(ovvero: il Cyberattack più ingannevole della storia).
Il primo gennaio 1863 nasceva Pierre De Coubertin, l’uomo a cui
dobbiamo dire grazie per aver reintrodotto le Olimpiadi. I suoi
intenti nobili e i suoi valori sono l’essenza dello Sport ma
purtroppo spesso sono stati e sono ancora oggi continuamente traditi.
Perché, dopo così tanti anni, siamo ancora così affascinati dalle
Olimpiadi?
Oltre a dare visibilità a tutti gli sport e a simboleggiare l’unione
tra popoli in tempi difficili, le Olimpiadi rappresentano la
continuità con le nostre origini. I cinque cerchi, infatti, sono
percepiti come un filo conduttore che parte dall’antica Grecia e
che arriva sino al XXI secolo. Un punto di contatto tra noi e le
nostre radici. Cambiano le nazioni, cambiano le monete, gli usi e i
costumi, ma l’uomo resta sempre protagonista.
Con il mondo dello sport sempre più orientato verso interessi
economici a discapito della passione, non meraviglia affatto una
storia emersa negli ultimi tempi e che racconta di come ai nostri
giorni nulla possa essere considerato sicuro e tutto possa
rappresentare un obiettivo per coloro che, sempre più spesso,
ingaggiati e finanziati da vari Stati, creano turbolenze per
determinare cambiamenti sociali, politici ed economici che li possano
favorire.
Tratto dal libro Sandworm di Andy Greenberg, questo
articolo ripercorre la storia dell’attacco cibernetico avvenuto
alla vigilia dei Giochi Olimpici Invernali 2018; una storia passata
sotto silenzio e di cui si è saputo molto poco ma che rappresenta
uno degli esempi più eclatanti di cyberwar della storia.
Poco prima delle 20:00 del 9 febbraio 2018, sulle montagne
nord-orientali della Corea del Sud, Sang-jin Oh si trovava
tranquillamente seduto su una sedia a poche decine di file dal
pavimento del vasto stadio olimpico pentagonale di Pyeongchang.
Indossava una giacca ufficiale delle Olimpiadi, grigia e rossa, che
lo teneva al caldo nonostante il clima quasi gelido, e il suo posto,
dietro la sezione stampa, era perfetto per avere una vista chiara e
completa del palco rialzato e circolare a poche centinaia di metri di
fronte a lui. La cerimonia di apertura dei Giochi olimpici invernali
2018 stava per iniziare.
Mentre le luci si snodavano intorno alla struttura scoperta dello
stadio, l’attesa si respirava attraverso il brusio di oltre 35.000
persone e lo spettacolo era fantastico. Era evidente che poche
persone vivessero l'attesa più intensamente di lui. Per più di tre
anni, il 47enne funzionario pubblico era stato responsabile delle
infrastrutture tecnologiche del comitato organizzatore delle
Olimpiadi di Pyeongchang. Aveva supervisionato la configurazione di
un'infrastruttura IT per i giochi che comprendeva più di 10.000 PC,
20.000 dispositivi mobili, 6.300 router Wi-Fi e 300 server in due
data center situati a Seoul.
Questa infrastruttura funzionava perfettamente o, almeno, così
sembrava fino a quel momento. Infatti, mezz'ora prima, aveva saputo
di un fastidioso problema tecnico. La fonte di questo problema era
una società IT da cui, per le Olimpiadi, erano stati affittati un
altro centinaio di server. Ed era chiaro che a mezz’ora
dall’inaugurazione, questa notizia era qualcosa di insopportabile,
soprattutto considerando che aveva gli occhi del mondo intero
addosso.
I data center di Seoul, invece, non segnalavano alcun tipo di
malfunzionamento ed il team di Oh credeva che i problemi fossero
gestibili. Non sapeva ancora che non si potevano stampare i biglietti
d’ingresso allo stadio. Così, si era sistemato al suo posto, pronto a
godersi quell’evento che rappresentava, sicuramente, il
momento più importante della sua carriera.
Dieci secondi prima delle 20, i numeri del countdown cominciarono ad
apparire, uno per uno, mentre un coro di voci di bambini scandivano
il countdown in coreano:
"Sip! ... Gu! ... amico! ... Chil!
Nel bel mezzo del conto alla rovescia, il telefono di Oh si illuminò
improvvisamente. Egli guardò in basso e vide un messaggio su
KakaoTalk,
una popolare app di messaggistica coreana. Il messaggio rappresentava
la peggiore notizia possibile che Oh avrebbe potuto ricevere in quel
momento: “C’era qualcosa o qualcuno che stava spegnendo tutti i
domain controller presenti nei data center di Seoul, ossia i server
che costituivano la spina dorsale dell'infrastruttura IT delle
Olimpiadi”.
Non appena cominciata la cerimonia di apertura, migliaia di fuochi
d'artificio esplosero intorno allo stadio e decine di marionette e
ballerini coreani entrarono sul palco. Oh, però, non stava vedendo
niente di tutto questo. Infatti, stava messaggiando furiosamente con
i componenti del suo staff mentre questi, impotenti, osservavano la
loro intera infrastruttura IT spegnersi inesorabilmente. Si rese ben
presto conto che ciò che la società partner aveva riferito non era
un semplice problema tecnico. Era stato il primo segnale di un
attacco in corso. Era, ormai, chiaro che doveva raggiungere il suo
centro operativo tecnologico.
Mentre Oh raggiungeva l’uscita dello stadio dalla sezione stampa, i
giornalisti intorno a lui avevano già iniziato a lamentarsi per il
malfunzionamento del Wi-Fi. Migliaia di televisori collegati a
Internet che mostravano la cerimonia intorno allo stadio e in altre
12 strutture olimpiche erano diventati neri. Tutti gli ingressi di
sicurezza basati su RFID che permettevano gli accessi ad ogni
edificio olimpico erano inattivi. Anche l'app ufficiale delle
Olimpiadi, compresa la funzione di biglietteria digitale, risultava
fuori servizio.
Il comitato organizzatore di Pyeongchang si era, comunque, preparato
per situazioni simili. Il suo gruppo per la sicurezza informatica si
era riunito 20 volte dal 2015. Avevano condotto esercitazioni già
nell'estate dell'anno precedente, simulando disastri come attacchi
informatici, incendi e terremoti. Ma ora che uno di quegli scenari da
incubo si era manifestato, la sensazione, per Oh, era sia esasperante
che surreale. "In realtà è successo," pensò Oh, come per
scuotersi dalla sensazione che fosse solo un brutto sogno.
Una volta che Oh si era fatto strada tra la folla, corse verso
l'uscita dello stadio e fuori, nella fredda aria notturna, venne
raggiunto da altri due dipendenti IT. Saltarono su un SUV Hyundai e
iniziarono i 45 minuti di auto più lunghi della loro vita, per
raggiungere la città costiera di Gangneung, dove si trovava il
centro operativo tecnologico delle Olimpiadi.
Dall'auto, Oh chiamò i dipendenti presenti allo stadio dicendo loro
di iniziare a distribuire hotspot Wi-Fi ai giornalisti e di dire alla
sicurezza di controllare i badge manualmente, perché tutti i sistemi
RFID erano fuori servizio. Ma questa era l'ultima delle loro
preoccupazioni. Oh sapeva che nell’arco di circa due ore la
cerimonia di apertura sarebbe finita e decine di migliaia di atleti,
visitatori e spettatori avrebbero scoperto che non avevano
connessioni Wi-Fi e nessun accesso all'app delle Olimpiadi, piena di
orari, informazioni sugli hotel e mappe. Il risultato sarebbe stato
umiliante. Se non fossero riusciti a far ripartire i server entro la
mattina successiva, l'intero back-end IT del comitato organizzatore,
responsabile di tutto, dai pasti alle prenotazioni alberghiere, fino
alla biglietteria degli eventi, sarebbe rimasto offline mentre i
giochi sarebbero stati in pieno svolgimento. Si prospettava
all’orizzonte il più grande fiasco tecnologico della storia in uno
dei paesi tecnologicamente più avanzati del mondo.
Oh arrivò al centro operativo tecnologico di Gangneung alle 21, a
metà della cerimonia di apertura. Il centro consisteva di un grande
openspace con scrivanie e computer per 150 dipendenti; un’intera
parete era coperta di schermi. Quando entrò, molti dei membri dello
staff erano in piedi, raggruppati, e stavano discutendo con ansia
come rispondere all'attacco. Il problema era anche aggravato dal
fatto che i servizi di base come la posta elettronica e la
messaggistica erano off-line.
Tutti e nove i Domain Controller che governavano l’autenticazione,
erano stati in qualche modo messi fuori uso, rendendo inaccessibile
qualsiasi risorsa. Il personale aveva deciso una soluzione
temporanea, ossia quella di bypassare le macchine cosiddette
gatekeeper morte impostando l’accesso in modo diretto su tutti i
server sopravvissuti che alimentavano alcuni servizi di base, come il
Wi-Fi e i televisori collegati a Internet. In questo modo, riuscirono
a riportare online quei servizi pochi minuti prima della fine della
cerimonia.
Nelle due ore successive, mentre tentavano di ricostruire i Domain
Controller per ricreare una rete migliore e più sicura, i tecnici
avrebbero scoperto che, come nel gioco della talpa, i servizi
venivano interrotti molto più rapidamente di quanto loro fossero in
grado di ripristinarli. Segno evidente della presenza di qualcuno
all’interno della rete.
Pochi minuti prima di mezzanotte Oh e i suoi amministratori di
sistema decisero a malincuore una misura disperata: avrebbero
disconnesso l'intera rete da Internet nel tentativo di isolarla dagli
attaccanti perché era chiaro che questi potevano muoversi
all’interno grazie ai canali di comando e controllo che avevano
realizzato. Ovviamente, ciò significava abbattere ogni servizio,
anche il sito web pubblico delle Olimpiadi. D’altra parte, sarebbe
stato l’unico modo per sradicare qualsiasi infezione.
Per il resto della notte Oh e il suo staff lavorarono freneticamente
per ricostruire il “sistema nervoso digitale” delle Olimpiadi.
Alle 5 del mattino, un partner di sicurezza coreano,
AhnLab,
era riuscito a creare una firma antivirus che avrebbe potuto aiutare
il personale di Oh a bloccare il malware sulle migliaia di PC e
server della rete che erano stati infettati.
Alle 6:30 del mattino, gli amministratori dei sistemi reimpostarono
le password dello staff nella speranza di bloccare qualsiasi
possibilità di accesso agli hacker. Poco prima delle 8 di quella
mattina, quasi esattamente 12 ore dopo l'inizio dell'attacco
informatico alle Olimpiadi, Oh e i suoi collaboratori, insonni,
finirono di ricostruire i loro server dai backup e iniziarono a
riavviare i servizi.
Sorprendentemente, funzionò ogni cosa e, tutto sommato, il
disservizio fu minimo. Un giornalista del Boston Globe, in seguito,
definì i giochi "impeccabilmente organizzati". Migliaia di
atleti e milioni di spettatori rimasero ignari del fatto che lo staff
delle Olimpiadi aveva trascorso la notte combattendo contro un nemico
invisibile che minacciava di gettare l'intero evento nel caos.
Poche ore dopo l'attacco, le prime voci, però, cominciarono a
circolare nelle comunità di sicurezza informatica relativamente ai
problemi che avevano fatto cadere il sito web delle Olimpiadi, le
infrastrutture Wi-Fi e le varie applicazioni durante la cerimonia di
apertura. Due giorni dopo la cerimonia, il comitato organizzatore di
Pyeongchang confermò di essere stato il bersaglio di un attacco
informatico ma si rifiutò di commentare chi avrebbe potuto esserci
dietro quell’attacco.
L’incidente diventò, immediatamente, un caso internazionale. Chi
avrebbe avuto il coraggio di effettuare un attacco informatico alle
infrastrutture digitali delle Olimpiadi? L'attacco informatico di
Pyeongchang si sarebbe rivelato l'operazione di hacking più
ingannevole della storia durante il quale vennero usati i mezzi più
sofisticati mai visti prima per confondere gli analisti forensi nella
ricerca dei colpevoli.
La difficoltà di dimostrare la fonte di un attacco, il cosiddetto
problema di attribuzione, ha afflitto la sicurezza informatica fin
dagli albori di Internet. Gli hacker più sofisticati possono
realizzare le loro connessioni sfruttando rotte tortuose e inserendo
vicoli ciechi all’interno delle rotte stesse, rendendo quasi
impossibile seguire le loro tracce. Gli analisti forensi hanno
comunque imparato a determinare l'identità degli hacker con altri
mezzi, cercando indizi nel codice, connessioni infrastrutturali e
motivazioni politiche.
Negli ultimi anni, tuttavia, i cyberspies e i sabotatori
sponsorizzati dagli Stati hanno sempre più sperimentato un altro
trucco: piantare le cosiddette “false flags”. Questi atti, volti
ad ingannare sia gli analisti di sicurezza che i tecnici, hanno dato
origine a narrazioni fantasiose sulle identità degli hacker che sono
difficili da cancellare, anche dopo l’annuncio da parte dei governi
dei risultati ufficiali ottenuti dalle loro agenzie di intelligence.
Certamente, non aiuta il fatto che questi risultati ufficiali
arrivino, spesso, settimane o addirittura mesi, dopo che l’attacco
è avvenuto, ma tant’è.
Ad esempio, quando gli hacker nordcoreani hanno violato la Sony
Pictures nel 2014 per impedire il rilascio di “The Interview”,
si
sono inventati un gruppo “hacktivista” chiamato “Guardiani
della Pace” e hanno cercato di fuorviare gli
investigatori tramite una vaga richiesta di riscatto. Anche dopo che
l'FBI aveva dichiarato la responsabilità della Corea del Nord e la
Casa Bianca aveva imposto nuove sanzioni contro il regime di Kim come
punizione, diverse aziende di sicurezza hanno continuato a sostenere
che l'attacco doveva essere stato generato dall’interno.
Quando gli hacker russi sponsorizzati dallo stato hanno rubato e rese
pubbliche le e-mail del Comitato Nazionale Democratico e della
campagna di Hillary Clinton nel 2016, adesso sappiamo che il
Cremlino, allo stesso modo, si è inventato storie per coprire e
deviare su altri le responsabilità di quell’attacco. Ha inventato
un hacker rumeno solitario di nome
Guccifer
2.0 a cui attribuire l’attacco e ha anche diffuso le
voci che una persona dello staff democratico, poi assassinata, di
nome Seth Rich fosse il responsabile della pubblicazione delle e-mail
e della distribuzione di documenti rubati utilizzando un sito falso
chiamato DCLeaks. Queste false notizie o inganni, che dir si voglia,
divennero teorie cospirative, utilizzate e strumentalizzate dai
sostenitori della destra e dal candidato presidenziale Donald Trump.
Si era, così, creato un clima di sfiducia nelle istituzioni e un
credito verso coloro che sostenevano le tesi false e gli scettici
respingevano, anche, indizi evidenti che portavano alla
responsabilità del Cremlino tanto che anche una dichiarazione
congiunta da parte delle agenzie di intelligence statunitensi,
avvenuta quattro mesi dopo, che attribuiva alla Russia la
responsabilità dell’attacco non poteva più far cambiare ciò che
la gente comune pensava in merito all’accaduto. Ed ancora oggi, da
un sondaggio dell’Economist, emerge che circa soltanto la metà
degli americani ha detto di credere che la Russia interferisse nelle
elezioni.
Con il malware che ha colpito le Olimpiadi di Pyeongchang, l’arte
dell'inganno digitale ha fatto enormi passi avanti. Gli investigatori
avrebbero trovato nel codice malevolo non solo una singola false flag
ma diversi altri falsi indizi che puntavano a diversi potenziali
colpevoli. E alcuni di questi indizi sono stati nascosti così
profondamente tanto da far dire che una cosa simile non era mai
successa prima di allora.
Fin dall'inizio, le motivazioni geopolitiche dietro i sabotaggi
olimpici erano tutt'altro che chiare. È noto che qualsiasi attacco
informatico in Corea del Sud viene, naturalmente, addebitato alla
Corea del Nord. Il cosiddetto “regno degli eremiti” ha tormentato
i vicini capitalisti con provocazioni militari e cyberwar di basso
livello per anni. Alla vigilia delle Olimpiadi, gli analisti della
società di sicurezza informatica McAfee avevano avvertito che gli
hacker di lingua coreana avevano preso di mira gli organizzatori
olimpici di Pyeongchang con e-mail di phishing e che la Corea del
Nord fosse responsabile della creazione di un malware ad hoc con il
quale colpire l’infrastruttura digitale delle Olimpiadi.
Ci sono stati, comunque, segnali contraddittori sulla scena pubblica.
All'inizio delle Olimpiadi, la Corea del Nord sembrava sperimentare
un approccio più amichevole. Il dittatore nordcoreano, Kim Jong-un,
aveva mandato sua sorella come emissario diplomatico ai giochi e
aveva invitato il presidente della Corea del Sud, Moon Jae-in, a
visitare la capitale nordcoreana di Pyongyang. I due paesi avevano
persino lanciato l’ipotesi di partecipare ai Giochi con un’unica
squadra di
hockey
femminile. Perché la Corea del Nord avrebbe dovuto
lanciare, dunque, un attacco informatico dirompente nel bel mezzo dei
Giochi?
Poi c'era la Russia. Il Cremlino aveva il suo movente per un attacco
a Pyeongchang. Le indagini sul doping da parte di atleti russi
avevano portato a un risultato umiliante prima delle Olimpiadi del
2018: i suoi atleti sarebbero stati autorizzati a competere, ma non a
indossare i colori russi o accettare medaglie per conto del loro
paese. Per anni, prima di quel verdetto, una squadra di hacker russi
sponsorizzata dallo stato, conosciuta come
Fancy
Bear, aveva reagito, rubato e fatto trapelare dati in
merito alle pratiche del doping. L'esilio della Russia dai giochi era
esattamente il tipo di leva che poteva ispirare il Cremlino a
scatenare un attacco dirompente durante la cerimonia di apertura. Se
il governo russo non avesse potuto godersi le Olimpiadi, allora non
lo avrebbe fatto nessuno.
Anche qui, però, le cose non erano così chiare. Qualche giorno
prima della cerimonia di apertura, la Russia aveva negato qualsiasi
attività di hacking che avesse come oggetto le Olimpiadi. "Sappiamo
che i media occidentali stanno pianificando pseudo-indagini sul tema
delle "impronte digitali russe" negli attacchi di hacking
contro le risorse informatiche relative all'hosting dei Giochi
Olimpici Invernali nella Repubblica di Corea", aveva detto il
Ministero degli Esteri russo all’agenzia Reuters. "Naturalmente,
non c’è nessuna prova che lo dimostra."
In realtà, ci sarebbero state molte prove che potevano portare a
considerare la responsabilità della Russia. Il problema vero è che
ce n’erano tante altre che indicavano il contrario secondo un
classico gioco degli inganni.
Tre giorni dopo la cerimonia di apertura, la divisione di sicurezza
Talos
di Cisco rivelò di avere ottenuto una copia del
malware creato per le Olimpiadi e di averlo sezionato ed analizzato.
Qualcuno dal comitato organizzatore delle Olimpiadi o, forse, la
società di sicurezza coreana AhnLab aveva, infatti, caricato il
codice malevolo su
VirusTotal.
La società avrebbe, successivamente, pubblicato i risultati
dell’analisi in un post sul blog e avrebbe assegnato al malware il
nome di
Olympic
Destroyer.
In linea di principio, l'anatomia di Olympic Destroyer ricordava due
precedenti attacchi informatici russi: NotPetya e Bad Rabbit. Come
nel caso di quei precedenti attacchi, anche Olympic Destroyer
utilizzava uno strumento di “credential theft”, combinato con le
funzionalità di accesso remoto di Windows che, grazie a
vulnerabilità esposte per la mancanza di aggiornamenti, permetteva
di diffondersi tra le varie macchine in rete. Infine, ha utilizzato
un componente per la distruzione dei dati al fine di eliminare la
configurazione di avvio dalle macchine infette prima di disabilitare
tutti i servizi di Windows e spegnere i computer in modo che non
potessero essere riavviati. Gli analisti della società di sicurezza
CrowdStrike
avrebbero trovato altro codice che faceva riferimento alla Russia;
elementi che assomigliavano a un pezzo di ransomware russo noto come
XData.
Nonostante ciò, non c’era chiarezza perchè sembrava che non ci
fosse una chiara corrispondenza, in termini di codice tra Olympic
Destroyer e i precedenti worm NotPetya o Bad Rabbit anche se
contenevano caratteristiche simili. A quanto pareva, molto
probabilmente, erano state ricreate da zero o copiate da altre
sorgenti.
Da un’analisi ancora più profonda, è emerso che la parte di
cancellazione dei dati di Olympic Destroyer aveva le stesse
caratteristiche del codice di eliminazione dei dati che era stato
utilizzato non dalla Russia, ma dal gruppo di hacker nordcoreano noto
come
Lazarus.
Quando i ricercatori di Cisco hanno messo fianco a fianco le
strutture logiche dei componenti di cancellazione dei dati,
effettivamente, sembravano corrispondere anche se in modo
approssimativo. Entrambi distruggevano i file con la stessa modalità:
eliminare solo i primi 4.096 byte. Si poteva dire che la Corea del
Nord era dietro l'attacco, quindi?
C'erano, però, anche altre tracce che portavano in direzioni
completamente diverse. La società di sicurezza
Intezer
notò che un pezzo del codice per rubare le credenziali e le password
era abbinato esattamente agli stessi strumenti utilizzati da un
gruppo di hacker noto come
APT3,
un gruppo che più aziende di sicurezza informatica hanno collegato
al governo cinese. La società era riuscita anche ad identificare un
componente che Olympic Destroyer aveva utilizzato per generare le
chiavi di crittografia e lo aveva associato ad un ulteriore gruppo,
APT10,
anch’esso collegato alla Cina. Intezer ha sottolineato che il
componente di crittografia non era mai stato utilizzato prima da
altri team di hacking. Russia? Corea del Nord? Cina? Più si
procedeva con l’analisi del malware e più attori si palesavano
all’orizzonte e tutto pareva, anche, estremamente contradditorio.
Infatti, tutti quegli indizi, come detto, molto spesso
contraddittori, sembravano progettati non per condurre gli analisti
verso un’unica risposta, ma per creare confusione e rendere
oltremodo difficile la soluzione dell’enigma. Il mistero metteva a
dura prova gli investigatori creando una quantità enorme di dubbi.
"Si è trattato di una vera e propria guerra psicologica rivolta
agli analisti", affermò Silas Cutler, un ricercatore di
sicurezza che all'epoca lavorava per CrowdStrike.
Questo dubbio, proprio come gli effetti del sabotaggio alle
Olimpiadi, sembrava essere stato il vero obiettivo del malware, disse
Craig Williams, un ricercatore di Cisco. "Anche quando un simile
attacco porta a termine la sua missione, appare evidente il reale
messaggio che viene inviato alla comunità della sicurezza",
disse Williams. "In un’analisi di un attacco cyber è
difficilissimo attribuire la responsabilità perché si può sempre
essere fuorviati." E questa è, davvero, una profonda verità.
Il comitato organizzatore delle Olimpiadi, si è scoperto, non era
l'unica vittima di Olympic Destroyer. Secondo la società di
sicurezza russa Kaspersky, l'attacco informatico colpì anche altri
obiettivi collegati con le Olimpiadi, tra cui Atos, un fornitore di
servizi IT in Francia che aveva sostenuto l'evento, e due stazioni
sciistiche a Pyeongchang. Una di queste località era stata infettata
abbastanza seriamente tanto che gli impianti di risalita erano stati
temporaneamente bloccati.
Nei giorni dopo l'attacco durante la cerimonia di apertura dei
Giochi, il “Global Research and Analysis Team di Kaspersky” era
riuscito ad ottenere una copia del malware Olympic Destroyer da una
delle stazioni sciistiche e aveva cominciato ad analizzarlo in modo
diverso rispetto a quanto fatto da Cisco e Intezer. Aveva analizzato
la sua "intestazione", una parte dei metadati del file che
include indizi su quali tipi di strumenti di programmazione sono
stati utilizzati per scriverlo. Confrontando quell'intestazione con
altre campioni di malware, trovarono una perfetta corrispondenza con
il metodo di cancellazione dei dati usati dagli hacker nordcoreani
Lazarus, lo stesso che Cisco aveva già indicato. La teoria
nordcoreana sembrava confermata.
Ma un ricercatore anziano di Kaspersky di nome Igor Soumenkov decise
di fare qualcosa di diverso. Soumenkov era noto per essere un
prodigio nel campo dell’ethical hacking ed era stato reclutato nel
team di ricerca di Kaspersky fin da giovanissimo dal momento che
aveva una conoscenza straordinariamente profonda delle intestazioni
dei file. Così decise di ricontrollare le scoperte dei suoi
colleghi.
Soumenkov esaminò il codice e stabilì che i metadati
dell'intestazione non avevano nessun tipo di relazione con il codice
del malware; il malware non era stato scritto con gli strumenti di
programmazione che, solitamente, vengono associati all'intestazione.
In definitiva, i metadati rappresentavano un falso.
Questo era qualcosa di diverso rispetto a tutti gli altri segni di
depistaggio che i ricercatori avevano trovato fino a quel momento.
Infatti, fino ad allora, nessuno era stato in grado di dire con
certezza quali indizi fossero reali e quali no. Ma ora, entrando
nelle pieghe reali del codice e dei metadati, Soumenkov aveva trovato
una false flag, il cosiddetto vero inganno. Era ormai chiaro che
qualcuno aveva cercato di far sì che il malware potesse essere
attribuito alla Corea del Nord e che c’era quasi riuscito ma grazie
al meticoloso controllo triplo di Kaspersky, l’inganno era venuto
alla luce.
D’altra parte, era, anche, evidente che il codice non fosse
attribuibile alla Cina perché, di norma, il codice cinese è molto
riconoscibile e questo era profondamente diverso.
E allora? Se non la Cina, se non la Corea del Nord, allora chi?
Qualche mese dopo, in una sala conferenze di Kaspersky, di fronte a
questa domanda, Soumenkov, tirò fuori da una piccola borsa di stoffa
nera una serie di dadi. Su ogni lato dei piccoli cubi neri c’erano
scritte parole come Anonimo, Cybercriminali, Hacktivisti, Stati
Uniti, Cina, Russia, Ucraina, Cyberterroristi, Iran. Si trattava dei
famosi dadi di attribuzione.
Kaspersky, come molte altre aziende di sicurezza, utilizza una
rigorosa politica che riguarda solo la capacità di bloccare gli
attacchi hacker senza mai nominare il Paese o il Governo dietro ai
quali ci possa essere l’attacco stesso. Ma il cosiddetto dado di
attribuzione che Soumenkov teneva in mano rappresentava, ovviamente,
l'esasperazione del problema dell'attribuzione stessa e cioè “che
nessun attacco informatico possa mai essere veramente ricondotto alla
sua fonte, e chiunque ci provi è semplicemente uno che tira ad
indovinare”.
Michael Matonis stava lavorando da casa sua quando iniziò a tirare i
fili che avrebbero svelato il mistero di Olympic Destroyer. Il
28enne, un ex punk anarchico, trasformato in ricercatore di
sicurezza, ancora non aveva una scrivania nell’ufficio di FireEye.
Così, quando iniziò ad esaminare il malware che aveva colpito
Pyeongchang, Matonis era seduto nel suo spazio di lavoro
improvvisato: una sedia di metallo pieghevole con il suo portatile
appoggiato su un tavolo di plastica.
Per un capriccio, Matonis decise di provare un approccio
completamente diverso rispetto a coloro che lo avevano analizzato
fino a quel momento. Non cercò indizi nel codice del malware ma
cominciò ad esaminare un elemento molto più banale dell'operazione:
un falso documento Word, malevolo, che era servito come primo passo
nella quasi disastrosa campagna di sabotaggio della cerimonia di
apertura.
Il documento, che sembrava contenere un elenco di delegati VIP ai
giochi, era stato probabilmente inviato via email al personale delle
Olimpiadi come allegato. Se qualcuno avesse aperto quell'allegato,
sarebbe stato eseguito uno script dannoso che avrebbe installato una
backdoor sul proprio PC, offrendo agli hacker il loro primo punto
d'appoggio nella rete di destinazione. Quando Matonis estrasse il
documento da VirusTotal, vide che l'esca era stata probabilmente
inviata allo staff delle Olimpiadi alla fine di novembre 2017, più
di due mesi prima dell'inizio dei giochi. Gli hacker erano penetrati
nella rete olimpica, pertanto, qualche mese prima in modo da
innescare il proprio attacco.
Matonis cercò di trovare delle corrispondenze con quel campione di
codice analizzando i documenti presenti in VirusTotal e nei database
di FireEye. Durante una prima scansione, non trovò nulla ma Matonis
notò, comunque, che alcune decine di documenti infettati da malware
e presenti negli archivi, corrispondevano alle caratteristiche,
approssimativamente, del suo file: macro Word costruite per lanciare
comandi Powershell. Continuando nell’analisi, alla fine, Matonis
trovò che il tentativo di rendere unici i file codificati aveva,
invece, reso questi file un gruppo decisamente riconoscibile. Ben
presto scoprì che alla base della generazione di questi file
malevoli, c’era uno strumento facilmente reperibile online chiamato
“
Malicious
Macro Generator”.
Matonis ipotizzò che gli hacker avessero scelto il programma per
confondersi con altri autori di malware, ma alla fine avevano
ottenuto l'effetto opposto. Oltre a ciò, notò che il gruppo di
macro malevole era unito dai nomi degli autori che vennero estratti
dai metadati. Quasi tutti erano stati scritti da qualcuno di nome
"AV", "BD" o "John".
Tra i file analizzati, Matonis trovò altri due documenti esca
risalenti al 2017 che sembravano colpire i gruppi di attivisti
ucraini LGBT, utilizzando file infetti da parte di finte
organizzazioni che combattevano per i diritti gay. Altri, invece,
prendevano di mira le aziende ucraine e le agenzie governative.
Questo, per Matonis, era un territorio familiare: per più di due
anni, aveva visto la Russia lanciare una serie di operazioni
distruttive di hacking contro l'Ucraina, una guerra informatica
implacabile che accompagnò l'invasione della Russia dopo la sua
rivoluzione pro-occidentale del 2014.
Anche se quella guerra fisica aveva ucciso 13.000 persone in Ucraina
e sfollato milioni di persone, un gruppo di hacker russi noto come
Sandworm
aveva condotto una vera e propria guerra informatica contro
l'Ucraina: aveva bloccato le aziende ucraine, le agenzie governative,
le ferrovie, e gli aeroporti con ondate di intrusioni che distrussero
una quantità enorme di dati, tra cui due violazioni senza precedenti
delle utenze elettriche ucraine nel 2015 e 2016 che avevano causato
blackout per centinaia di migliaia di persone. Questi attacchi
culminarono in NotPetya, un malware che si era diffuso rapidamente
oltre i confini dell'Ucraina e che, alla fine, inflisse 10 miliardi
di dollari di danni alle reti globali: il più costoso attacco
informatico della storia.
A quel punto, nella testa di Matonis, tutti gli altri sospetti per
l'attacco olimpico caddero. Matonis non poteva ancora collegare
l'attacco a un particolare gruppo di hacker, ma solo un paese avrebbe
avuto come bersaglio l'Ucraina, quasi un anno prima dell'attacco di
Pyeongchang, usando la stessa infrastruttura che avrebbe poi usato
per hackerare il comitato organizzatore delle Olimpiadi, e non era la
Cina o la Corea del Nord.
Stranamente, altri documenti infetti nelle mani di Matonis sembravano
avere come vittime il mondo immobiliare e commerciale russo. Una
squadra di hacker russi aveva il compito di spiare qualche oligarca
russo per conto dei loro maestri di intelligence?
Indipendentemente da ciò, Matonis aveva, finalmente, tagliato il
traguardo trovando chi ci fosse stato dietro all'attacco informatico
delle Olimpiadi del 2018: il Cremlino.
"Il caso di Olympic Destroyer ha rappresentato la prima volta
in cui qualcuno ha usato false flags in un attacco significativo e
rilevante per la sicurezza nazionale e ha rappresentato un assaggio
di come potrebbero essere i conflitti del futuro."
Ci sarebbe ancora molto da dire ma credo che la cosa migliore sia
quella di dedicare tempo alla lettura di “Sandworm” di Andy
Greenberg che, come detto all’inizio, è stata la fonte per
scrivere questa storia e comprendere, sempre più, che sia necessario
allargare lo sguardo di ognuno di noi ed analizzare fino in fondo gli
incidenti di sicurezza per comprendere cosa ci sia realmente dietro
quelli che, apparentemente, sembrano attacchi scollegati l’uno
dall’altro.
La nostra sicurezza passa sempre attraverso la nostra voglia di
studiare e comprendere gli eventi nel profondo e, per riprendere una
frase di Bernard Baruch: In milioni hanno visto la mela cadere,
ma Newton è stato quello che si è chiesto perché.
Carlo Mauceli
Altre
fonti: The Untold Story of NotPetya, the
Most Devastating Cyberattack in History