Hacker russi: tra mito e realtà

feb 28, 2024 0 comments

Di Gianluca Zanella

Guerra fredda 3.0

Che la guerra fredda non sia mai finita è persino banale sostenerlo. Ma se volessimo essere ancora più precisi, per descrivere lo scenario che stiamo vivendo dal 24 febbraio 2022 – il giorno in cui è iniziata l’invasione russa dell’Ucraina – dovremmo utilizzare la definizione che si trova nell’ultimo rapporto CLUSIT, dove si parla di una “guerra cibernetica diffusa“. Una guerra silenziosa, tra operazioni di falsa bandiera e psyops, tra propaganda e fake news, troll e disinformazione. Le manifestazioni di questo tipo di guerra non sono certo eclatanti come lo scoppio di una bomba, ma alla lunga producono effetti cui è poi difficile trovare un rimedio, perché spesso si palesano all’improvviso. E in un mondo fortemente digitalizzato, dove l’utilizzo dell’Intelligenza Artificiale presenta ancora dei pesanti vulnus, non è una situazione da sottovalutare.

In questo scenario di guerra ibrida, gli attori principali si confermano sempre gli stessi. Certo, l’equilibrio dei poteri è stato sicuramente redistribuito a partire dalla caduta del Muro di Berlino, ma nonostante l’imporsi – soprattutto sulla scena cyber – di paesi come la Corea del Nord, la Cina, la Siria, Israele, a dominare la scena è sempre lei: la Russia.

Una leggenda nera

A torto o a ragione, i russi – e in questo caso gli hacker russi – vengono sempre tirati in ballo. Sono almeno dieci anni che ogni qual volta si verifica un attacco informatico di particolare rilevanza o un nuovo malware comincia a diffondersi viene puntato il dito contro di loro. Ma quanto c’è di vero? I russi sono davvero così temibili nel mare senza fondo della rete? Scindere la realtà dalla leggenda nera che avvolge gli hacker russi non è impresa facile. Identificare in modo incontrovertibile l’autore di un cyber attacco è molto difficile, soprattutto se l’autore è bravo a nascondersi.

Soprattutto negli ultimi anni sono proliferate le azioni di falsa bandiera e non di rado si è cercato di attribuire ai russi operazioni che invece loro non erano. Eppure qualcosa deve aver alimentato questa fama sinistra. Un fondo di verità deve pur esserci. Per questo abbiamo provato a vederci chiaro.

Nome in codice: Daria

Arriviamo a lei dopo un vorticoso giro di telefonate e dopo un’attenta fase di studio. E anche quando ci incontriamo in un luogo rigorosamente pubblico e molto rumoroso, lei resta guardinga. Non ha mai parlato con dei giornalisti. Se è per questo, non ha mai parlato con nessuno del suo lavoro. Per chi la conosce con il suo nome e cognome, è una semplice impiegata. Per chi bazzica i bassifondi della rete, tra i tanti nickname adottati c’è Daria.

Potremmo definirla un’hacker, ma il termine non rende davvero l’idea. Daria è probabilmente una tra i maggiori esperti in Italia – e forse in Europa – di sicurezza informatica. Adesso lavora in proprio, prestando la sua bravura per delle consulenze, e il suo passato è un grande punto interrogativo. Non ci dice esattamente per chi ha lavorato, “ho servito le istituzioni”.

Abbiamo cercato proprio lei per un semplice motivo. Nel momento in cui abbiamo cominciato a interessarci agli hacker russi, tutte le fonti con cui abbiamo parlato ci hanno detto che era con lei che avremmo dovuto parlare. Nessuno, ci è stato detto, conosce la materia meglio di lei.

La sicurezza informatica non esiste

Di fronte a un caffè, la prima cosa che ci dice è questa: “In tanti anni di lavoro soltanto di una cosa sono certa: la sicurezza informatica non esiste. L’unico computer sicuro è un computer non connesso a internet”. Fin qui niente di nuovo, è una frase piuttosto ricorrente tra chi si occupa di cybersecurity.

Andiamo dritti al punto e le chiediamo se la fama degli hacker russi sia davvero così meritata. Ne abbiamo sentite davvero di tutte i colori e vorremmo capire con lei se anche sotto il profilo tecnologico siano davvero così avanzati.

“Qui in Italia si comincia adesso a parlare di certe cose, a prendere consapevolezza che il mondo è cambiato. In paesi come la Russia, non c’è stato un momento in cui hanno iniziato a interessarsi di tecnologia e di tematiche cyber. Si tratta di qualcosa che hanno sempre avuto. Potrei parlare anche di Israele e di Stati Uniti, ma visto che ti interessano i russi, posso dirti che sin dagli albori di internet loro copiavano i computer occidentali, specificatamente americani, e li riadattavano alle loro versioni. C’è poi da dire che in Russia sono particolarmente predisposti alla matematica, all’ingegneria, insomma, a tutte quelle discipline che consentono di avere una marcia in più in ambito informatico. Basta guardare attività come quelle del gruppo Turla”.

Un esercito di hacker

Killnet, CozyBear, Uroburos, APT29, The Dukes. Sono solamente alcuni dei nomi di veri e propri gruppi strutturati di hacker protagonisti di alcune operazioni tanto spettacolari quanto devastanti. Tra questi, uno dei più famosi – e temuti – per gli addetti ai lavori, è il gruppo “Turla” con le sue diverse diramazioni tipo “Tiny Turla”, “Light Turla” ed “Epic Turla”. Ma chi sono e perché sono così celebri nella comunità hacker?

“Perché hanno bucato mezzo mondo” è la risposta di Daria , che dopo aver sorbito il suo caffè aggiunge: “Si crede che dietro vi sia l’FSB“. Quando si dice guerra fredda. L’FSB è il diretto discendente del Kgb di memoria sovietica. Un cordone ombelicale mai reciso.

“Il gruppo Turla è responsabile di attacchi ad altissimo livello con tecniche molto sofisticate. Tra le ultime vittime famose c’è Microsoft”.

Le nuove frontiere dello spionaggio

L’argomento ci interessa. Chiediamo alla nostra fonte a cosa siano finalizzati gli attacchi di questo gruppo di hacker, se a distruggere i sistemi o magari a ricattare: “No – ci risponde – il ricatto lascialo ai criminali. Questi non sono criminali, queste sono spie. Una volta bucato un sistema, puntano a restarci dentro il più a lungo possibile, indisturbati, nascosti, a carpire informazioni”.

E per fare questo si avvalgono solo di bravura tecnica o viene sfruttato anche il fattore umano? Daria sembra rifletterci un attimo: “Per quella che è la mia esperienza, la maggior parte della bravura è tecnica, però sì, la prima fase dell’attacco sfrutta quasi sempre il fattore umano”.

Fin qui il racconto è affascinante, ma non abbiamo ancora quello che cerchiamo: la ragione del persistere di una leggenda nera attorno agli hacker russi. Quello che abbiamo sentito dalla fonte è esattamente ciò che abbiamo sentito da altre fonti riguardo gli hacker israeliani, cinesi, americani e via discorrendo. Cerchiamo allora di entrare più nello specifico e chiediamo se i russi si distinguano per qualche peculiarità. “Fanno cose fantascientifiche. E parlo per chi è del mestiere”.

Il malware fantasma

“Questi gruppi, in particolare Turla, hanno un malware praticamente invisibile, difficilissimo da reversare”. Con questo termine si intende la possibilità di “smontare” il malware per capirne il funzionamento e, se possibile, utilizzarlo contro l’aggressore o comunque renderlo inoffensivo. In questo caso, stando a quanto ci viene detto, non si tratta di qualcosa alla portata di tutti.

Questo tipo di malware, a differenza di altri, non ha nome. O meglio, ne ha uno per ciascuna azienda che ne è rimasta vittima. Daria ci dice che è in circolazione da “decine di anni” e che viene continuamente aggiornato e migliorato. Sembra l’ennesimo tassello di questa leggenda e la vaghezza con cui la nostra fonte ce ne parla ci lascia piuttosto scettici. Dunque tentiamo di carpire altre informazioni. Per esempio: in Italia ci sono state vittime di questo malware fantasma?

“Non lo posso dire.. questo non te lo posso proprio dire”. Per noi è già una risposta. Chiediamo se la o le vittime siano di livello governativo. Daria improvvisamente sembra a disagio. Sul suo viso si disegna un sorriso tirato: “Diciamo che non posso confermare né smentire. E non chiedermi più niente di questo argomento”. Va bene, torniamo allora all’aspetto tecnico. Chiediamo alla nostra fonte di spiegarci il funzionamento di questo malware.

Fantascienza

“Fa cose tecnicamente molto spinte. In generale, i virus sono un programma come un altro. Nei computer ci sono dei confini entro i quali ogni programma può agire. Questi confini sono dati, per esempio, dai permessi: un programma può fare determinate cose e se vuole fare di più, ha bisogno dei permessi superiori, che però non gli vengono dati automaticamente: devi essere tu a consentirgli di ottenerli”.

Ma a volte, anche l’azione dell’utente non basta. Ci sono dei privilegi a cui neanche lui ha accesso. Un sistema che ricorda quello del NOS [Nulla osta sicurezza].

“Per fare certe cose i privilegi di un utente, anche se è amministratore del computer, non bastano. Serve un possesso che va in basso, nel sistema operativo”

Tradotto: alcune funzioni dei computer sono inaccessibili anche al più esperto degli utenti. Parti in cui l’accesso è consentito solo al sistema operativo. Insomma, non c’è umano che tenga, siamo nel regno delle macchine.

“Immagina il computer come composto da due strati: uno si chiama User land, la terra dell’utente. Dove insomma si svolge la tua attività. L’altro strato si chiama Kernel land, la parte inaccessibile, il nocciolo del sistema operativo, che è in grado di fare un bel po’ di cose, tipo parlare con l’hardware e con tutte le altre componenti del computer”.

In poche parole, il sistema operativo ha i privilegi massimi, del tutto inaccessibili alla parte superiore, la User land.

“Una delle tante cose che questi signori sono in grado di fare – ci dice la fonte con un tono tra il solenne e l’ammirato – è arrivare ad avere questo tipo di privilegi, gli stessi permessi che avrebbe il kernel, e quindi fare nello User land qualsiasi cosa”.

A onor del vero, la fonte ci dice che molto probabilmente anche altri paesi hanno hacker in grado di fare queste cose. In primis gli Stati Uniti. Se non ne abbiamo certezza è solo perché fin ora sono soltanto i russi ad essere stati scoperti. Ecco la prima falla nella leggenda nera. Nessuno è infallibile.

“Anche noi, fino a qualche anno fa, eravamo in grado di fare certe cose” ci dice con un mezzo sorriso.

La situazione italiana

Cogliamo la palla al balzo e chiediamo quale sia la situazione in Italia: siamo in grado di difenderci? E di contrattaccare?

“Sulla difesa ce la caviamo. Contrattaccare? Lo vedo improbabile. Le persone capaci ci sarebbero anche, il vero punto è che come paese non siamo organizzati a quei livelli, non spendiamo tutti i soldi che spendono altre nazioni per implementare le forze in ambito cyber. Anche a livello legislativo ci sarebbe tanto da fare, noi, al solito, siamo un po’ indietro. La nostra speranza è quella di essere trainati dall’Europa”.

La fonte ha ragione e lo dimostra la disarticolazione, il 20 febbraio, del gruppo LockBIT. L’operazione Cronos è stata portata a termine da una colazione composta da EuropolFBI e polizia postale inglese. Una grande vittoria che deve fare scuola, soprattutto per l’Italia.

L’attacco a SolarWinds

Tornando alle prodezze degli hacker russi, la nostra fonte cita come una delle maggiori operazioni di spionaggio andate a buon fine l’attacco, avvenuto nel 2020 da parte del gruppo APT29, a SolarWinds, fornitore americano di soluzioni software per la gestione di infrastrutture informatiche. Tra i suoi clienti enti governativi e aziende di altissimo livello, americane e non. Quali siano state le aziende italiane colpite non è dato sapersi.

“Un attacco pazzesco. Davvero pazzesco”.

Cyberspionaggio e geopolitica

Un aspetto molto interessante di tutto questo discorso fatto con la nostra fonte è che, attraverso l’attività dei gruppi hacker, in questo caso russi, si può in qualche modo fare alcune previsioni degli scenari geopolitici prossimi venturi. Il gruppo Tiny Turla, per esempio, nel corso delle ultime settimane ha concentrato la propria attività di spionaggio sulle ONG polacche. Quale possa essere la ragione è ovviamente difficile dirlo con certezza, ma possono essere date diverse interpretazioni e, visto quanto sta accadendo in Ucraina, nessuna di queste è particolarmente confortante.

Una leggenda meno nera

Al termine dell’incontro con Daria resta una consapevolezza: quella di voler evitare generalizzazioni. Quanto abbiamo appreso sugli hacker russi ci ha chiarito alcune cose: la fama è sicuramente meritata. Sono bravi, ma non necessariamente i “più” bravi. Sono tanti i paesi che investono cifre astronomiche in campo cyber. Alcuni li abbiamo già citati, ma tanto per essere chiari, quello che fanno i russi lo fanno probabilmente ancora meglio gli israeliani, che infatti non sono stati – almeno che si sappia – colti con le mani nel sacco. E come gli israeliani gli americani, i cinesi, gli iraniani e via dicendo.

Quello che rende più temibili i russi è un fattore puramente psicologico. Quando pensiamo ai russi, al netto di quello che sta accadendo in Ucraina, pensiamo inevitabilmente all’Unione Sovietica, al terrore staliniano, ai servizi segreti forse più celebri al mondo, a storie entrate nel mito. Ma se oltre a temerli, imparassimo anche qualcosa da loro, a partire dal modo di concepire il cyber spionaggio, fino ad arrivare all’organizzazione di questi gruppi strutturati come delle vere e proprie unità di combattimento, forse potremmo smetteremmo di essere vasi di coccio in mezzo a tanti vasi di ferro.

FONTE: https://it.insideover.com/criminalita/hacker-russi-tra-mito-e-realta.html

approfondimento CLUSIT cyber-sicurezza cyber-spionaggio geopolitica Gianluca Zanella Hacker hacker russi Inside Over intelligence malware news Psyops Russia Tecnologia

Commenti

Posta un commento

Partecipa alla discussione

Related Posts

{{posts[0].label}}

{{posts[0].title}}

{{posts[0].date}} {{posts[0].commentsNum}} {{messages_comments}}
{{posts[1].label}}

{{posts[1].title}}

{{posts[1].date}} {{posts[1].commentsNum}} {{messages_comments}}
{{posts[2].label}}

{{posts[2].title}}

{{posts[2].date}} {{posts[2].commentsNum}} {{messages_comments}}
{{posts[3].label}}

{{posts[3].title}}

{{posts[3].date}} {{posts[3].commentsNum}} {{messages_comments}}

Search

tags

Modulo di contatto