Negli ultimi cinque anni si è svolta un'estesa campagna di spionaggio informatico ai danni di molti paesi nel mondo, nell'ex Unione Sovietica, in Asia, Europa e Nord America. Ne dà notizia Kaspersky, i cui ricercatori hanno ribattezzato l'operazione "Ottobre Rosso" - citazione del noto film del 1990. Tra i paesi colpiti figura anche l'Italia, con cinque sistemi infetti su un totale di circa trecento.
"L'obiettivo era raccogliere documenti sensibili, informazioni d'intelligence geopolitica, credenziali per accedere ai sistemi informatici e dati presenti sui dispositivi personali mobile e su strumenti di rete", spiegano gli esperti di Kaspersky, che ha avviato le ricerche proprio lo scorso ottobre.
Prima fase dell'attacco
La rete Ottobre Rosso, attiva almeno dal 2007, ha preso di mira "agenzie diplomatiche e governative, istituti di ricerca, società nel settore dell'energia e del nucleare, obiettivi commerciali e aerospaziali", colpendole con un malware denominato Rocra, di cui finora non si era mai sentito parlare. L'infrastruttura è ancora attiva e si è rivelata piuttosto complessa, con "più di 60 domini e punti di hosting in diversi paesi, la maggior parte in Germania e Russia", e una "catena di server proxy per nascondere la posizione del server di controllo del sistema madre". Quest'ultima resta ancora del tutto sconosciuta.
Quanto al metodo d'infezione, è ancora una volta il phising via posta elettronica. Si manda alla vittima un messaggio confezionato ad hoc con raffinate tecniche di social engineering, e la si induce a cliccare su un file (Word, Excel e probabilmente PDF) e avviare così l'installazione del trojan Rocra. Questo poi si può collegare ai server di controllo (C2), per scaricare moduli aggiuntivi.
Kaspersky sottolinea come la piattaforma di attacco di Rocra sia particolarmente avanzata e flessibile, capace di "adattarsi rapidamente alle configurazioni dei diversi sistemi e dei gruppi di intelligence delle macchine infette". C'è persino un "modulo resurrezione", il cui compito è ripristinare il malware nel caso sia scoperto e rimosso.
Infrastruttura di Rocra
Le informazioni rubate sono numerose, e tra queste spiccano i dati di Acid Cryptofiler, "usato in organizzazioni come NATO, Unione Europea, Parlamento Europeo e Commissione Europea per proteggere le informazioni sensibili". Tra i luoghi colpiti in ogni caso spicca il gran numero di ambasciate, quindi è lecito pensare di trovarsi di fronte a una vasta operazione di spionaggio diplomatico.
Comunque sia il danno sembra piuttosto rilevante, così come la raffinatezza tecnologica dell'attacco che - vale la pena ripeterlo - è ancora in corso. Quanto all'identità dei ladri, non se ne sa molto. Kaspersky ha individuato diversi indizi che rimandano alla Russia, o almeno a persone originarie di tale paese. Fare affermazioni definitive, tuttavia, in questi casi è praticamente impossibile. L'indagine è ancora in corso.
Le informazioni frammentarie diffuse finora non permettono certo di trarre conclusioni, ma tutto lascia credere che l'Operazione Ottobre Rosso abbia le qualità necessarie a inserirla nella cartella "cyberguerra", così come sembra legittimo aggiungere Rocra all'elenco delle cyberarmi note.