Hacker di stato spiano Kaspersky e i capi di governo (e loro collaboratori) più influenti

Duqu, il malware specializzato in attacchi di alto profilo, è tornato e tra le sue vittime ce n'è una inaspettata...

Avatar di Giancarlo Calzetta

a cura di Giancarlo Calzetta

-

Probabilmente,  tutto è iniziato con una risata, scaturita quando il ricercatore che doveva testare la nuova suite anti intrusione di Kaspersky ha rilevato un'attività anomala proprio sulla sua macchina.

"Funziona proprio bene" - avrà pensato - "Sarà una notte lunga". Chissà che faccia ha fatto quando ha invece scoperto che il programma funzionava perfettamente e che la rete interna era stata attaccata da Duqu 2.0.

Una operazione audace

Kaspersky Lab, infatti, è stata spiata per diversi mesi dalla crew di hacker che ha sviluppato Doqu e Stuxnet, suite di malware focalizzate nello spionaggio in ambito nucleare (perdonatemi se taglio corto, ma la storia intera è lunga) e che sembrano essere collegate a un ambito governativo occidentale o medio-orientale, anche se il legame non è mai stato formalizzato.

Apertura
Doqu 2.0 è un vero mostro per complessità e astuzia nelle soluzioni

di offuscamento

L'attività  è iniziata a un certo punto, ancora imprecisato, della seconda metà del 2014, quando la crew di Doqu (2.0) riesce a infettare un portatile in una delle sedi asiatiche di Kaspersky Lab.

Dato che il portatile era perfettamente aggiornato, ma non sappiamo se protetto da una suite di sicurezza anche se sarebbe lecito aspettarselo, in Kaspersky credono che il punto di ingresso sia stata un'email preparata appositamente per il proprietario del portatile (spear phishing), contente il necessario per sfruttare una vulnerabilità ai tempi sconosciuta (e patchata da Microsoft solo martedì scorso).

Bersagli ben selezionati

Attraverso una attenta operazione di spionaggio e diffusione di malware dall'interno tramite pacchetti di installazione standard (MSI), la crew è arrivata a spiare anche la sede centrale, concentrandosi solo su alcuni prodotti e settori:

  • Kaspersky Lab Secure Operating System (il sistema operativo "sicuro" di Kaspersky ancora in fase di sviluppo e pensato per infrastrutture critiche, ma anche per l'Internet of Things)
  • Kaspersky Fraud Prevention (il sistema antifrode bancaria)
  • Kaspersky Security Network  (il network che analizza l'affidabilità dei file analizzati dai sistemi antivirus di Kaspersky)
  • Le soluzioni e servizi anti-APT (tutto quello che serve a tenere le aziende al sicuro da attacchi come quello subito da Kaspersky)

I dipartimenti di comunicazione, amministrazione, vendite, marketing e legale non sono stati minimamente toccati dall'infezione, perché evidentemente non interessanti per gli attaccanti,  mentre c'è stato grande interesse per i documenti relativi alle indagini attuali di Kaspersky sugli attacchi subiti da alcuni loro clienti.

La controffensiva e le conseguenze

Dopo aver scoperto l'intrusione, Kaspersky ha iniziato le operazioni di controspionaggio, osservando come operavano gli intrusi e cercando di carpirne l'identità. Purtroppo gli hacker non hanno tardato a realizzare che erano stati scoperti e hanno cancellato gran parte delle (pochissime) tracce che avevano lasciato.

passwordStealer

Il codice usato per rubare le password di chrome: semplice e funzionale.

Le indagini sono ancora in corso, ma è ovvio che andare a infilarsi nella rete di una delle aziende più capaci nel settore dell'anti intrusione non è una grande idea se vuoi restare anonimo. Quindi, perché farlo?

La scoperta fatta dai Kaspersky Lab ha portato velocemente alla luce quasi un centinaio di operazioni simili compiuta su altre società ed eventi, soprattutto legati al P5+1, l'insieme dei negoziati promotore di una soluzione pacifica alla minaccia nucleare iraniana.

Sembra che tutte le location che hanno ospitato gli incontri siano state compromesse per spiare quanto avveniva, così come quelli di alcuni altri eventi (tipo la commemorazione del 70esimo anniversario della liberazione di Auschwitz) in cui erano presenti molte personalità politiche.

Un interesse politico

Kaspersky è sicura che dietro a questo attacco ci sia una organizzazione statale, sia per le capacità messe in campo, sia per i bersagli colpiti: politici, istituzioni, personalità d'alto profilo.

Perché attaccare Kaspersky? Non ci sono posizioni ufficiali a riguardo, ma qualche ipotesi ci sentiamo di farla.

Innanzitutto, Kaspersky è una delle società che più si sta distinguendo proprio nella battaglia agli APT (Advanced Persistent Threat), quegli attacchi mirati e tremendamente efficaci sfruttati dagli hacker per penetrare le difese di qualsiasi società e istituzione.

StrutturaMSI

Il funzionamento di Doqu è complesso e ben strutturato, curato nei minimi dettagli.

Non a caso, neanche Kaspersky ha resistito, ma ha scoperto la minaccia probabilmente prima di quanto gli attaccanti non pensassero, rompendo un bel po' di uova nel paniere e costringendo la crew a fermare tutte le operazioni ancora in corso.

In secondo luogo, Kaspersky è una delle società di riferimento quando vengono rinvenute attività sospette in una rete: mettendo sotto sorveglianza i dossier relativi ai casi su cui stanno lavorando, gli hacker potevano sapere se, e quante, delle loro operazioni fossero in pericolo e prendere delle contromisure.

In alternativa, sempre da quei dossier si potevano fare un'idea di quali altri gruppi fossero "al lavoro" dove e valutare se e come intervenire anche loro. Del resto, se un gruppo "concorrente" è interessato a una preda, forse è perché quella contiene informazioni interessanti...

Infine, e questa è più fantapolitica che ipotesi, l'operazione potrebbe rientrare in un "pacchetto ufficioso" di misure e sanzioni nei confronti delle società russe, in relazione a quanto stabilito a seguito dello sviluppo della crisi Ucraina.

Da non sottovalutare anche, e più semplicemente, l'interesse a scopo accademico, in modo da sfruttare le scoperte e le tecniche dell'azienda russa per i propri scopi.

La politica della chiarezza

Una cosa che mi ha sempre sorpreso di Kaspersky è quanta trasparenza sembri caratterizzare il suo operato. Sono stati i primi a parlare di Carbanak, una verità molto scomoda per molte banche, di Equation, il gruppo NSA che ha spiato mezzo mondo, di come la criminalità comune inizi a prender piede nel cyberspazio, e così via.

Eugene Kaspersky, presidente di Kaspersky Lab, ha detto che "raccontare di questi incidenti è l'unico modo per rendere il mondo più sicuro [...] L'unico modo per proteggere il mondo è quello che sia le forze di polizia che le società di sicurezza combattano apertamente questi attacchi. Racconteremo sempre degli attacchi che scopriremo, indipendentemente dalla loro origine". E anche dalla loro destinazione - aggiungeremmo noi - dato che stavolta è toccato a loro.

Securlist
Il post su Securlist con tutta la documentazione del caso: solo il pdf tecnico

son più di 50 pagine.

Ovviamente, palesare i problemi degli altri in termini di sicurezza aiuta il loro business, ma il fatto che siano così aperti anche per quello che riguarda le loro stesse magagne dà da pensare. La documentazione pubblicata su Securelist è chiara su moltissimi aspetti, soprattutto considerato che le indagini non sono ancora chiuse.

Quindi c'è una domanda che sorge spontanea: "Ma è davvero possibile che loro siano l'unica società di sicurezza messa sotto torchio tramite Doqu 2.0?"

In tutti questi anni in cui ho seguito la sicurezza informatica ho imparato una cosa: la vittima non è mai una sola. Certo, magari Kaspersky era il banco di prova, ma mi sorprenderebbe molto scoprire che gente così accorta decida di rischiare di buttar via tutto per tentare con una delle società più quotate, quando è sicuramente più produttivo iniziare una campagna su più fronti.

Perché, allora, non abbiamo resoconti su altri attacchi simili? Quello che penso è che ci siano altre società lì fuori che sono state spiate e non lo sanno, altre ancora che sono state spiate e non diranno niente anche se adesso lo sanno, altre ancora che non sono spiate perché collaborano.

Non so voi, ma a me sembra che quanto visto finora nei film di spionaggio sia meno incredibile di quanto stia accadendo in questi mesi.