venerdì 8 gennaio 2016

Quando GhostNet Spiava Il Mondo (2007-2009)

Il primo caso clamoroso di Cyber Spionaggio, almeno per quanto riguarda enti asiatici, risale al 2003 e passò alla storia come operazione "Titan Rain".
Ma sicuramente lo scandalo più noto fu quello scoppiato nel 2009: con la rete "GhostNet".
Una Rete internazionale di spionaggio estesa su quasi 1300 computer in 103 paesi diversi.
Questa fu la cosiddetta "Rete Fantasma", un network che prima di essere scoperto per oltre due anni violò sistemi strategici in tutto il mondo (ricavandone informazioni utili ai fine dell’operazione prefissa): Sud Est Asiatico, New York, Bruxelles, Germania, Tailandia,
L’investigazione coprì un lasso di tempo compreso tra Giugno 2008 e Marzo 2009.
L’attività è stata condotta in due fasi: sul campo, con l’acquisizione di dati dalle macchine compromesse.
Poi in laboratorio, dove sono stati analizzati i dati ed elaborata un’analisi.
Dei quasi 1300 computer solo il 30% poteva essere considerato di alto profilo e ricondotto ad ambasciate o organizzazioni politiche.
Tra gli obiettivi sensibili colpiti risaltano ministeri degli esteri di Iran e Indonesia, ambasciate (India, Corea del Sud, Germania), agenzie stampa, sistemi non classificati nel quartier generale NATO.
Uno degli obiettivi più colpiti fu l’ufficio privato del Dalai Lama e altri uffici tibetani.


MA COME FUNZIONAVA GHOSTNET?
La rete GhostNet ricalcava lo schema delle Botnet, ovvero una serie di computer infetti (zombie) comandati da sistemi centralizzati di comando e controllo (C&C).
I malware si infiltrano nei sistemi sfruttando bug per eseguire codice sul sistema target, o tramite azioni di social-engineering.
Nel caso di GhostNet l’attacco è combinato.
Infatti questa rete sfruttava un vecchio bug (2006) di Microsoft Word, bug che viene impiegato tramite exploit infiltrato nella posta elettronica o in un link in una pagina web.
Le infezioni si diffusero principalmente tramite mail.
Una volta che il malware si è impadronito della macchina, il PC si metteva in collegamento con i server di C&C.
Gli investigatori hanno trovato 4 server di comando e controllo.
La cosa incredibile del Cyber Spionaggio (e che fece crescere molto il mistero all'epoca) è che le interfacce non erano minimamente protette, nessuna autenticazione, nessuna crittografia.
Chiunque, fosse stato a conoscenza delll’esatta url dell’interfaccia, avrebbe potuto accedere al pannello e comandare la Botnet!
I Computer Zombies dialogavano con il C&C tramite HTTP (per eludere eventuali restrizioni di firewall e router e nascondersi nel marasma di traffico Web convenzionale).
Due erano i canali utilizzati: il primo basato su script PHP veniva utilizzato per impartire comandi in modo asincrono e per raccogliere informazioni sul sistema infettato (IP, nome, dettagli tecnici).
L’altro canale, basato su CGI veniva utilizzato, secondo gli investigatori, per trafugare documenti sensibili.
Ovviamente il botmaster poteva impartire comandi ai singoli zombie.
Per esempio poteva forzare il download e l’esecuzione di trojan.
In particolare veniva utilizzato il trojan “gh0st RAT”(Remote Administration Tool), programma open-source di origine cinese, tradotto anche in lingua inglese.
Il “gh0st RAT” metteva a disposizione degli hackers i classici comandi di questo genere di strumenti: accesso al file-system, keylogging, gestione del sistema, sorveglianza audio/video.
trattava di uno strumento in grado di spiare le attività delle vittime.


CHI C'ERA DIETRO?
La dimensioni (ridotte) della rete e il tipo di obiettivi (alto profilo) furono anomale.
In genere le Botnet puntato alla quantità cercando d'infettare più computer possibili ed espandersi sempre di più.
Chi sono stati gli autori? Non si è mai saputo.
Si sono fatti, nel corso degli anni, tante congetture: regime cinese, governo, esercito, semplici criminali ma nessuno è mai giunto a conclusioni veritiere al 100%.
Il governo cinese si è sempre dichiarato estraneo ai fatti.
Inoltre è vero che molti computer infettati erano di alto profilo e in qualche modo collegati alla vicenda tibetano ma è anche vero che oltre il 60% dei sistemi controllati da GhostNet erano anonimi computer, in nessun modo riconducibili a dati sensibili o di alto profilo.

Nessun commento:

Posta un commento