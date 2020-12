Dal maxi-attacco contro gli Stati Uniti ai giornalisti spiati: 7 storie di cybersecurity dal 2020

28 Dicembre 2020 – 9:03

(Photo by Sergei KonkovTASS via Getty Images)Come se non fossero sufficienti quelli economici e sanitari, il 2020 è stato anche un anno di grattacapi informatici, che si sono moltiplicati proprio nel momento in cui la popolazione mondiale ha trovato nella tecnologia la soluzione in risposta a una pandemia che ci ha costretti tutti a casa. L’ultima in ordine di tempo – e meritevole di menzione speciale – è stata la vicenda che ha visto protagoniste involontarie alcune delle più importanti agenzie federali degli Stati Uniti, cadute vittima di un attacco per il quale si sta cercando il principale colpevole in Russia. Dietro l’operazione, che avrebbe permesso il monitoraggio non autorizzato di email e altre informazioni trasmesse da alcune delle vittime (tra le quali l’Agenzia statunitense per le telecomunicazioni e il Dipartimento del commercio), si nasconderebbero i membri di Apt 29: sigla che identifica una minaccia persistente avanzata (Advanced persistent threat) al soldo del Cremlino.

1. Stati Uniti sotto attacco

Sebbene le indagini siano ancora in corso e la Casa Bianca sia direttamente coinvolta nell’accertamento dell’estensione del danno (per la felicità del neo presidente eletto Joe Biden), è già noto quale sia il canale impiegato dagli attaccanti per assicurarsi una posizione di vantaggio tanto strategica rispetto alle loro vittime. Questi hanno trovato il modo di intrufolarsi nel sistema che rilascia gli aggiornamenti di Orion, software per la gestione delle reti sviluppato dall’azienda statunitense SolarWinds. In gergo si parla di supply chain attack, termine che identifica un attacco che avviene tramite una catena di distribuzione. In questo caso gli attaccanti si sono serviti del canale che rilascia gli aggiornamenti per introdurre, tra marzo e giugno, del codice malevolo che è stato così distribuito a circa 18mila clienti. Nonostante si creda che le vittime che effettivamente hanno subito un attacco siano molte meno, come precisa Reuters.

“Il momento perfetto per una tempesta perfetta”, ha commentato Kim Peretti, del team di sicurezza informatica dello studio legale Alston & Bird. Gli attaccanti si sono infatti mossi durante la scorsa primavera, quando gli Stati Uniti contavano 2,5 milioni di contagi e la conta dei morti da coronavirus, globalmente, era già a mezzo milione di vittime.

2. Spionaggio farmaceutico

Ma la pandemia di Covid-19 è stata il leitmotiv di tutto il 2020, in quanto a sicurezza informatica, come dimostrato dall’attacco subito questo dicembre dall’Agenzia del farmaco (Ema), vittima di un’operazione di spionaggio volta ad acquisire informazioni sul vaccino prodotto da Pfizer e Biontech. La soluzione individuata dalle due aziende farmaceutiche è preziosissima dal punto di vista dell’intelligence, soprattutto per quei Paesi che potrebbero cercare di avvantaggiarsi sulla distribuzione del vaccino o per attori che potrebbero cercare di trarne un profitto economico. Ma anche di questo attacco si sa poco o niente: sono state proprio Pfizer e Biontech (la prima statunitense, la seconda tedesca) a dare notizia dell’attacco informatico, che comunque non ha coinvolto anche le loro organizzazioni. L’unica informazione più precisa è che “alcuni documenti relativi all’approvazione del vaccino” sono stati visionati da persone non autorizzate e che questo non influirà sulla data di rilascio del medesimo.

3. Dal virus al malware

Fin dall’inizio della pandemia, il sistema sanitario è stato uno dei bersagli privilegiati delle operazioni cibernetiche. Alcune di queste, come nel caso dell’Ema, sono state finalizzate all’acquisizione di informazioni strategiche. Ma cosa succede se l’attaccante ha in mente il solo profitto? È questo il caso di Fin11, collettivo votato al saccheggio digitale che quest’anno ha concentrato la sua attenzione su ospedali e aziende farmaceutiche, secondo un rapporto pubblicato dall’azienda di sicurezza informatica FireEye a ottobre. Così come gli Apt sono generalmente gruppi consolidati e considerati vicini – se non alle dipendenze – di una potenza nazionale, i collettivi che rientrano nella categoria Fin sono invece ritenuti minacce persistenti con il solo scopo di trarre profitto, generalmente conducendo attacchi in seguito ai quali è richiesto il pagamento di un riscatto. Arma d’elezione sono i ransomware: particolari virus informatici progettati per cifrare il contenuto per rilasciarlo solo a condizione che si paghi un riscatto.

Secondo FireEye, attacchi riconducibili a Fin11 entro il terzo trimestre dell’anno sono stati individuati almeno in Canada, Stati Uniti, Germania e India. Tutti sono accomunati dalla medesima metodologia e dall’impiego degli stessi software, ragione per cui si pensa che dietro possa nascondersi la stessa mano. Sebbene i riscatti richiesti siano molto diversi (dalle centinaia fino ai milioni di dollari), Fin11 è stata notata in quanto utilizza una tecnica ibrida: non solo attaccano una struttura sanitaria, ma pubblicano anche una piccola selezione di file sottratti al bersaglio così da incrementare la pressione pubblica che può subire, inducendo a una maggiore probabilità di ottenere il pagamento del riscatto.

“Fin11, una minaccia motivata da ragioni di lucro, ha condotto alcune delle più significative e lunghe operazioni di distribuzione di malware che Mandiant abbia mai osservato”, si legge nel rapporto redatto dall’unità di investigazioni cibernetiche di FireEye: “Le più recenti operazioni di Fin11 hanno portato al furto di dati, l’estorsione e al danneggiamento delle infrastrutture delle vittime”.

4. Il paziente zero della sicurezza informatica

L’anno che ormai volge al termine è anche quello in cui, per la prima volta in modo ufficiale, una persona è morta in conseguenza a un attacco informatico. L’episodio è avvenuto in Germania, quando degli attaccanti hanno manomesso i sistemi informatici dell’ospedale universitario di Düsseldorf, causandone l’inservibilità e obbligando il personale sanitario a dirottare le ambulanze in arrivo verso altri ospedali. Tra queste, anche quella che trasportava una paziente (anonima per ragioni di privacy), che ha perso la vita in un vano tentativo di raggiungere il più vicino ospedale disponibile, a trenta chilometri da quello colpito dall’attacco informatico.

Come nel caso di Fin11, anche stavolta si è trattato di un ransomware, sebbene l’operazione non sia mai stata attribuita a specifici sospettati che si sono dileguati facendo perdere le proprie tracce. Come riportato dalla Bbc, si ipotizza anche che in realtà gli hacker non intendessero attaccare l’ospedale e che, anzi, accortisi dell’errore avrebbero fornito subito la chiave che avrebbe sbloccato i sistemi. Troppo tardi comunque, per la paziente che ha perso la vita poco dopo l’arrivo nell’ospedale di Wuppertal, quando era già troppo tardi.

5. The Italian job

Tuttavia, le minacce non vengono solo dall’esterno. Lo ha imparato a sue spese l’azienda italiana Leonardo (ex-Finmeccanica), che per quasi due anni (tra il 2015 e il 2017) è stata vittima di un’operazione di spionaggio interno per la quale il tribunale di Napoli ha disposto misure cautelari nei confronti dell’ex addetto alla gestione della sicurezza informatica, Arturo D’Elia (per il quale è stato chiesto il carcere) e Antonio Rossi, responsabile dell’organismo interno incaricato della risposta agli attacchi informatici (Cert, Cyber Emergency Readiness Team), dell’azienda. Secondo le prime ricostruzioni, l’arma del delitto è un trojan (virus progettato per prendere il controllo di un dispositivo infetto) inoculato direttamente tramite pendrive, che ha permesso l’acquisizione di almeno 10 gigabyte di dati.

6. Stati spioni

Un report del Citizen Lab di Toronto, un’organizzazione umanitaria specializzata nel contrasto alla sorveglianza di Stato, ha messo nel mirino l’uso indiscriminato di software-spia da parte di Arabia Saudita ed Emirati Arabi, contro i dispositivi di 36 giornalisti dell’emittente Al-Jazeera.

Il fornitore della micidiale arma (letteralmente, dal momento che tecnologie di questo tipo sono beni a uso duale equiparati agli armamenti nel diritto internazionale) è l’azienda israeliana Nso Group, che sviluppa Pegasus: una tecnologia in grado di infiltrarsi nella gran parte dei dispositivi commerciali (dai telefoni Android ai generalmente più sicuri iPhone), per acquisire immagini e registrare telefonate, leggere messaggi o conoscerne la posizione. Una tecnologia micidiale dunque, il cui utilizzo è tollerato solo per operazioni di contrasto al terrorismo o per indagini inerenti crimini gravi, ma che sempre più spesso è rivolta contro attivisti per i diritti umani e i giornalisti.

Tra questi anche Omar Radi, giornalista d’inchiesta marocchino e inviso alla monarchia di Rabat, il quale è stato oggetto delle stesse attenzioni in seguito ai suoi numerosi articoli sulla corruzione governativa e sulle violazioni dei diritti umani delle minoranze del Paese. La vicenda dei giornalisti sottoposti a illecita e immotivata sorveglianza segue un’inchiesta internazionale pubblicata dal consorzio giornalistico Forbidden Stories, di cui Irpi è unico partner in Italia, nella quale si è svelato il ruolo di Nso nello spionaggio di altri giornalisti in Messico.

7. Comuni spioni

Il 2020 ha registrato un costante aumento di tecnologie per la sorveglianza, occasionalmente invocate come panacea per ogni male, dalla criminalità di strada fino al bullismo nelle scuole. Così a Roma, dove la sindaca Virginia Raggi ha annunciato l’installazione di 42 telecamere fuori da 30 istituti scolastici per arginare lo spaccio di droga, raccogliendo così anche il plauso della securitaria Lega di Matteo Salvini. A questo si aggiungono le iniziative di numerose città italiane, che un po’ per marketing o per sperimentare innovative tecnologie, si ripromettono di chiedere l’ausilio dei privati per monitorare la città, come raccontato in un’inchiesta di Wired.

E poi il progetto per il riconoscimento facciale previsto dal Comune di Como e dissezionato in un’inchiesta pubblicata da Wired lo scorso giugno, nella quale si apprendono due punti principali: lo scopo sostanziale del progetto sembra quello di tenere sotto controllo dei migranti costretti a vivere in un parco, più che il contrasto al crimine (una strategia che ricorda l’analogo progetto Sari della Polizia di Stato). In secundis, di questa soluzione non ci sarebbe proprio bisogno, dal momento che “la provincia di Como si conferma ancora una volta una delle più sicure del Paese” e “cessata l’emergenza migranti, [la zona interessata, ndr] non rappresenta un’area esposta a particolari rischi rispetto ad altre aree della città”, per stessa ammissione del questore della città

Resta la sensazione che niente sarà più come prima, e i demoni che abbiamo lasciato correre rischiano di diventare la normalità del quotidiano che ci aspetta al di là del vaccino. A questo occorrono le iniziative di consapevolezza digitale, le campagne per l’affermazione di diritti basilari come quello alla riservatezza dell’individuo (una su tutte è Reclaim your face, contro il riconoscimento facciale) e la pubblicazione di tanti libri e ricerche che aiutano a meglio comprendere opportunità e rischi di una vita iperconnessa, la cui natura è tanto astratta che solo chi ha il controllo dei dati può conoscerne la dimensione (spoiler: non è mai l’utente). Due buone letture del 2020 sono state Red Mirror di Simone Pieranni (Editori Laterza), sull’uso delle tecnologie in Cina, e Sostenibilità digitale di Stefano Epifani (Digital Transformation Institute). Per il resto, rimane l’opportunità di restare coinvolti nel dibattito e attenti alla trasformazione digitale, prima che questa ci travolga. Per il 2021 avremmo speranze migliori.

