LA GUERRA FREDDA NON È MAI FINITA - NEL MIRINO DEGLI HACKER RUSSI 300MILA COMPAGNIE IN TUTTO IL MONDO. ANDY GREENBERG: ''IMMAGINATE SE QUESTA OPERAZIONE SI FOSSE CONCENTRATA SULLA DISRUPTION INVECE CHE SULLO SPIONAGGIO: AVEVANO CONQUISTATO LE CHIAVI DEL REGNO, ATTRAVERSO CENTINAIA DI NETWORK STATUNITENSI, DURANTE LA MAGGIOR PARTE DI QUESTO ANNO DURISSIMO DI PANDEMIA E LAVORO A DISTANZA. È COME SE PUTIN AVESSE VOLUTO DIRE: POSSO MANDARVI IN TILT, MA STAVOLTA NON LO FARÒ''
1 - NEL MIRINO DI MOSCA 300MILA COMPAGNIE IN TUTTO IL MONDO
Paolo Mastrolilli per “la Stampa”
Gli attacchi digitali russi erano cominciati almeno a marzo, quando Biden non era neppure il candidato democratico alla Casa Bianca, e potenzialmente hanno preso di mira 300.000 compagnie e istituzioni in tutto il mondo. Ciò significa due cose: primo, le azioni aggressive di Mosca non sono mai terminate dal 2016, e quindi l'idea di Trump di riaprire il dialogo con Putin, per arrivare magari ad un «Accordo di Abramo» pure con lui, era un'illusione; secondo, il Cremlino in realtà non guarda in faccia all'amministrazione americana, chiunque ne sia alla guida, e Joe deve prepararsi alla prosecuzione degli assalti.
Se uno somma a questo la decisione annunciata ieri dal dipartimento di Stato di imporre sanzioni alla Turchia per aver sfidato la Nato con l'acquisto dei missili S400, diventa evidente che le relazioni tra Usa e Russia restano complessivamente ad uno dei livelli storici più bassi. Insieme a quelle con la Cina, rappresenteranno il dossier più scottante in termini di sicurezza nazionale per la nuova amministrazione, certificata ieri dal Collegio elettorale. Secondo le informazioni rivelate da FireEye, azienda specializzata nelle difese cibernetiche colpita dagli attacchi, gli hacker hanno usato gli aggiornamenti dei prodotti di monitoraggio digitale inviati dalla compagnia SolarWinds ai suoi clienti, per penetrarne i sistemi.
Ogni volta che uno li scaricava, azione in apparenza legittima, apriva in realtà la porta al malaware Sunburst, che dopo un paio di settimane in sonno cominciava a spiare e rubare informazioni. FireEye non punta il dito contro un colpevole, ma l'intelligence americana è convinta che sia stato il gruppo ATP29, anche noto come Cozy Bear, per conto del servizio di intelligence internazionale russo Svr. Naturalmente Mosca ha smentito, rimproverando i giornalisti e dicendo che «la Russia non conduce operazioni offensive». Siccome i prodotti di SolarWinds sono utilizzati da oltre 300.000 clienti, e circa 18.000 hanno installato gli aggiornamenti infettati, FireEye stima che lo spionaggio abbia colpito Nordamerica, Europa, Asia, Medio Oriente.
Ad una domanda de «La Stampa» sul coinvolgimento di entità italiane, la compagnia non ha confermato o smentito. Tra i clienti, e quindi potenziali vittime americane, oltre ai dipartimenti del Tesoro e Commercio ci sono anche il Pentagono, tutte le cinque armi, i dipartimenti di Stato e Giustizia, la Nasa, l'Executive Office del presidente e la National Security Agency, la principale agenzia per lo spionaggio elettronico dove lavorava Edward Snowden. Fra le aziende ci sono le prime dieci del settore telecomunicazioni.
Nel 2015 gli stessi hacker di Cozy Bear avevano rubato le mail di Hillary Clinton e del Partito democratico, e ciò dimostra la continuità delle azioni aggressive. Il tentativo di Mosca di influenzare le presidenziali del 2016 è stato ampiamente documentato dall'inchiesta del procuratore Mueller sul «Russiagate», anche se non ha provato la collaborazione diretta con la campagna di Trump. Lui ha sempre smentito, dicendosi sicuro di poter riaprire il dialogo con Putin, nell'interesse di tutti. Lo ha pure incontrato ad Amburgo, Danang, Helsinki ed Osaka, ma a giudicare dagli ultimi attacchi nulla è cambiato: il lupo perde il pelo, non il vizio.
2 - SPIONAGGIO OPPURE DISTRUZIONE LE DUE STRATEGIE DEGLI HACKER RUSSI
Jacopo Iacoboni per “la Stampa”
Sappiamo quasi tutto ormai di loro. Tranne come fermarli. Nel 2014 i servizi segreti olandesi riuscirono persino a piazzare delle videocamere nell'edificio universitario a due passi dalla Piazza Rossa di Mosca, che era stato adibito a loro quartier generale. Un'Università. Vi si vedevano entrare e uscire, oppure davanti a normali computer, dei ragazzi, giovani o a volte giovanissimi, con le sneakers Vans e lo zainetto.
Erano in realtà uno dei tre gruppi di hacker più pericolosi al mondo in questo momento: APT29 (o anche Cozy Bear, o The Dukes), cioè il gruppo che ha violato il Dipartimento del Tesoro e del Commercio Usa, l'importante azienda di cybersecurity americana FireEye, e una lunga schiera di loro clienti. Hanno attaccato un software, SolarWinds, usato da centinaia di grandi aziende, che ha accesso come admin nei loro sistemi. Una potenziale catastrofe informatica. APT (acronimo di Advanced Persistent Threat, «minaccia persistente avanzata») è una sigla che viene usata in cybersecurity per descrivere gruppi di hacker «sostenuti da stati», o almeno «sponsorizzati da stati» nemici dell'Occidente.
HACKER RUSSI ESPULSI DALL OLANDA
Ci sono però APT diversi, anche se a volte si sovrappongono nell'azione. APT29, quello di cui stiamo parlando, è ormai identificato con l'Svr, i servizi segreti esteri di Mosca (appoggiato anche dall'Fsb, erede del Kgb). In questi anni APT29 ha hackerato il sistema di mail del Dipartimento di Stato e della Casa Bianca durante l'amministrazione Obama. Ha colpito aziende tech e di telecomunicazioni, compagnie petrolifere e del gas in Nord America, Europa, Asia e Medio Oriente. Ha di recente hackerato le aziende produttrici del vaccino anti-Covid.
Tuttavia APT29 si concentra sul tradizionale spionaggio. Non ha fatto (finora) «hacks and leaks», ovvero non ha distribuito all'esterno il materiale rubato. Non li usa neanche per la "disruption", l'interruzione di servizi che, dopo un hackeraggio, può letteralmente far saltare pezzi di economia reale e aziende e infrastrutture (per esempio le reti elettriche). Andy Greenberg, che ha scritto uno dei libri più belli sugli hacker russi, osserva: «Immaginate se questa operazione fosse stata Sandworm piuttosto che APT29, e si fosse concentrata sulla disruption invece che sullo spionaggio: avevano conquistato le chiavi del regno, attraverso centinaia di network statunitensi, durante la maggior parte di questo anno durissimo di pandemia e lavoro a distanza».
È come se Putin avesse voluto dire: posso mandarvi in tilt, ma stavolta non lo farò. Dice Dmitry Alperovitch, di Crowdstrike, la prima azienda di cybersecurity che scoprì l'hackeraggio ai danni di Hillary Clinton: «Non abbiamo mai visto l'Svr condurre operazioni informatiche di distruzione. Per fortuna». La "disruption" è invece il marchio di fabbrica di due altri gruppi, APT28 (anche noto come Fancy Bear, dal nome del codice che fu usato per scoprirli) e Sandworm. Si tratta di due unità separate ma convergenti del Gru, i servizi segreti militari russi: loro quando hackerano puntano all'interruzione di servizi industriali e alla distruzione di un ambiente nemico.
barack obama hillary clinton 2016
Tanto è silenzioso (alla romanzo di Le Carré) APT29 quanto è rumoroso APT28. «Il GRU aveva più unità, comprese le unità 26165 [APT28, ndr.] e 74455 [Sandworm, ndr.], impegnate in operazioni che prevedevano il rilascio di documenti rubati», ha scritto Robert Mueller nell'atto d'accusa del luglio 2018 contro dodici ufficiali del Gru. «Queste unità hanno condotto operazioni su larga scala per interferire con le elezioni Usa del 2016». Anche APT28 violò le mail dei Democratici Usa: ma mentre APT29 era dentro i sistemi da metà del 2015, gli hacker militari di APT28 sono entrati per tre mesi, e hanno poi fatto uscire, contro la Clinton, tutti i leaks del materiale rubato, usando due piattaforme, una creata ad hoc (DCleaks) e una esistente (Wikileaks di Julian Assange). Stessa distruzione fisica ha prodotto Sandworm (l'unità 74455 del GRU) nel 2015 in Ucraina, buttando giù la rete elettrica e mettendo al buio un Paese. Oppure con il malware NotPetya. Questi hackeraggi sono compiuti da hacker militari del GRU.
Le vittime oltre che Hillary sono state Macron in Francia nel 2017, il Bundestag e Merkel (per i quali è incriminato Dmitry Badin), l'indagine del Regno Unito sull'attacco con agenti nervini russi del 2018 a Salisbury, per assassinare Skripal. Sandworm deriva il nome dal romanzo di fantascienza Dune, di Frank Herbert, in cui compare una creatura simile a un verme, lunga migliaia di chilometri, e indistruttibile se non con armi nucleari. Anche di loro sappiamo da dove operano: da un grattacielo di vetro azzurrato in 22 Kirova Street, sobborgo di Khimki di Mosca. Solo, non sappiamo come fermarli.
