramite un post sul loro blog hanno confermato che i file rilasciati erano sicuramente (o con probabilità altissima) proprio provenienti da un archivio dell’Equation Group.

Nell’archivio, infatti, hanno trovato oltre 300 file che usano 24 varianti della codifica RC6, esattamente identiche a quelle che hanno riscontrato in altri casi in cui era coinvolto Equation. Porzioni di codice interno, inoltre, erano molto simili ad altre che hanno rinvenuto sempre in occasione di attacchi condotti da Equation.

2016 08 18

A distanza di poche ore, nel materiale rilasciato sono state identificate gravi vulnerabilità in dispositivi Cisco, Juniper e Fortinet che sono state poi confermate come realmente esistenti dalle società coinvolte, con tanto di promessa relativa alla loro chiusura in tempi quanto più stretti possibile.

Infine, se ancora qualcuno avesse avuto dei dubbi, secondo quanto riportato dal Washington Post, un ex-dipendente dell’NSA avrebbe anche confermato che quanto rilasciato è autentico.

E qui si affaccia un nuovo, interessante, scenario. Matt Suiche, un hacker che ama pubblicare i suoi titoli e riconoscimenti, ha pubblicato su Medium un interessante post in cui racconta il punto di vista di un ex dipendente NSA con il quale ha avuto una chiacchierata.

Secondo questa fonte anonima, di cui Suiche pubblica un documento anonimizzato e quindi piuttosto inutile, il lavoro potrebbe essere stato fatto portato a termine non attraverso un attacco hacker, ma da un traditore interno.

Il motivo è da ricercarsi nel fatto che l’archivio pubblicato contiene molti indizi che si tratti della copia di un archivio di vulnerabilità e strumenti posti in una rete dell’NSA fisicamente scollegata da Internet.

La fonte precisa, infatti, che i contenuti (molti tool e strumenti generici che necessitano di qualche forma di configurazione prima di esser messi al lavoro) non avrebbero avuto alcun motivo per stare su computer esposti in quella forma, così come la struttura delle cartelle rivela la sua organizzazione tipica da archivio.

Se questa ipotesi fosse vera, resterebbe da capire come qualcuno possa aver connesso una qualsiasi periferica a quella “rete archivio” e portare fuori la memoria di massa contenente i dati.

Una valida opzione potrebbe essere quella che, essendo il traditore un interno all’NSA, avrebbe potuto usare l’infrastruttura stessa dell’agenzia per spedire fuori i dati anonimamente, tarando il traffico in modo da non dare nell’occhio.

Ovviamente, l’ipotesi del lavoro dall’interno escluderebbe quasi automaticamente che gli autori dell’infiltrazione siano hacker russi al servizio del loro governo e questo darebbe un po’ fastidio a molti politici che tendono ancora a usare lo spauracchio russo per guadagnare voti.

C’è poi anche il nodo del prezzo di vendita del materiale: chiedere mezzo miliardo vuol dire che si va a caccia di stati canaglia (e in tema di cyberguerra lo sono un po’ tutti) interessati a mettere le mani su materiale di grande valore, un atteggiamento tipico di chi cerca il colpo della vita, non di un “cybercriminale organizzato”.

Analogamente, la tesi dell’infiltrazione da parte di un gruppo appartenente ad altri stati è ugualmente improbabile: se foste russi (o cinesi, o nord coreani) e aveste avuto accesso alle chiavi di casa di una delle agenzie “nemiche” più potenti, sareste andati a sbandierarlo sul Web?

Tutto sommato, l’ipotesi che si sia trattato di un lavoro dall’interno, per quanto difficile da portare a termine, non è da sottovalutare.