Le tensioni fra Stati Uniti e Russia sul fronte digitale hanno raggiunto un nuovo climax. Ad aggiungere benzina sul fuoco ieri è stato uno scoop del Wall Street Journal, secondo il quale hacker al servizio di Mosca avrebbero rubato i dettagli di strumenti e metodi usati dalla Nsa, l’Agenzia di sicurezza nazionale statunitense, per penetrare a sua volta in computer e reti avversarie, e per difendersi da cyberattacchi.
IL DIPENDENTE NSA VIOLATO
Il furto sarebbe avvenuto a causa di un contractor della Nsa, un consulente dell’agenzia americana, che si sarebbe portato a casa il materiale classificato presumibilmente per lavorarci; salvo poi subire una violazione informatica.
E, dettaglio non da poco, per il Wall Street Journal, l’uomo - e i file della Nsa - sarebbero stati individuati dagli attaccanti attraverso l’antivirus della società russa Kaspersky, che la vittima aveva sul proprio computer di casa. L’attacco sarebbe avvenuto nel 2015, per essere poi scoperto dagli americani nella primavera 2016. Il Wall Street Journal cita diverse non identificate fonti governative americane, aggiungendo che il materiale sottratto conteneva dettagli su come la Nsa infiltrava reti straniere nonché il codice degli strumenti utilizzati.
L’uomo - che secondo il Washington Post era in realtà un dipendente americano di origine vietnamita del TAO, il gruppo di hacking d’élite della Nsa, dedito a operazioni offensive - non sarebbe accusato di essere al soldo di agenzie straniere, ma di aver violato il regolamento dell’agenzia che non permette di portarsi a casa simile materiale senza autorizzazione. A dir poco una leggerezza. E quindi di essere stato suo malgrado compromesso. Questo quanto riferito dal quotidiano americano.
Dal suo canto Kaspersky - nota società di cybersicurezza russa che conta 400 milioni di utenti globali - ha replicato in un comunicato che l’articolo non mostrerebbe alcuna prova del proprio coinvolgimento nella violazione del contractor; di non avere “legami inappropriati” con alcun governo, Russia inclusa; e di essere finita in mezzo a uno scontro geopolitico.
I DUBBI E GLI INTERROGATIVI
Fino a qui i fatti. Se la notizia è destinata ad avere importanti conseguenze politiche e commerciali, va detto che, mentre scriviamo, le domande che solleva e i dettagli mancanti restano numerosi, come evidenziato da molti commentatori ed esperti di sicurezza informatica.
Il primo interrogativo è il seguente: l’eventuale responsabilità di Kaspersky nell’attacco ai danni del dipendente della Nsa in cosa consiste esattamente? La risposta non è chiara al momento. L’interpretazione data da vari ricercatori è che l’antivirus della casa russa abbia individuato la “firma” di alcuni dei software usati dalla Nsa. Ricordiamo che proprio Kaspersky fu la prima società a tracciare una campagna di attacchi globale da parte di un gruppo molto sofisticato, che chiamò Equation Group. Pur senza attribuirlo esplicitamente agli Usa, molti osservatori ritennero che potesse trattarsi proprio della Nsa e del suo gruppo specializzato TAO. Tutto ciò avveniva all’inizio del 2015.
Dunque la tesi adombrata dall’articolo del WSJ - che è la tesi del governo o dell’intelligence Usa - sarebbe la seguente: l’antivirus Kaspersky, nel fare uno scan del computer del dipendente Nsa, avrebbe riconosciuto i nomi e/o le tracce di file associati a “malware” molto sofisticato, e li avrebbe caricati nel suo cloud. Una volta indicizzato il materiale, qualcuno a Kaspersky avrebbe passato le preziose informazioni ai servizi russi. Che si sarebbero poi mossi per violare il pc dell’americano. Tuttavia non sono mostrate prove che dimostrino questa ipotesi. E c’è quindi chi formula anche un altro tipo di scenario: cioè che l’antivirus abbia sì rilevato i file della Nsa, ma che i servizi russi ne siano venuti a conoscenza in modo autonomo, magari perché avevano compromesso lo stesso antivirus attraverso una sua vulnerabilità o l’infrastruttura di Kaspersky.
Alcuni esperti di sicurezza di area occidentale sembrano considerare questa seconda possibilità. Come scrive su Twitter Matt Tait, ricercatore con un passato nel GCHQ, l’agenzia di intelligence britannica analoga alla Nsa (quindi non esattamente un filorusso), “sembra non tanto che Kaspersky spiasse per conto del governo russo, ma che stesse facendo il suo lavoro”, tracciando impianti e codici di attacco dell’agenzia e altre entità dedite a forme di hacking persistente e avanzato (APT, Advanced Persistent Threat). Anche Jake Williams, altro ricercatore con un passato nella stessa Nsa, scrive che il tipo di analisi effettuata dal software di Kaspersky sui file dei computer sarebbe simile a quella svolta da qualsiasi altro antivirus.
In ogni caso, nessuno sembra avere capito - perché l’articolo del Wall Street Journal non lo esplicita - come l’informazione ottenuta dal software Kaspersky sugli strumenti di attacco della Nsa presenti nel computer del contractor sia poi passata in mano agli attaccanti. Detta in modo sintetico da Thomas Rid, autorevole professore di studi strategici alla Johns Hopkins University’s, “come hanno fatto gli hacker al servizio del governo russo a scoprire i file della Nsa attraverso Kaspersky? Non è chiaro”.
Le ipotesi al momento sono principalmente tre: collusione tra Kaspersky e Mosca (di cui sembra essere ormai convinto il governo Usa e che l’azienda, abbiamo visto, nega); compromissione del suo software o infrastruttura, a sua insaputa, da parte degli hacker russi; nessuna compromissione, quelle informazioni sono arrivate agli attaccanti in altro modo (ipotesi al momento meno robusta). Per Matthew Green, noto crittografo e professore di sicurezza informatica al Johns Hopkins Information Security Institute, “il consenso tra gli esperti su Twitter è che forse Kaspersky non sia colluso col governo russo, ma che il suo prodotto possa essere stato orrendamente compromesso”. La giornalista Kim Zetter ricorda al riguardo che un noto ricercatore di Google aveva trovato varie vulnerabilità nell’antivirus Kaspersky così come in simili prodotti di altre case produttrici.
DI QUALI DATI NSA SI PARLA? QUANTI LEAKER CI SONO?
La seconda grande domanda è: di quali strumenti della Nsa si sta parlando? Sono forse quelli diffusi a partire dall’estate 2016 dal misterioso gruppo The Shadow Brokers? Anche in questo caso, non viene detto. Alcuni pensano che possa essere plausibile, ma in sostanza restano i dubbi. Sono gli Shadow Brokers o è un’altra fuga di dati?, si chiede ancora Green. Resta da capire.
Infine, la terza osservazione: di fatto la notizia riguarda anche - per alcuni, come Tait, soprattutto - la vulnerabilità della Nsa, che ora conta almeno il suo terzo o quarto leak. Il più noto è stato quello di Edward Snowden, che passò le informazioni ad alcuni media portando a uno dei più celebri scoop giornalistici degli ultimi anni; poi c’è stato quello di Harold Martin III, un contractor accusato di essersi portato a casa molto materiale classificato, in una vicenda ancora oscura ma, per quel che se ne sa, in qualche modo simile a quella attuale; e infine questo ultimo caso (ci sarebbe anche il leak di un documento classificato da parte della contractor Reality Winner, episodio un po’ diverso però per peso e natura dei contenuti). “Quello che capisco dall’articolo è che c’è una lista crescente di persone della Nsa (Hal Martin ecc) che si portano a casa il materiale”, ha commentato un noto ricercatore d’origine francese, Matt Suiche.
SULLA SCIA DEL RUSSIAGATE
La notizia trapelata sul Wall Street Journal rafforzerebbe in ogni caso la decisione presa dal governo americano a metà settembre di mettere al bando i prodotti Kaspersky dagli uffici federali. E si colloca nella scia del Russiagate e dell’inchiesta delle autorità statunitensi sulle presunte interferenze russe nelle elezioni americane. Che non riguardano solo attacchi informatici, ma che nelle ultime settimane si sono estese fino a inglobare anche i social network, con la richiesta a Facebook e Twitter di dettagliare al Congresso Usa le azioni di propaganda compiute da parte russa sulle loro piattaforme.
I commenti dei lettori