« Torna indietro

Cyberattacks: Hacker che si infilano in Twitter e spionaggio nei centri di ricerca Covid

Cyberattacks. Dagli hacker che si infilano in Twitter allo spionaggio che assedia i centri di ricerca sul Covid.

Grande dinamismo negli ultimi tempi sul fronte degli attacchi informatici. Dai pirati che tentano la truffa fruttando la piattaforma di Twitter ai gruppi organizzati che cercano di rubare informazioni agli enti governativi e i centri di ricerca. La criminalità digitale si manifesta con diversi approcci e finalità.


La giornata di ieri è stata particolarmente ricca di notizie riguardanti il mondo degli hacker e dello spionaggio informatico. Sono stati infatti riportati dai media internazionali due preoccupanti fatti di crimine per via telematica di cui uno si è svolto platealmente, nei mondo dei social, mentre l’altro in modalità sommersa e questo può già essere un buon indicatore per ipotizzare chi c’è dietro.


La prima vicenda di cui si è avuto notizia è stata l’attacco informatico subito da Twitter, uno dei più importanti social network, i cui dipendenti sono stati presi di mira dagli hacker e usati come cavalli di Troia per entrare nei sistemi che reggono la piattaforma. I pirati infatti avrebbero trovato il modo sfruttare gli accessi al sistema in uso ai dipendenti per poi prendere il controllo di alcuni account certificati, appartenenti a figure prominenti del mondo della politica e del business americani. La conferma di quanto accaduto è arrivata direttamente dalla piattaforma: “Abbiamo rilevato quello che riteniamo essere un attacco coordinato da parte di persone che hanno preso di mira con successo alcuni dei nostri dipendenti aventi accesso a sistemi e strumenti interni”.


Ciò che questi pirati sono riusciti a fare, una volta sostituirsi ai legittimi e globalmente famosi detentori degli account, è stato di pubblicare dei post in cui pubblicizzavano i bitcoin e invitavano la gente a saltare su un ipotetico grande affare che gli avrebbe consentito facili e veloci guadagni. Questi cyber-criminali hanno pensato che se a suggerire investimenti in bitcoin fossero stati personaggi autorevoli e di successo qualcuno nella sterminata savana dei social si sarebbe fidato.
Così abbiamo visto campeggiare sul profilo di Bill Gates un falso post che recitava “Tutti mi chiedono di restituire qualcosa, e questo è il momento. I sto raddoppiando tutti i pagamenti verso il mio indirizzo BTC per i prossimi 30 minuti. Voi mandate 1000$, io vi restituisco 2000$. Solo per 30 minuti. Godetevela!”. E non è andata meglio neanche all’ex presidente degli Stati Uniti Barack Obama che ha visto comparire sul suo profilo ufficiale un tweet che diceva “Sto restituendo alla mia comunità a causa del Covid-19! Tutti i Bitcoin inviati al mio indirizzo qui sotto saranno restituiti raddoppiati. Voi mandate 1000$, io vi restituisco 2000$! Solo per 30 minuti. Godetevela!”. Ma la stessa sorte è toccata anche a molti altri account, come quello del candidato democratico alla Casa Bianca Joe Biden, o il patron della Tesla Elon Musk, o Jeff Bezos di Amazon, per continuare con Warren Buffett, l’ex sindaco di New York Mike Bloomberg e passare a star della musica e dello showbiz come Kanye West sua moglie Kim Kardashian.


La società ha poi rilasciato un comunicato informando su come è intervenuta davanti al problema: “Una volta venuti a conoscenza dell’incidente, abbiamo immediatamente bloccato gli account interessati e rimosso i tweet pubblicati dagli aggressori. Ripristineremo l’accesso al proprietario originale del profilo solo quando saremo certi di poterlo fare in modo sicuro”.


Al quesito “chi c’è dietro?” non c’è ancora una risposta certa. Le ipotesi vanno dagli hacker esperti che attuano pirateria secondo una loro logica alla possibilità che dietro le quinte, a manovrare, ci sia stata una nazione straniera. Mikko Hypponen, un esperto di cyber security, propende per l’imputare questo meccanismo di hackeraggio veloce a dei pirati giovani il cui unico scopo era probabilmente quello di arraffare un po’ di soldi. Hacker strategicamente più maturi avrebbero potuto usare questa breccia per far annunciare agli imprenditori acquisizioni importanti mettendo in subbuglio i mercati finanziari, o far dichiarare a qualche politico importante qualcosa di destabilizzante, oppure avrebbero scelto di vendere questi accessi a un’agenzia di intelligence di qualche paese che poi li avrebbe sfruttati a suo vantaggio.


Invece nulla di ciò sembra accaduto ma il solo fatto che ciò potesse succedere spaventa e questa preoccupazione si è velocemente riversata in borsa spingendo il titolo legato a Twitter verso il basso. Jack Dorsey, CEO della piattaforma, si è dunque affrettato a scusarsi e, parlando di una giornata difficile, ha assicurato di voler condividere tutte le informazioni su quanto accaduto:Ci sentiamo tutti terribilmente per quanto questo è accaduto. Stiamo diagnosticando e condivideremo tutto ciò che possiamo quando avremo una maggior comprensione di cosa sia successo esattamente.
Non che queste parole possano bastare a farci sentire molto più sicuri. C’è infatti da considerare che questa non le la prima volta in cui la sua piattaforma viene hackerata.


Svariati episodi di pirateria sono stati accusati da questo social durante i suoi 14 anni di esistenza. Fra il 2009 e il 2010 il governo americano scoprì gravi lacune nella sicurezza di Twitter e in quell’occasione si videro uscire strani tweet da 45 importanti account fra cui quello di Barack Obama e il network tv Fox News. Nel 2013 invece ad essere hackerato fu l’account di Donald Trump e i profili di media dedicati all’informazione quali l’agenzia Associated Press e il Guardian. Poi, sempre nel 2013, i pirati riuscirono ad aprirsi un pertugio nei sistemi di sicurezza della piattaforma ottenendo l’accesso a circa 250.000 indirizzi e-mail, nomi utente e versioni crittografate delle password degli iscritti mentre nel 2015 il social network si vide costretto a cancellare decine di migliaia di account sospettati di essere fittizi e legati all’Arabia Saudita. Infine, nell’agosto del 2019 fu lo stesso account Jack Dorsey a capitolare e nel novembre dello stesso anno il governo degli Stati Uniti arrivò ad accusare due ex dipendenti di Twitter di aver svolto spionaggio per conto dei sauditi.


In questo panorama social costellato di falle molti in America si chiedono cosa potrà accadere nei prossimi mesi, con il proseguo della campagna elettorale di Trump e Biden, l’inasprirsi della polarità nel paese e la pressione esercitata su tutti dall’epidemia di Covid-19.
E qui possiamo entrare nell’altro caso riportato nella giornata di ieri e che riguarda l’assedio subito da alcuni centri di ricerca scientifica da parte di hacker dediti allo spionaggio.


Alcuni ufficiali appartenenti ai servizi di sicurezza di Gran Bretagna, Canada e Stati Uniti hanno infatti dato notizia di un tentativo di breccia nei sistemi di sicurezza di alcune organizzazioni inglesi, canadesi e americane coinvolte nella ricerca e lo sviluppo di vaccini contro il SARS-CoV-2. Questi attacchi, si sospetta, avrebbero avuto la finalità di sottrarre dati utili alla fabbricazione di un vaccino e il governo britannico si è detto certo al 95% che dietro a tutto ciò ci sia la mano della Russia.
Intervenendo su questa questione il segretario agli Esteri britannico Dominic Raab ha affermato: È assolutamente inaccettabile che i servizi di intelligence russi prendano di mira coloro che lavorano per combattere la pandemia di coronavirus. Mentre gli altri perseguono i loro interessi egoistici con comportamenti sconsiderati, il Regno Unito e i suoi alleati continuano con il duro lavoro per la ricerca di un vaccino e per la protezione della salute globale”.
Paul Chichester, direttore delle operazioni presso il britannico National Cyber Security Centre (NCSC), ha inoltre dichiarato che quelli dei cyber-pirati sono “attacchi spregevoli, contro coloro che svolgono un lavoro vitale” – aggiungendo poi – “Vorremmo esortare le organizzazioni a familiarizzare con i consigli che abbiamo pubblicato per aiutare a difendere le loro reti”.

Anche la National Security Agency (NSA), per voce di Anne Neuberger, ha voluto lanciare un messaggio di questo tipo invitando tutti a prendere sul serio questa minaccia: “La National Security Agency, assieme ai suoi partner, rimane ferma nel suo impegno di proteggere la sicurezza nazionale emettendo congiuntamente questo importante avviso sulla cybersecurity a fronte di attori stranieri che continuano a trarre vantaggio dalla pandemia di COVID-19 in corso”– la Neuberger poi continua – “APT29 ha una lunga storia legata al prendere di mira le organizzazioni governative, diplomatiche, di think tank, sanitarie ed energetiche a scopi di intelligence, quindi incoraggiamo tutti a prendere sul serio questa minaccia e ad applicare le mitigazioni emesse nell’avviso.”

Il documento a cui si fa riferimento, contenente la valutazione del rischio e le linee guida, è stato emesso in modo coordinato dal Canadian Communication Security Establishment (CSE), il US Department for Homeland Security (DHS) la Cybersecurity Infrastructure Security Agency (CISA), la National Security Agency (NSA) e il National Cyber Security Centre (NCSC). L’augurio di queste agenzie è che le loro voci fatte risuonare tutte assieme possano far percepire meglio il peso e la gravità della comunicazione.

Inoltrandosi fra le pagine del rapporto pubblicato martedì dal NCSC britannico si apprende che queste attività finalizzate allo spionaggio sarebbero riconducibili a un gruppo specifico chiamato APT29, ma noto anche come “the Dukes” o “Cozy Bear”, già ben conosciuto dalle agenzie di intelligence degli Stati Uniti che lo accusarono di essersi intrufolato del network di computer del Democratic National Committee durante le presidenziali americane del 2016.


Nelle pagine redatte dai servizi di intelligence inglesi si fa anche menzione del modus operandi di questo gruppo, che sembra usi un approccio da “pesca a strascico” per rubare e tenere in archivio una grossa mole di credenziali di accesso, tenendosi l’opzione di usarle più avanti nel tempo: “Il gruppo utilizza frequentemente exploit disponibili pubblicamente per condurre scansioni ad ampio raggio contro sistemi vulnerabili, probabilmente nel tentativo di ottenere credenziali di autenticazione che gli consentano un ulteriore accesso. Questo ampio targeting offre potenzialmente al gruppo l’accesso a un gran numero di sistemi a livello globale, molti dei quali è improbabile che siano di immediato valore al livello di intelligence. Il gruppo potrebbe conservare un archivio di credenziali rubate per poter accedere a questi sistemi in futuro nel caso in cui questi diventino più rilevanti per il loro requisiti.”
Fra le tecniche usate dai pirati di APT29 ci sarebbe il phishing via email nonché l’impiego di malware realizzati su misura, come WellMess e WellMail. Il gruppo avrebbe inoltre eseguito delle scansioni su specifici indirizzi IP esterni di proprietà delle aziende per rivelare le possibili vulnerabilità di base.

Secondo quanto reso noto dall’agenzia di stampa RIA Novosti il Cremlino nega ogni suo coinvolgimento in questo attacco cibernetico verso le aziende farmaceutiche che stanno lavorando al vaccino contro la COVID-19, rispedendo dunque al mittente la pesantissima accusa formulata dagli Stati Uniti assieme a Gran Bretagna e Canada. Dmitry Peskov, portavoce del Cremlino, ha dichiarato ieri alla TASS “non centriamo nulla” e, riferendosi alle dichiarazioni del governo inglese, “Non abbiamo informazioni su chi possa aver violato la sicurezza delle aziende farmaceutiche e i centri di ricerca nel Regno Unito. Possiamo dire una cosa: la Russia non ha nulla a che fare con questi tentativi e non accettiamo accuse del genere, proprio come non accettiamo l’ennesima serie di accuse infondate di interferenza nelle elezioni del 2019″.

Al di là di chi sia dietro queste operazioni illecite resta la nota più preoccupante contenuta nel documento pubblicato dal NCSC: “È probabile che APT29 continui a prendere di mira le organizzazioni coinvolte nella ricerca e sviluppo del vaccino contro la COVID-19 “.
Come ha commentato Mike Chapple, un esperto di tecnologia informatica presso il Mendoza College of Business dell’Università di Notre Dame, i russi hanno capito che la conoscenza equivale a potere quando si tratta di COVID-19: “Penso che il principale dato reso da questi attacchi sia che altri paesi stanno attivamente prendendo di mira l’industria della ricerca sanitaria e stiamo vedendo le aziende farmaceutiche e altri essere presi di attaccati perché hanno informazioni che possono essere utilizzate per aiutare ad alleviare questa pandemia globale. È ragionevole concludere che il coronavirus sia la priorità numero 1 di ogni agenzia di intelligence in tutto il mondo in questo momento.”

Fonti: Reuters / Associated Press / CNN / ABC / medium.com / Nation Cyber Security Center – 16/07/2020

Edizioni