Shady RAT: 72 realtà spiate da oltre cinque anni

Settantadue realtà, da enti governativi, ad aziende, a organizzazioni no-profit sino ad associazioni di ricerca e sviluppo sono state vittime negli ultimi 5 anni almeno di una sistematica compromissione delle proprie misure di sicurezza informatica, volta a recuperare informazioni e dati di valore, il tutto ad opera di un solo attore sconosciuto. Questo è il quadro che emerge da un enorme attività di ricerca e di indagine condotta da McAfee che copre gli ultimi 5 anni, battezzata con il nome di Operazione Shady RAT (dove RAT è l'acronimo di Remote Access Tool) e che la società di sicurezza informatica ha illustrato in questo documento PDF.

Quanto McAfee ha rilevato durante le attività di indagine è un traffico di dati dal volume senza precedenti nella storia. Si tratta non del furto "ordinario" di informazioni finanziarie come conti correnti bancari e carte di credito, bensì delle informazioni più preziose in possesso di una società o di un governo, ovvero documenti “top secret” relativi alla sicurezza nazionale, codici sorgente, database, archivi di e-mail riservate, piani di negoziazione, archivi di documenti, contratti legali, configurazioni SCADA (supervisory control and data acquisition), schemi di progettazione e molto altro.

Si tratta di un fenomeno ben diverso rispetto all'escalation di attacchi dimostrativi, e pubblicamente divulgati, a Sony, Nintendo, gli atenei italiani e tutte le altre realtà che sono salite agli onori della cronaca negli ultimi mesi, portati avanti dagli attivisti di Anonymous e LulzSec. Come spiega Dmitri Alperovitch, Vice President Threat Research per McAfee nonché autore del documento, si tratta di una attività di spionaggio motivata da una reale fame di segreti e proprietà intellettuale, e sostenuta da una assoluta tenacia nel raggiungimento degli obiettivi che il perpetrante si è prefissato. L'utilizzo che viene fatto di questi dati rappresenta una domanda senza risposta. Si tratta tuttavia di una sottrazione di un volume di informazioni tale (si parla di diversi petabyte di dati) che rappresenta una minaccia economica non solo per le eventuali aziende e compagnie vittime, ma anche per paesi e governi, senza tralasciare l'impatto che queste attività hanno sulla sicurezza di una nazione.

La comprensione che il pubblico e l'industria hanno di questi problemi è però piuttosto limitata: rispetto al numero reale di attacchi sono solamente pochi quelli che vengono scoperti dalle vittime, e probabilmente ancor meno quelli che vengono divulgati. Lo scopo che McAfee si propone con la pubblicazione del documento è proprio quello di sensibilizzare il pubblico sui temi della sicurezza delle informazioni. In maniera sarcastica, ma nemmeno troppo irrealistica, Alpertovich afferma: "L'insieme delle realtà presenti nella classifica Fortune Global 2000 si può dividere in due categorie: quelle che sanno di essere state attaccate e quelle che ancora non l'hanno scoperto".

I primi log che McAfee è riuscita a recuperare risalgono a metà del 2006, ottenuti potendo accedere ad uno specifico server di "Command & Control" degli intrusori. Si tratta di un volume sterminato di log che rivelano quanto ampio sia il bacino delle vittime di questa serie di attacchi. Come la società stessa precisa, le attività di intrusione potrebbero essere state avviate in periodi ben precedenti, ma è solo dal 2006 che si dispongono di dati certi che testimoniano le avvenute compromissioni dei sistemi di sicurezza delle vittime.

Compromissioni che, come spiega la società, seguono un cliché piuttosto standard: una email phishing contenente un exploit viene inviata ad un individuo con un adeguato livello di accesso a sistemi informativi della compagnia. L'exploit, quando viene aperto su un sistema non protetto, avvia il download di un malware che a sua volta apre una comunicazione backdoor con il webserver Command & Control. Il malware interpreta ed esegue le istruzioni codificate in commenti nascosti nel codice HTML di una pagina web appositamente costruita. A questo punto gli intrusori possono accedere alla macchina infetta, scalare i privilegi utenti e muoversi orizzontalmente all'interno dell'organizzazione per stabilire nuovi e persistenti punti di accesso mediante l'installazione del malware su altri sistemi. A seguito di queste "azioni preparatorie" ha luogo la vera e propria attività di spionaggio e la ricerca delle informazioni e dei dati che rappresentano l'obiettivo dell'intrusione.

A seguito dell'analisi dei log, McAfee ha identificato, come anticipato in apertura, ben 72 realtà compromesse in un arco temporale di almeno 5 anni. La società ha evitato di esplicitare il nome di gran parte delle vittime, descrivendole solamente in termini generici. Ciononostante l'esplicitazione di alcuni nomi è giustificata per sottolineare ulteriormente il concetto che chiunque può cadere preda di attacchi di questo tipo, a prescindere da chi sia. Nei log era presente un maggior numero di vittime, che tuttavia non è stato possibile identificare accuratamente per via della mancanza di informazioni sufficienti. Le vittime ricadono in 32 differenti categorie, riassunte nello schema:

La presenza nell'elenco delle vittime di Comitati Olimpici nazionali dell'area asiatica ed occidentale, così come del Comitato Olimpico internazionale e della World Anti-Doping Agency, tutte vittime di attacchi nei periodi precedenti e successivi ai Giochi Olimpici di Pechino 2008, fanno supporre a McAfee che dietro queste attività di infiltrazione vi sia l'oscura mano di uno stato ignoto, dato che non vi sono benefici commerciali diretti che possono scaturire dal possesso di queste informazioni. A rafforzare questa tesi vi sono altre vittime presenti nell'elenco, come enti no-profit, organizzazioni impegnate nella promozione della democrazia, think-tank statunitensi e via discorrendo. Gli attacchi portati alle Nazioni Unite e all'ASEAN (Associazione delle nazioni del Sud-Est Asiatico) fanno ancora supporre motivazioni slegate da meri fini economici.

Nel corso del 2006, anno a partire dal quale McAfee dispone dei primi log, sono state registrate otto intrusioni che hanno interessato un'acciaieria e una compagnia edile sudcoreane, un'agenzia governativa sudcoreana, un dipartimento dell' Energy Research Laboratory, un'azienda immobiliare USA, le organizzazioni del commercio di un Paese asiatico e di un Paese occidentale e il segretariato ASEAN.

Nel 2007 l'attività di intrusione ha colpito ben 29 vittime: tra queste vi sono quattro contrattisti della difesa USA, una compagnia tecnologica di proprietà del governo vietnamita, un'agenzia federale USA, diversi governi di stati USA e di altri Paesi, una compagnia che si occupa della sicurezza di reti informatiche e i comitati olimpici di due nazioni asiatiche e di una nazione occidentale.

Durante il 2008 si è saliti a 36 vittime, con le Nazioni Unite e la World Anti-Doping Agency, per arrivare a 38 vittime nel 2009. Nel 2010 il numero di intrusioni è sceso a 17, e ulteriormente a 9 nel 2011 grazie ad una più ampia disponibilità di contromisure specifiche alle intrusioni perpetrate da questo ignoto attore. Queste contromisure hanno però portato il perpetrante ad utilizzare una nuova serie di minacce e nuove infrastrutture di controllo, causando così la scomparsa delle attività dai log a disposizione di McAfee.

Il periodo di tempo più breve durante il quale una realtà è rimasta compromessa è risultato essere inferiore ad un mese. Sono in nove a condividere questo risultato: il CIO, l'azienda vietnamita di cui sopra, l'organizzazione del commercio di una nazione asiatica, un'agenzia governativa canadese, un contrattista della difesa USA, un contrattista del governo USA, il governo di uno Stato USA e di una nazione e una società di contabilità statunitense. Il breve periodo di compromissione potrebbe però non essere sintomo di una rapida reazione dei team di sicurezza di queste realtà, quanto più una attività di incursione rapida e volta a sottrarre informazioni e dati che non richiedono una compromissione persistente della vittima. La più estesa attività di intrusione e spionaggio è invece stata riscontrata per il comitato olimpico di un Paese asiatico, per la durata di ben 28 mesi e terminato a gennaio del 2010.

I dati divulgati da McAfee si fermano qui. Non è dato sapere chi sia l'attore alle spalle di questi attacchi e se si possa trattare effettivamente di uno Stato come indicato dalla società di sicurezza. Nei giorni seguenti la pubblicazione del resoconto alcuni osservatori hanno dichiarato che vi sarebbero molti indizi che farebbero sorgere pesanti sospetti sulla Cina o su una realtà ad essa collegata. Si tratta tuttavia di accuse respinte con forza dal People’s Daily, il quotidiano del Partito Comunista cinese, e che hanno portato la stessa McAfee a precisare che lo schema degli attacchi non offre alcun elemento per identificare una precisa nazione.

A seguito della pubblicazione del resoconto di McAfee si sono volute esprimere sull'Operazione Shady RAT anche due altre realtà impegnate nell'ambito della sicurezza informatica: Sophos e Symantec. Graham Cluley, Senior Technology Consultant per Sophos, ha affermato che il report redatto da McAfee non rappresenta nulla di sorprendente, oltre che essere piuttosto inconcludente. Secondo Cluley, infatti, non è possibile stabilire quale sia l'effettiva gravità dell'accaduto dal momento che McAfee evita di riportare, se non in termini molto generici, quali siano le informazioni effettivamente trafugate e quanti computer siano stati coinvolti, per ciascuna realtà, nelle attività di intrusione. Secondo Cluley è da considerare di gravità ben maggiore un problema avvenuto la scorsa settimana in Corea del Sud, quando sono stati rubati i dati personali di 35 milioni di utenti da siti di social networking, laddove la popolazione stimata è di circa 48 milioni di individui.

Symantec ha invece fornito ulteriori elementi per documentare l'attacco, affermando di aver identificato l'inizale vettore, le minacce usate e il modo in cui l'attacco ha avuto luogo. Sul blog della compagnia si legge che il tutto è partito da messaggi-email contenenti attachment infetti e architettati in maniera tale da indurre gli impiegati delle realtà-vittime a scaricare ed aprire file word o excel, con evidenti corrispondenze a quanto spiegato anche da McAfee. Symantec ha inoltre dichiarato che queste informazioni erano liberamente disponibili dal momento che gli attaccanti non solo non hanno protetto adeguatamente i propri server di controllo, ma hanno inoltre installato sui sistemi delle vittime diversi strumenti per l'analisi del traffico web che hanno permesso agli investigatori di venire in possesso di numerose informazioni utili all'indagine.

I dati divulgati da McAfee descrivono una situazione che solleva numerose preoccupazioni, sebbene dai contorni ancora piuttosto nebulosi. Non è chiaro a questo punto si vi saranno ulteriori indagini volte ad identificare l'attore alle spalle di questa enorme attività di spionaggio, ne' se sarà possibile conoscere dettagli aggiuntivi sul genere di informazioni trafugate. Ciononostante questo episodio non fa che sottolineare ancora una volta quanto la protezione delle informazioni debba rappresentare oggi una delle più elevate priorità in un'organizzazione di qualsiasi tipo: aziende, enti governativi, relatà no-profit e via discorrendo.

Nella cosiddetta "società dell'informazione" il dato rappresenta un valore e, come tale, richiede un'adeguata protezione. Approntare una buona strategia di sicurezza informatica diventa un'esigenza primaria per tutte le organizzazioni. Non ci stancheremo mai di evidenziare come la sicurezza informatica non sia un prodotto, ma un processo che comprenda un sistema di norme e policy e un complesso di soluzioni tecnologiche che si armonizzino con le policy appena citate e che svolgano il duplice compito di prevenire i rischi e di contenere l'eventuale danno. La sicurezza informatica non può impedire a priori che accada un danno, ma permette di minimizzare il più possibile l'occorrenza dello stesso o di ridurre al massimo le ripercussioni negative da esso provocate. E nell'approntare un'adeguata strategia di sicurezza bisogna sempre ricordare che l'essere umano è l'elemento più debole di tutta la catena e che, come tale, richiede la massima sensibilizzazione e formazione possibile.