La banda Elderwood è un cyber-incubo per la sicurezza

Symantec ha scoperto diversi punti in comune in diversi attacchi che hanno avuto luogo negli ultimi anni e che hanno colpito aziende di tutto il mondo. Gli autori, la cosiddetta Gang Elderwood, forse sono indipendenti, ma potrebbe trattarsi del braccio digitale armato di qualche nazione.

Avatar di Valerio Porcu

a cura di Valerio Porcu

Senior Editor

Negli ultimi tre anni un gruppo chiamato "Elderwood Gang" ha messo a segno una serie di attacchi informatici particolarmente sofisticati. Lo ha fatto sapere Symantec, i cui esperti hanno il nome ispirandosi alla "piattaforma di attacco" usata. Secondo l'azienda inoltre si tratta della stessa banda che colpì Google e altre aziende circa due anni e mezzo fa.

La maggior parte dei bersagli si compone di aziende negli Stati Uniti (ma non solo), e ha subito il furto di proprietà intellettuali e segreti industriali di vario tipo. Tra i bersagli figurano anche organizzazioni non governative impegnate nel rispetto dei diritti umani in Tibet, ma è difficile dire se si tratti di veri obiettivi o di semplici diversivi; forse si vuole solo deviare l'attenzione verso la Cina, ma il coinvolgimento di Pechino in passato fu dimostrato da documenti pubblicati grazie a Wikileaks.

Pirati digitali, quanto sono diversi da quelli analogici?

In molti casi è stato usato il classico metodo di phishing via posta elettronica, spesso prendendo di mira un un'azienda terza per colpire bersaglio finale. Altre volte invece i pirati hanno infettato siti di servizi con l'obiettivo di recuperare liste di mail e password. Gli esperti di Symantec hanno sottolineato come il gruppo abbia sfruttato un gran numero di falle zero-day in applicazioni di Microsoft, Adobe e altri. Questo, insieme al tempismo degli attacchi e a uno schema d'azione ripetitivo, ha spinto Symantec a pensare che si tratti di una sola squadra, e che sia la stessa che colpì Google nel 2009.

Secondo Symantec per un'operazione simile servono risorse molto ingenti, e per questo l'azienda si lascia andare all'ipotesi che dietro alla banda Elderwood si nasconda una grande organizzazione criminale, oppure una nazione. Un'ipotesi che tuttavia non trova d'accordo altri esperti: Rob Graham di Errata Secuity per esempio crede che l'uso di falle zero-day sia una tecnica comune, e che non richieda particolari investimenti da parte dei pirati.

La banda Elderwood potrebbe quindi anche essere un gruppo indipendente ma, che le cose stiano così o che si tratti di una task force al soldo di qualche governo, le similitudini evidenziate da Symantec sono quasi una certezza: esiste un gruppo che da circa tre anni penetra regolarmente nei sistemi di aziende di ogni tipo, per carpire segreti industriali e informazioni riservate.

Un cacciatore di taglie sulle tracce della banda

A questo punto la natura della banda fa una differenza relativamente trascurabile: piccola o grande criminalità, oppure cyber-guerra tra Stati. Sta di fatto che gli attacchi sono andati a segno, così come vanno regolarmente a segno quelli della guerrilla digitale portata avanti da Anonymous. Non ci resta che stare a guardare, sperando che il nostro antivirus sia sufficiente? Qui il report completo di Symantec in versione PDF.