Il Cyber Arsenale dei “malware di stato” e il Protecting our Ability To Counter Hacking Act “PATCH Act”

A cura di:Redazione Ore

In reazione al malware WannaCry è stata presenta pochi giorni fà al Congresso U.S.A. una proposta di legge chiamata “Protecting Our Ability to Counter Hacking Act”, detta anche “PATCH Act”.

Alla base della proposta c’è la collaborazione di tutti gli attori della security USA ed a garanzia di ciò nell’atto viene proposta una Commissione “Vulnerability Equities Review Board”, composta dal Ministro della Sicurezza Interna (Dhs), il Direttore dell’Ufficio Federale di Investigazione (FBI), il Direttore dell’Intelligence Nazionale (DNI), della Agenzia d’Informazioni Centrale (CIA), della Agenzia per la Sicurezza Nazionale (NSA), il Segretario al Commercio, il Ministro degli Esteri, il Segretario al Tesoro, il ministro per l’Energia, la Commissione federale del commercio, e altri importanti organismi.

Tutti i membri hanno il compito di stabilire insieme una linea politica su come, quanto e quando rendere nota pubblicamente una vulnerabilità.

Per capire meglio l’importanza di una norma del genere a mio avviso bisognerebbe confrontarsi con il Cyber Arsenale USA e la portata del crimine informatico in termini di rischio, danni e valore economico.

Un breve accenno su alcuni dei “malware di stato” che sono stati fatti circolare nel Cyber Spazio:

Stuxnet il malware-worm creato e diffuso dal Governo USA durante l’operazione “Giochi Olimpici”, ovvero una serie di cyber attacchi contro l’Iran, intrapresa nel 2006 da Bush in collaborazione col governo israeliano con l’obiettivo di sabotare le centrali nucleari iraniane. Si diffuse all’interno dei sistemi SCADA tramite chiavette USB infette colpendo con quattro expoit zero-day. Scoperto nel 2010 da una società di sicurezza bielorussa, fu invece reso noto solo nel 2012 dal segretario alla difesa americano. Il virus era talmente complesso che i massimi esperti di security non riuscirono a creare un software per contrastarlo.

Venne di seguito scoperta anche una variante del malware chiamata Flame designata però allo cyber spionaggio, e Gauss che aveva invece il compito di rubare file e password.

Equation Group, un pacchetto di Advanced Persistent Threat (APT) molto sofisticati contraddistinti dall’attacco multilivello e multi canale che si dimostrarono una minaccia di altissimo livello.

Il gruppo di attacchi che avevano come obiettivi Stati come Iran, Russia, Pakistan, Afghanistan, India, Syria, e Mali vengono fatti risalire agli Equation Group, visti gli schemi crittografici sofisticati e molto complessi, inoltre molti sostengono che il gruppo hacker o la combinazione di tool “Equation Group” sia riconducibile alla NSA.

Alcuni moduli dell’Equation Group risalgono al 2001, ma negli anni sono stati aggiornati, ecco brevemente i tool: EquationLaser, compatibile con i sistemi operativi Windows; Double Fantasy, responsabile degli upgrade di modulo e piattaforma; EquationDrug, uno dei componenti primari che contiene i moduli di riprogrammazione del firmware HDD; GrayFish, contenente i moduli di riprogrammazione del firmware HDD e un bootkit, Fanny è la componente worm; TripleFantasy, trojan di convalida del bersaglio.

Oltre ad una struttura complessa e la forte capacità di propagarsi il virus ha la caratteristica di non essere rilevabile da parte del software di sicurezza.

Ad aggiungersi ai cyber-armamenti zero-day c’è Regin attibuibile alle due intelligence britannica e americana, malware diffusosi prima del 2008, e comunque aggiornato negli anni. Un malware flessibile che permette di colpire diversi obiettivi grazie ad un un framework molto complesso con all’interno centinaia di playload, legato al furto delle informazioni, quindi al cyber spionaggio.

Tra le campagne di spionaggio messe in atto tramite ATP c’è Turla che colpì infrastrutture governative e strategiche in Europa e negli USA, The Mask aka Careto, un malware sofisticato che ha colpito Cina, Francia , Germania, Regno Unito e Stati Uniti, per un totale di oltre 30 nazioni. A questi si aggiunge Itaduke chiamato così perché il codice contiene commenti della Divina Commedia di Dante Alighieri. Fino ad arrivare al malware Animal Farm Group composto da tool sofisticati come Bunny, Dino, Babar, NBot, Tafacalou, Casper.

Tutto questo si inserisce in un contesto ancora più vasto chiamato “Five eyes”, uno dei più estesi programmi di sorveglianza invasiva della storia, che convolge le agenzie di sicurezza USA e UK insieme a Canada, Australia e Nuova Zelanda. Una grande alleanza di Intelligence per lo spionaggio globale che utilizza mezzi come PRISM. Il programma di cyber spionaggio NSA che si serve della collaborazione dei principali provider come Google, Facebook, Microsoft, Skype, Apple, Yahoo e tanti altri, concepito grazie alle leggi in materia di terrorismo, e che oggi viene messo sotto accusa per la sua parte di codice maligno in grado di controllare i computer da remoto.

Lo stesso vale anche per Muscular, programma di sorveglianza messo appunto dal governo britannico (GCHQ) insieme alla NSA americana. A completare la lista dei malware legali ci sono anche altri mezzi top secret come Tempora, Boundless informant, XKeyscore, Marina, Pinwale, e Traffichief e così via.

Layer 7 è invece un insieme di cyber armi della CIA, la prima parte del lotto chiamata “Year Zero” è stato pubblicato da WikiLeaks e svela alcune tecniche di hacking messe in atto dai servizi di intelligence. Successivamente Snowden rilascia informazioni su Dark Matter, malware in grado di compromettere i dispositivi Apple; Marble Framework utile a mascherare malware e cyber attacchi; GrassHoper in grado di compromettere i dispositivi Microsoft al fine di installare e attivare i malware; Hive in grado di raccogliere i dati da smartphone e computer; Weeping Angel in grado di colpire l’IoT; Scribbles capace di inviare “segnali” nel web; tecniche Men in the middle sviluppate sulla base di un malware già esistente “Fulcrum” consentono di infettare una intera rete locale, attraverso un solo PC; After Midnight e Assassin sono due malware molto simili che lavorano su sistema operativo Microsoft Windows; Athena e Hera sono invece spyware aggiornati in grado di compromettere anche i sistemi di sicurezza di Windows 10.

A questa lista andrebbero aggiunti anche i “malware di stato” provenienti da gruppi Russi come ad esempio il gruppo APT29 aka The Dukes aka Cozy Bear, che conta le seguenti tecniche di attacco: Hammertoss, sfrutta la steganografia; CozyCar, piattaforma malware molto sofisticata che sfrutta tecniche di crittografia e anti-rilevamento; Mimikatz in grado di ottenere login e password di account Windows; PsExec, uno strumento gratuito di Microsoft che può essere utilizzato per eseguire un programma su un altro computer; e poi tutta la famiglia dei tool Duke: CosmicDuk, CloudDuke, GeminiDuke, MiniDuke, OnionDuke, SeaDuke, PowerDuke.

E a loro volta questi virus andrebbero sommati a tanti altri provenienti da tutti gli altri paesi come Cina, Germania, Turchia, Corea, India etc arrivando così a definire uno scenario di militarizzazione informatica massiccia. Il prezzo di tutto ciò è molto alto e sostenere costi esorbitanti per lo sviluppo di armi cyber che sempre più spesso divengono alla mercé di tutti finendo così per diventare un arma verso se stessi, non è sicuramente il massimo.

Tutto ciò dimostra quanto la Cyberwarfare sia difficilmente controllabile ma vanno ancora fatti i conti con la nuova struttura del cyber spazio che arriva oggi ad avere la propria cryptovaluta riconosciuta anche nel mercato “reale”. Serve fare grande attenzione soprattutto al rapido sviluppo del deep web divenuto ormai una piazza in continua crescita ed evoluzione che arriva a fatturare milioni di dollari. Realtà questa formata da un ben strutturato network di persone specializzate, mezzi sofisticati e servizi al passo con la richiesta, dove tutto si monetizza e i costi sono molto competitivi. L’industria del crimine informatico ha da sempre avuto ben chiaro il concetto di crime-as-a-service, e ha dall’inizio sfruttato a pieno il potere della rete in grado di unire le forze degli hacker e di garantirne l’anonimato.

Se agli attacchi State-sponsored si aggiungono gli attacchi dei gruppi hacker, e a questi si somma la presa visione delle cyber-weapon realizzate da militari, intelligence e comunità hackers, la serenità del cittadino viene sicuramente messa a dura prova. Quando i concetti di riservatezza e sicurezza si fondono annullandosi a vicenda, cosa rimane a tutelare il cittadino?

Per dare una risposta agli ultimi accadimenti in materia di attacchi informatici e alla diatriba con Snowden, il Governo U.S.A. sceglie di predisporre il PATCH Act, mentre Wikileaks vede come soluzione al mercato nero delle cyber armi e al terrorismo la divulgazione delle vulnerabilità e delle informazioni poiché solo con l’informazione si può garantire il giusto livello di sicurezza. Ad esempio rendere nota la vulnerabilità di Microsoft avrebbe impossibilitato la divulgazione di WannaCry.

Il Governo americano continua il suo percorso formulando una nuova norma dove sceglie di valutare di volta in volta la necessità o meno di rendere nota la minaccia, garantendosi così una riservatezza che gli permette di muoversi in quel confine, definibile come zona grigia, dove il bianco si fonde con il nero e dove il possibile si fonde con l’impossibile.

A cura della Redazione

Condividi sui Social Network:

Articoli simili

Gli emendamenti alla direttiva 6 luglio 2023 alla Strategia Nazionale di Cybersicurezza

Gli emendamenti alla direttiva 6 luglio 2023 alla Strategia Nazionale di Cybersicurezza

A cura di:Ranieri Razzante Ore Pubblicato il

La ricerca scientifica e lo sviluppo industriale hanno determinato l’incremento delle emerging and disruptive technologies. La complessità di questo sistema rappresenta terreno fertile per i soggetti malevoli intenti ad indurre in errore gli addetti alla sicurezza dei software. In un mondo sempre più digitalizzato, la cybersicurezza ha assunto un ruolo di fondamentale importanza, motivo per…

Incidente di Maroochy Shire: quando l’attaccante colpisce dall’interno

Incidente di Maroochy Shire: quando l’attaccante colpisce dall’interno

A cura di:Mariacristina Bringheli Ore Pubblicato il

Nell’era digitale in cui la tecnologia è il cuore pulsante delle operazioni industriali, la protezione delle infrastrutture operative (Operational Technology, OT) è diventata una sfida critica e in continua evoluzione. Le infrastrutture che alimentano le forniture energetiche, la produzione manifatturiera, i servizi idrici e altro ancora, sono infatti ormai ampiamente integrate con i sistemi informatici…

Sviluppare capacità di risposta agli incidenti SaaS

Sviluppare capacità di risposta agli incidenti SaaS

A cura di:James Robinson Ore Pubblicato il

Ogni team di sicurezza ha un piano di risposta agli incidenti. Una strategia e una preparazione avanzate sono assolutamente indispensabili per garantire una risposta rapida a data breach, ransomware e numerose altre sfide, ma la maggior parte delle aziende ha sviluppato un piano di risposta agli incidenti anni fa, se non decenni fa, e lo…

Bitcoin, Blockchain e il ginepraio delle fonti (in)attendibili

Bitcoin, Blockchain e il ginepraio delle fonti (in)attendibili

A cura di:Marilù Pagano Ore Pubblicato il

Se c’è una cosa difficile da fare in un contesto informativo che brulica di opinioni e documenti ufficiali, è rimettere ordine e stabilire, nella gerarchia delle fonti, quali di esse possano essere considerate attendibili e quali invece non possano essere connotate come tali. Questo assunto non può non essere valido anche – e soprattutto –…

Differenza tra sicurezza IT e OT

Differenza tra sicurezza IT e OT

A cura di:Cesare Gallotti Ore Pubblicato il

A ottobre 2018, Daniel Ehrenreich, esperto di sicurezza della “tecnologia operativa” (OT), ha pubblicato un breve articolo su LinkedIn con l’immagine che accompagna questo articolo. In sostanza dice che chi si occupa di sicurezza informatica (orientata alla difesa di riservatezza, integrità e disponibilità) non può riutilizzare gli stessi concetti legati alla sicurezza della tecnologia “operativa”….

Strumenti per la privacy e l’anonimato online

Strumenti per la privacy e l’anonimato online

A cura di:Fabio Carletti aka Ryuw Ore Pubblicato il

La privacy sembra un concetto ormai del passato, chiunque usi un dispositivo elettronico connesso ad internet al momento non ha alcuna privacy. A molte persone non importa chi abbia accesso ai loro file, far sapere le proprie abitudini di navigazione o dove si trova, per altri questo può rappresentare un problema significativo. I governi hanno…