Filippo Monteforte/AFP/Getty Images
Tecnologia

Gli hacker di Esercito e Farnesina: così russi e cinesi ci spiano da anni

L’Italia non è pronta per una cyberwar. La dimostrazione è nelle informazioni ottenute e diffuse da Repubblicae in una serie di report che mettono in mostra lo scarso livello delle infrastrutture che dovrebbero proteggere il nostro paese.

Il problema è che non siamo dinanzi a un singolo buco di sicurezza di uno specifico software ma a un ecosistema quasi del tutto indifeso per una serie di fattori. Traballanti sono sia le reti dell’Esercito che quelle della Farnesina, tra il ministero degli Esteri e la Rappresentanza italiana presso l’Unione Europea.

Esercito: usiamo ancora software datati

La storia è questa: nel 2004 la sviluppatrice italiana Araknos presenta il software Akab (evoluto poi in Akab2) e si garantisce, con merito, le grazie del Comando C4, una divisione del ministero della Difesa che ha il compito di gestire e mettere al sicuro il network Difenet, quello che fa comunicare Aeronautica, Marina, Esercito e Arma dei Carabinieri.

Cos'è un SIEM

Akab si definisce come SIEM, Security Information and Event Management, e serve a gestire le informazioni e gli eventi di sicurezza di un certo perimetro virtuale. Non un programma anti-hacker ma un avvisatore nel caso di pericoli da intercettare. Di per sé non protegge nulla ma contribuisce a ottenere un panorama più chiaro su ciò che circonda una particolare rete.

Caccia a Ottobre Rosso

Lo stesso programma ha contribuito a scovare e respingere, tra il 2008 e il 2010, Red October, un tentativo di intrusione ad alto livello, unico nel suo genere, almeno a quel tempo. La notorietà ha poi consentito al prodotto di essere scelto come software di supporto a reti di comunicazione militari interne, come quelle dell'Esercito (EiNet).

Poco dopo, per scelte ancora poco chiare ma in gran parte causate da una divergenza di interessi societari, Akab2 viene sostituito da una soluzione di IBM, l’inizio di una lenta e inesorabile agonia economica per i fondatori di Araknos.

Cosa c’entra tutto ciò con la cybersecurity nostrana?


Mentre il comando C4 ha cominciato ad adottare dal 2012 gli strumenti di IBM, EiNet si appoggia ancora oggi su Akab2, il cui sviluppo si è fermato a inizio 2015. Questo vuol dire che da due anni le informazioni sensibili, classificate o meno, che passano per le vie di comunicazione dell’Esercito (i cosiddetti server) sfruttano codici e algoritmi sui quali non lavora più nessuno, né in termini di miglioramento che di verifica e controllo delle vulnerabilità.

Niente fondi, niente sicurezza

Carente delle conoscenze degli sviluppatori, Akab perderebbe gran parte del suo potenziale perché privo del personale che lo ha creato da zero. Dopo la disfatta di Araknos, il software è rimasto nelle mani dei tecnici dell’Esercito, sicuramente in grado di aggiornarlo con nuove regole di identificazione ma per mancanza di tempo e fondi non sembra lo abbiano mai fatto.

Visto il ritmo con cui i criminali informatici sfornano armi cyber per mettere al tappeto enti e istituzioni è come se le aquile che devono scorgere il pericolo in lontananza fossero diventate (non all’improvviso ma in più di 48 mesi) del tutto miopi.

C’è pure il dubbio che l’attacco hacker alla Difesa nel maggio del 2015 sia collegatoall'ottenimento dei codici di sviluppo di Akab e Akab2 che, seppur non depositari direttamente di informazioni (perché SIEM appunto e non software di protezione), conserverebbero qualche spunto interessante sulle operazioni di cyberdifesa dell'Italia.

Farnesina: all’estero non va meglio

La debolezza dei sistemi virtuali italiani riguarda non solo l’interno ma anche le comunicazioni con l’Europa e il mondo. In un articolo di febbraio il Guardian scriveva di un attacco hacker alla Farnesina e in generale agli esponenti di spicco all’estero perpetrato da almeno quattro anni (dunque dal 2013).

Qui non c’entra Akab ma Uroburos, un malware conosciuto anche con il nome di Turla e collegato al governo di Mosca. A produrlo sarebbero stati i componenti di APT 28, membri specialisti dell’intelligence russa (il GRU), con l’obiettivo di spiare i paesi della Nato, Italia compresa.

Come ha ingannato ambasciatori e rappresentanti

A suo tempo l’azienda di sicurezza G Data era riuscita a ottenere una copia del virus per analizzarla. Sebbene fosse stato realizzato con tecniche avanzate, la diffusione avveniva con una modalità semplice, quella dello spear phishing.

La vittima riceve una email in cui il messaggio ce la mette tutta per spingere a cliccare su un link o aprire un file allegato, così da veicolare la minaccia nel computer. A quel punto basta un solo sistema infetto in una rete, come il Wi-Fi chiuso durante eventi di portata globale (tipo il G8), per colpire tutti gli altri, in una sorta di peer-to-peer clandestino.

Perché la Russia

Nel 2008 il malware Agent.BTZ, condotto contro le reti pubbliche USA, funzionava più o meno allo stesso modo di Uroburos/Turla e per questo si crede siano entrambi figli dello stesso gruppo, un ceppo individuato in Russia. Una prova ulteriore è che prima di azionarsi, quest’ultimo controlla se sul PC (principalmente Windows e Linux) è già presente il primo Agent.BTZ e in tal caso lo lascia lavorare senza intromettersi.

Spie cinesi

I precedenti attacchi, associati alla Russia, mirano prima all’incuranza delle persone (senza un click, il particolare tipo di spear phishing è innocuo) e poi a sfruttare falle scoperte nei sistemi. Allo stesso modo di quanto fatto dai cinesi con KE3Chang e Zegost, per accedere ai computer dei membri della Rappresentanza italiana presso l’Unione Europea sin dal 2011.

Sono entrambi virus della famiglia dei trojan, i cavalli di Troia che si insediano nelle macchine in modalità stealth, senza destare sospetti. Anche questi vengono messi in circolo tramite messaggi di posta maligni, il solito spear phishing, individuato in larga parte durante il G20 del 2013 in Russia.

Come agivano

Per ingannare gli utenti, gli hacker usavano oggetti di posta del tipo Berlusconi’s party photos oppure Nude photos e anche Meditation handbook, insomma qualcosa su cui chiunque potrebbe cadere. A dimostrazione che la prevenzione software e la formazione sulle tecniche di spionaggio, per funzionare davvero, devono andare di pari passo.

Per saperne di più

YOU MAY ALSO LIKE