The Mask: come tenere sotto controllo il sistema per 7 anni

Una rete informativa incredibilmente complessa ha tenuto sotto controllo punti chiave per ben 7 anni. Criminali molto ben organizzati o un governo particolarmente ficcanaso?

Avatar di Giancarlo Calzetta

a cura di Giancarlo Calzetta

-

Il termine "cyberwar" è un po' passato di moda, ma quello che rappresenta è ancora vivo e vegeto. The Mask è il nome che è stato dato dai ricercatori di Kaspersky a una operazione di spionaggio mirato che ha dell'incredibile.

Nel suo mirino, infati, si trovavano ambasciate, agenzie governative, uffici diplomatici e altre strutture nevralgiche a livello informativo. Tutti bersagli che, in teoria, sono all'avanguardia nella gestione di informazioni riservate e misure di controspionaggio (quando non anche di spionaggio "vecchio stile") e che invece sono rimaste per almeno sette anni sotto la lente di ingrandimento di una entità non meglio precisata.

Dal 2007 in poi, la rete informativa ha raccolto dati riguardanti 380 vittime designate, tramite una serie di attacchi che prevedeva l'uso di praticamente tutte le tecniche di intrusione oggi conosciute.

L'operazione di spionaggio era conosciuta anche come "Careto" in quanto questa parola, rinvenuta in alcuni moduli, sembra essere il nome in codice usato dai suoi creatori.

Il kit di attacco comprendeva software scritto appositamente (quindi niente o poco dei kit "commerciali" che si trovano nel sottobosco criminale) in grado di infettare dispositivi a livello di root e di boot, sniffare chiavi di crittazione e conversazioni skype, intercettare il traffico di rete, chiavi ssh e così via. Una serie di funzioni che fanno sembrare Duqu un esercizio di programmazione in Pascal.

L'ananlisi di uno dei moduli che rivela il nome di sviluppo.

Giusto per la cronaca, citiamo che uno dei vettori di infezione per i sistemi Linux era l'estensione "af_l_addon.xpi" per Firefox mentre una delle backdoor utilizzate (la SBD, che sta per Shadowinteger's Backdoor) sfruttava anche dei tool opensource come Netcat.

L'elenco di residenza delle vittime delle intercettazioni è parecchio lungo, ma non tanto quanto ci si sarebbe aspettato: Algeria, Argentina, Belgio, Bolivia, Brasile, Cina, Colombia, Costa Rica, Cuba, Egitto, Francia, Germania, Gibilterra, Guatemala, Iran, Iraq, Libia, Malesia, Messico, Marocco, Norvegia, Pakistan, Polonia, Sud Africa, Spagna, Svizzera, Tunisia, Turchia, Regno Unito, USA e Venezuela.

Curiosamente, nell'elenco non c'è traccia del nostro Paese e questa è una anomalia piuttosto evidente perché se è vero che non siamo esattamente il pericolo numero uno per nessuna delle nazioni al mondo, è anche vero che Gibilterra, Malesia e Polonia non vengono spesso rappresentate con il coltello tra i denti. Un'altra vistosa mancanza è quella del blocco dei paesi ex URSS.