Grazie ad Edward Snowden abbiamo imparato a conoscere negli ultimi 17 mesi le tecniche con cui la National Security Agency violava le più basilari regole di privacy dei navigatori di tutto il mondo. La curiosità su chi procedeva fattivamente ad azionare i software e i programmi di sorveglianza viene invece soddisfatta in parte dai Kaspersky Lab che hanno prodotto un report in cui si spiega dove e come colpiva il team soprannominato “Equation Group” , responsabile di almeno 500 infezioni digitali in 42 paesi tra cui Iran, Russia, India, Pakistan e Afghanistan.
I migliori del settore
Il lavoro dei ricercatori è stato quello di evidenziare le tecniche utilizzate dal gruppo ma senza parlare di connessioni con la NSA. Implicazioni che però sono evidenti quando si confrontano le infezioni generate e spedite un po’ ovunque con quelle dell’agenzia americana soprattutto riguardo a Stuxnet, la minaccia con cui USA e Israele hanno spiato la centrale per l’arricchimento dell’uranio di Natanz in Iran. L’analisi di Kaspersky mette in evidenza le azioni di sabotaggio effettuate dal team di hacker, considerati dagli esperti come tra i più potenti al mondo, una sorta di Magic Team nel panorama della cyberwar.
Kaspersky Lab
Come operavano
Tra le tecniche utilizzate nel corso dei 14 anni in cui il gruppo avrebbe operato ve ne sono alcune considerate obsolete e difficilmente applicabili oggi senza il dovuto controllo, come l’invio di CD e chiavette USB infette, troppo frettolosamente inserite nei propri computer dalle persone da controllare, nella maggior parte dei casi ufficiali di governo e collaboratori. Con la diffusione della banda larga le minacce si sono concentrate soprattutto sulla rete, canale in grado di veicolare file e bombe telematiche di cospicue dimensioni. Secondo i ricercatori russi di Kaspersky, l'Equation Group riusciva anche a spulciare le cartelle di un bel po' di hard disk connessi in rete grazie alla diffusione di aggiornamenti (firmware) maligni inviati direttamente agli obiettivi da spiare. Una minaccia che nemmeno gli antivirus potevano rintracciare perché colpiva la struttura stessa del disco rigido, una zona che i software di sicurezza non controllano; almeno fino ad oggi.
Kaspersky Lab
Analizzando le loro scorribande telematiche Kaspersky ha individuato parti del codice in cui gli hacker si definiscono con il termine “Grok”, lo stesso che si trova in alcuni documenti che Snowden ha consegnato al sito di Greenwald “The Intercept” dove la parola viene utilizzata dalla NSA per indicare un hacker “amico”. Secondo la Reuters, un ex dipendente della NSA avrebbe confermato l’esattezza del report di Kaspersky e la vicinanza dell’Equation Group all’organizzazione di sicurezza nazionale.
"Segui quel furgone"
L’Equation Group non è un nome nuovo all’interno del settore della sicurezza informatica. In passato il team è stato accostato alla scoperta di una violazione effettuata ai danni di alcuni router di Cisco manomessi prima di arrivare nei negozi attraverso l’installazione di virus e malware per permettere un monitoraggio da remoto. Si tratta, guarda caso, di una procedura simile a quella intrapresa dagli agenti della NSA ed evidenziata anche da Gleen Greenwald nel suo libro “No place to hide” pubblicato lo scorso anno.
