La proliferazione di “kit malware” pronti all’uso non è un fenomeno nuovo per gli addetti ai lavori ma negli ultimi tempi ha assunto dei risvolti preoccupanti: nel cosiddetto dark web o attraverso altri canali secondari (si potrebbe usare anche un altro popolare termine come mercato nero “digitale”) è ormai possibile scegliere tra un’ampia gamma di “prodotti” in grado di consentire il lancio di attacchi DDoS o magari il furto di dati sensibili installando una backdoor.
Naturalmente per sfruttare le potenzialità di tali strumenti occorrono adeguate conoscenze, l’utente comune del web che ne entrasse eventualmente in possesso non potrebbe mai lanciare un attacco su larga scala o, si parla sempre per assurdo, “bucare” il firewall del Ministero della Difesa.
E’ il caso di sottolineare che il codice degli “attrezzi del mestiere”, ma anche gli indirizzi IP dei Command-and-control servers (utili a mantenere le comunicazioni con i sistemi compromessi) e di specifici domini, hanno offerto per molti anni informazioni essenziali all’individuazione dei veri responsabili di un furto dati o di un attacco:
“[I malintenzionati] ci lasciano spesso alcuni indizi [;] quando inviano un malware ti [consegnano indirettamente] una parte di prova forense per rintracciarli. Potremmo trovare indicazioni o [particolari unici ricollegabili ad un determinato gruppo criminale]
afferma John Holtquist (FireEue) interpellato da The Register. La diffusione dei kit complica però la situazione: se una backdoor associata al collettivo hacker Shadow Brokers inizia ad essere impiegata da un centinaio di soggetti diversi (agenzie governative, hacker freelance o addirittura teenager annoiati) è chiaro che le indagini non possono sempre affidarsi al ragionamento strumento X = soggetto Y.
Le altre variabili in campo
Sebbene l’intervistato sia probabilmente di parte (FireEye ha sede in California), è innegabile che Russia e Cina siano tra i Paesi che contribuiscono alla proliferazione dei kit.
Per quanto riguarda lo Stato guidato da Vladimir Putin, Holtquist ricorda che oltre ad esservi presente un florido mercato di malware è sempre attivo un programma di “arruolamento” degli hacker arrestati dalle forze dell’ordine: piuttosto che scontare l’intera pena, il colpevole può offrire le proprie conoscenze (ed eventuali tool adoperati) a servizi segreti o altri enti – da notare però che l’inserimento in organico di soggetti particolarmente abili è una prassi diffusa nel settore e non solo in Russia.
E dalla Cina, altro Paese storicamente noto per ospitare cybercriminali attivi a livello globale, sembrano invece ritornare sulla scena gruppi che si pensava fossero stati sciolti o avessero comunque terminato la propria attività. Niente di più sbagliato poiché sono più attivi che mai:
Hanno installato una backdoor e quel che vedrai nei prossimi 18 mesi sarà qualcuno che la controlla un paio di volte al mese, poi [passano all’improvviso all’azione e rubano i dati]
è quanto commenta un ricercatore di sicurezza in merito ad un attacco subito da una importante ditta di spedizioni statunitense. Gli attacchi sono diventati più sofisticati e complessi, prosegue, a volte paragonabili a quelli messi in campo dai reparti di cyberwarfare dei servizi segreti. I circuiti di pagamento online ed i servizi finanziari, come del resto sottolineato da Verisign, sono un bersaglio ideale perché permettono di accumulare una quantità considerevole di denaro con una singola operazione: queste ultime sono studiate nei minimi dettagli ed eseguite al momento giusto – che potrebbe tanto tra una settimana quanto tra 14 mesi.
Ed a proposito di servizi segreti, ai quali il tema della sicurezza informatica è spesso legato, è il caso di ricordare che tra settembre ed ottobre alcuni famosi brand d’oltreoceano sono stati protagonisti di un presunto caso di “spionaggio internazionale”. Il portale Bloomberg ha infatti rivelato che nel 2015 un noto vendor di schede madri ed altri componenti elettronici (sempre con sede negli States) avrebbe venduto ad Amazon ed Apple hardware con dei “chip spia” abilmente nascosti nella circuiteria.
Il caso vuole che i prodotti incriminati venissero da stabilimenti taiwanesi e cinesi – non certo una novità, buona parte dei componenti elettronici sul mercato sono assemblati proprio in quell’area geografica per sfruttare i più bassi salari ed aumentare i margini di profitto, ma quanto basta ad alimentare le polemiche e richiamare in causa varie teorie complottiste. Le compagnie menzionate hanno smentito la ricostruzione di Bloomberg che ha risposto mettendo sul tavolo altre prove a favore della propria tesi.