È
sabato 17 Luglio 2021 ed insieme a Alessandro Rugolo, Danilo
Mancinone, Giorgio Giacinto e le rispettive famiglie ci troviamo
vicino a Dorgali, piccolo paese nel centro della Barbagia per un
pranzo sardo in allegria.
“Carlo,
questa settimana il mio Windows ha fatto ben due aggiornamenti in due
momenti diversi. Come mai? Avete rilasciato delle patch specifiche o
delle nuove funzionalità?” mi chiedono all’unisono Danilo,
Alessandro e Giorgio tra un piatto di culurgiones e una tagliata di
pecora 😊.
Potete
immaginare la mia faccia in quel momento di fronte a questa domanda
😊
Così,
dopo un buon bicchiere di cannonau, mi sono travestito da Alberto
Angela 😊
e ho cominciato a parlare del sorgo o saggina, pianta erbacea annuale
appartenente alla famiglia delle graminacee. In particolare, si
tratta del quinto cereale in ordine d'importanza, dopo il mais, il
riso, il grano e l'orzo. La pianta di sorgo, simile a quella del
mais, può raggiungere anche i due metri di altezza.
Sourgum, però (dal latino “Sorghum” ?) è il nome assegnato da
Microsoft ad un gruppo appartenente ai cosiddetti PSOA, “Private
Sector Offensive Actor”, ossia aziende del settore privato che
producono e vendono armi informatiche.
Si
tratta di una nuova minaccia estremamente pericolosa per i
consumatori, le aziende di tutte le dimensioni e i governi.
Si
ritiene che Sourgum sia
un attore offensivo del settore privato con sede in Israele
e Microsoft, grazie alla stretta collaborazione con Citizen
Lab,
ha identificato che il gruppo farebbe capo a un'azienda chiamata
Candiru,
famosa per la vendita di strumenti di hacking e spyware.
Il
business di Sourgum è quello di vendere armi informatiche che
consentono ai suoi clienti, spesso agenzie governative di tutto il
mondo, di hackerare computer, telefoni, infrastrutture di rete e
dispositivi connessi a Internet. Queste agenzie scelgono,
successivamente, chi prendere di mira e gestiscono da sole le
operazioni effettive. Insomma una vera e propria vendita di armi.
Il
Microsoft Threat Intelligence Center (MSTIC) e il Microsoft Security
Response Center (MSRC), dopo settimane di analisi e ricerca, hanno
provveduto a disabilitare queste armi cibernetiche che sono state
utilizzate in attacchi puntuali verso politici, attivisti per i
diritti umani, giornalisti, accademici, dipendenti delle ambasciate e
dissidenti politici. Per limitare questi attacchi, le azioni
condotte sono state, principalmente, due:
innanzitutto,
sono stati integrati nelle soluzioni di sicurezza, protezioni contro
il malware unico creato da Sourgum; protezioni che sono state poi
condivise con la comunità della sicurezza in modo da potere
proteggere chiunque sia in modalità proattiva che reattiva.
in
secondo luogo, è stato rilasciato un aggiornamento software in
grado di proteggere in modo puntuale i clienti che utilizzano
Windows dagli exploit che Sourgum stava utilizzando per distribuire
il suo malware.
Le
attività, come detto sono durate settimane durante le quali è stato
esaminato il malware, ne è stato documentato il funzionamento e sono
state sviluppate le protezioni in grado di rilevarlo e
neutralizzarlo.
Il
malware è stato chiamato DevilsTongue e tutte le informazioni
tecniche per i clienti e la comunità della sicurezza sono
disponibili a questo link.
La
distribuzione di DevilsTongue sui computer delle vittime avveniva
attraverso una catena di exploit che hanno avuto impatto sui browser
più diffusi e sul sistema operativo Windows.
Ecco
perché, carissimi Danilo, Alessandro e Giorgio, durante la scorsa
settimana, Microsoft ha rilasciato gli aggiornamenti necessari alla
protezione di Windows per i due importanti exploit di Sourgum.
Le
protezioni rilasciate questa settimana impediranno agli strumenti di
Sourgum di funzionare su computer già infetti e impediranno nuove
infezioni su computer aggiornati e su quelli che eseguono Microsoft
Defender Antivirus, nonché su quelli che utilizzano Microsoft
Defender per Endpoint.
Questa
attività, come avvenuto in passato per altri attori, fa parte del
più ampio lavoro legale, tecnico e di advocacy che Microsoft ed
altre aziende che operano nel campo della sicurezza informatica,
intraprendono per affrontare i pericoli causati dagli PSOA.
Quanto
raccontato rappresenta, però, solo la punta dell’iceberg di un
fenomeno che rischia di allargarsi a macchia d’olio e di avere
effetti devastanti proseguendo sull’onda di Stuxnet, Wannacry e
molti altri malware sviluppati nel corso degli anni e che oggi vanno
sotto il nome di nation state attacks.
È
chiaro che la vendita di questi malware, vere e proprie armi
cibernetiche, da parte di aziende private, come detto
in precedenza,
aumentano il rischio che le armi stesse cadano nelle mani sbagliate e
minaccino la società nella quale viviamo fino a scalfire i diritti
umani.
Ecco
perché si moltiplicano azioni atte a frenare questa crescita e
difendere gli interessi delle aziende, dei cittadini e degli Stati
dagli attacchi cibernetici.
In
questo senso, Microsoft, insieme a diverse altre aziende quali
Google, Cisco, VMware, Linkedin, ecc. ha presentato un amicus
brief
a sostegno di una causa legale intentata da WhatsApp contro la
società di intelligence israeliana NSO Group, accusando la società
di utilizzare una vulnerabilità nascosta nell’app di messaggistica
per violare almeno 1.400 dispositivi, alcuni dei quali erano di
proprietà da giornalisti e attivisti per i diritti umani.
NSO
sviluppa e vende ai governi l’accesso al suo spyware Pegasus
consentendo ai suoi clienti dello stato-nazione di prendere di mira e
hackerare furtivamente i dispositivi dei suoi obiettivi. Spyware come
Pegasus possono tracciare la posizione di una vittima, leggere i suoi
messaggi e ascoltare le sue chiamate, rubare le foto e i file e
sottrarre informazioni private dal suo dispositivo. Lo spyware viene
spesso installato inducendo un bersaglio ad aprire un collegamento
dannoso o talvolta sfruttando vulnerabilità mai viste prima in app o
telefoni per infettare silenziosamente le vittime.
Tutto
ciò evidenzia in maniera ancora più prepotente come la minaccia
cyber sia diventata un vero e proprio business e si sta sempre più
passando dal concetto di cyber attack a quello di cyberwarfare così
come, sempre più spesso, gli obiettivi degli attaccanti sono
diventate le infrastrutture critiche degli Stati.
In
uno scenario simile, credo valgano molto le parole di Tom Burt,
responsabile della sicurezza e della fiducia dei clienti di Microsoft
Le
società private dovrebbero rimanere soggette a responsabilità
quando utilizzano i loro strumenti di sorveglianza informatica per
infrangere la legge, o ne consentono consapevolmente il loro utilizzo
per tali scopi, indipendentemente da chi siano i loro clienti o cosa
stiano cercando di ottenere”.
“Ci
auguriamo che stare insieme ai nostri concorrenti attraverso questo
brief amicus aiuterà a proteggere i nostri clienti collettivi e
l’ecosistema digitale globale da attacchi più indiscriminati”
L’equazione
sicurezza informatica=partnership è sempre più vera.
Carlo Mauceli
Per approfondire:
Sorghum
vulgare - Wikipedia
Geneva-Dialogue-Baseline-study-Role-of-Private-Sector.pdf
(genevadialogue.ch)
Citizen
Lab
Candiru
(212)
Israeli spyware firm Candiru hacked journalists and activists –
report - YouTube
Microsoft
Threat Intelligence Center Archives - Microsoft On the Issues
MSRC
- Microsoft Security Response Center
DevilsTongue
Spyware: the New Malware That Targets Windows Zero-Day Flaws
(heimdalsecurity.com)
Protecting
customers from a private-sector offensive actor using 0-day exploits
and DevilsTongue malware | Microsoft Security Blog
Stuxnet:
Il virus più pericoloso della storia eBook : Edizioni, Psyché:
Amazon.it: Kindle Store
Il
ransomware WannaCry: tutto quello che devi sapere | Kaspersky
Microsoft
- Google v Oracle Amicus Brief_for filing (5).pdf (supremecourt.gov)
NSO
GROUP - Cyber intelligence for global security and stability
https://www.agendadigitale.eu/sicurezza/cyber-warfare-tecniche-obiettivi-e-strategie-dietro-gli-attacchi-state-sponsored/
https://www.google.it/amp/s/it.insideover.com/guerra/cyberwar-e-sicurezza-informatica-ecco-cosa-ce-da-sapere.html/amp/
https://www.cybersecurity360.it/nuove-minacce/guerra-cibernetica-cyberwarfare-cose-presente-e-futuro-casi-famosi/
https://www.cybersecurity360.it/nuove-minacce/dal-concetto-di-cyber-attack-al-cyberwarfare-luso-della-forza-in-ambito-cyber/
Paper-Apr-2012_Cyberweapons.pdf
(strategicstudies.it)
https://www.zerounoweb.it/techtarget/searchsecurity/levoluzione-delle-cyber-weapons/
https://www.google.it/amp/s/www.ilsussidiario.net/news/il-caso-quelle-armi-low-cost-capaci-di-colpire-una-nazione/1925309/amp/
Google
e altre società si uniscono a Microsoft per opporsi all'NSO Group
(ispazio.net)
Pegasus:
the spyware technology that threatens democracy - video | News | The
Guardian
