Che la rete progenitrice di Internet sia stata ideata e realizzata in ambito militare negli Stati Uniti non è certo un mistero. Come è noto che anche molte delle tecnologie informatiche, nonché i maggiori produttori che le vendono, provengono da tale nazione. Non dovrebbe quindi stupire il fatto che gli USA vantino la più longeva e consistente esperienza nel cyberspazio, dimensione che, invece, molti altri Paesi hanno “scoperto” relativamente da poco tempo. È naturale, quindi, che dopo aver scritto su The Lazarus, il sorprendentemente attivo gruppo di hacker nordcoreano (v.articolo), descriviamo ora una cellula cyber attribuita agli States. Si tratta di The Equation Group, che si ritiene sia in qualche modo strettamente legato alla potente intelligence a stelle e strisce e la cui storia si intreccia con vicende internazionali dai contorni foschi e dalle conseguenze sorprendenti. Diplomazia, spionaggio e controspionaggio, lotta per la supremazia mondiale nel campo economico, scientifico, tecnologico e militare, attivismo politico e tecnologia quasi da fantascienza. La storia di The Equation è tutto questo e sorprende e appassiona chiunque abbia la voglia e il tempo di approfondirla.
Iniziamo con il dire che The Equation è il nome attribuito dai ricercatori della società Kaspersky Lab e condiviso quasi unanimemente a livello globale. Gran parte di ciò che è noto circa tale organizzazione si deve proprio a questa società e alla concorrente Symantec ma non solo a loro. Molti ricercatori si sono dedicati e si dedicano tuttora a The Equation. Peraltro, come si vedrà in seguito, talune conferme a quanto scoperto e molte altre informazioni “di prima mano” sono state fornite sia da Edward Snowden (foto), un ex collaboratore della National Security Agency (NSA) sia da un misterioso gruppo cyber rivale.
In particolare, dalle indagini dei ricercatori delle società di sicurezza e dalle fughe di notizie che hanno riguardato The Equation, emergono le caratteristiche che lo contraddistinguono inequivocabilmente rispetto ad altri gruppi.
Punto primo. Sembra che tale cellula sia ben strutturata e dotata di risorse ingenti. Infatti, analizzando i commenti rintracciabili nei codici sorgente con cui sono stati scritti alcuni malware e i relativi manuali operativi, è possibile intuire che nel gruppo militano sviluppatori software con diversi livelli di esperienza, responsabili del supporto tecnico e agenti operativi che li impiegano sul campo. Tale precisa strutturazione e il significativo numero dei suoi componenti, che si desume dai diversi “stili” di programmazione, fanno ritenere che con tutta probabilità si tratti di una cellula supportata da una potente nazione.
Punto secondo. La nazione in questione sarebbe la federazione degli USA. Nello specifico, alcune rivelazioni supportate da documenti ritenuti essere autentici e altre indiscrezioni che sono trapelate in merito a una particolare vicenda, descritta di seguito, lascerebbero pochi dubbi sul fatto che The Equation sia fortemente legato all’NSA e che abbia collaborato, almeno in una circostanza, con la Central Intelligence Agency (CIA). Peraltro, ciò sarebbe confermato dal fatto che alcuni cyber attacchi attribuiti al gruppo hanno certamente coinvolto anche agenti che hanno operato con metodi “tradizionali”.
Terzo punto. Molte delle tecnologie e delle tecniche usate da The Equation nell'ambito delle proprie operazioni cyber, sono tanto sofisticate da non trovare pari a livello globale. Ciò conferma sia che si tratta di un'organizzazione con vaste risorse a propria disposizione sia che la stessa possiede una considerevole esperienza maturata in diversi anni di attività. Tuttavia, purtroppo, in alcuni casi le tecnologie impiegate sono sfuggite al controllo della cellula, con esiti disastrosi.
Ultimo punto, legato in qualche modo al precedente. La particolarità del gruppo consiste nella capacità di poter sferrare sofisticati attacchi mirati, che si protraggono molto a lungo nel tempo, grazie all’uso di avanzate tecniche di elusione dei controlli di sicurezza (le cosiddette Advanced Persistent Threat). In molti casi, infatti, sono state svelate operazioni quando ormai, in realtà, duravano da alcuni mesi se non, alcune volte, da anni. I componenti del gruppo sono quindi molto abili a celare le proprie attività nel cyberspazio. Veniamo, dunque, alle vicende più significative che hanno caratterizzato, fin qui, la storia di The Equation, tenendo presente che, proprio a causa della predetta abilità, la datazione degli avvenimenti è inevitabilmente poco accurata.
La prima operazione della cellula risalirebbe addirittura al 2001, anche se secondo alcuni The Equation sarebbe attivo addirittura già dal 1996. Tuttavia, le evidenze più concrete delle sue attività cyber sono generalmente ricondotte al periodo 2002-2003, quando The Equation avrebbe diffuso alcuni malware celandoli in un CD-ROM di installazione di un noto database, fatto recapitare in qualche modo agli obiettivi. Una tecnica simile fu riscontrata nel 2009, quando un altro CD-ROM compromesso fu recapitato ad alcuni eminenti scienziati che avevano partecipato ad un importante congresso di livello mondiale. Anche in questo caso il CD sembrava autentico ma, in realtà, conteneva una serie di malware ideata per svolgere sofisticate attività di spionaggio.
Il vero “capolavoro” di The Equation risalirebbe al periodo 2009-2010, quando il mondo conobbe Stuxnet. Di questa vicenda si è scritto molto ed è raccontata anche in un film, tuttavia vale la pena ricordarla. Secondo indiscrezioni di stampa confermate da molte fonti, il presidente Obama, all'atto della sua elezione, ereditò un programma segreto avviato dal suo predecessore Bush Jr. nel 2006, con il nome in codice Olympic Games. L’idea che era alla base di tale operazione, volta a ritardare o arrestare il programma di sviluppo nucleare iraniano, per l'epoca era rivoluzionaria e ambiziosa: raggiungere tale obiettivo mediante una campagna cyber, senza scatenare una crisi internazionale. A questo punto sarebbe entrato in gioco The Equation o una una sua cellula di elite che, nell’ambito di una complessa e rischiosa operazione di sabotaggio, avrebbe sviluppato l’arma cyber più sofisticata e “letale” mai esistita prima di allora: il citato Stuxnet e alcune sue diverse varianti. In particolare, The Equation avrebbe collaborato con la CIA e con una cellula cyber di un Paese amico (si tratterebbe di Israele), al fine di creare “l'agente segreto perfetto” cyber. Una volta pronto, Stuxnet fu introdotto nella rete informatica della centrale nucleare irania di Natanz, certamente grazie all'intervento “umano”. Tale rete, infatti, era confinata nella centrale e non era connessa con altri sistemi e men che meno con Internet. Una volta penetrato, il malware si è diffuso silenziosamente e ha raccolto in segreto tutte le informazioni circa i sistemi connessi in rete e le procedure utilizzate nell’impianto. Il target consisteva nel sistema di gestione delle centrifughe utilizzate per arricchire l'uranio e, in particolare, i computer che ne comandavano il funzionamento. La missione di Stuxnet, infatti, era quella di danneggiare irreparabilmente le centrifughe, ritardando il programma di arricchimento dell’uranio, in quanto poteva essere potenzialmente utilizzato per costruire testate nucleari.
Il malware non fallì la propria missione. Dopo settimane passate a raccogliere pazientemente le necessarie informazioni, il malware, sempre grazie all'aiuto di un agente “in carne ed ossa”, riuscì a mettersi in contatto con la centrale di controllo dell’operazione e a trasmettere tutto quello che aveva scoperto. Infine, al momento stabilito, colpì la centrale. Le centrifughe, durante un turno notturno meno presidiato del solito dagli addetti, ricevettero tutte contemporaneamente un errato comando che modificò i loro normali parametri di funzionamento. Allo stesso tempo, il sistema di controllo della centrale venne ingannato e non rilevò alcuna modifica o anomalia nel funzionamento delle macchine. Risultato: migliaia di centrifughe danneggiate e programma nucleare sospeso per mesi. Diversi aspetti dell'operazione restano tuttora oscuri, compresa l’entità reale dei danni arrecati al programma nucleare iraniano, tuttavia si è trattato indubbiamente di un successo. Per la prima volta nella storia, un’operazione cyber ha impiegato ciò che fino ad allora era stato solo ipotizzato: una cyber-arma in grado di trasferire i propri effetti dalla dimensione virtuale a quella reale.
Il successo, però, fu oscurato da una conseguenza nefasta. Qualcosa andò storto e, nonostante Stuxnet fosse stato programmato per autodistruggersi senza lasciare tracce al termine della propria missione, sfuggì al controllo dei suoi stessi creatori e si diffuse in Internet. Fu solo questione di tempo e oltre che tra le mani dei ricercatori delle società di sicurezza informatica, Stuxent capitò anche tra quelle di cyber criminali senza scrupoli e da quel momento in poi si iniziò a parlare del fenomeno della “proliferazione delle cyber-armi”.
Stuxnet non è l’unico sorprendente malware che è stato attribuito a The Equation. A partire dal 2001, EquationLaser, DoubleFantasy, Flame, EquationDrug, Fanny, GrayFish e altri prodotti ancora, sono stati concepiti per compiere la stessa missione di Stuxnet, ossia spiare e sabotare. E lo hanno fatto come nessun altro strumento era riuscito a fare in precedenza. In totale sono stati documentati più di 500 attacchi attribuibili al gruppo, che hanno coinvolto almeno 42 nazioni tra cui il già citato Iran, Russia, Pakistan, Afghanistan, India, Siria e il Mali, primi fra tutti per numero di “vittime”. Tuttavia, a causa dei meccanismi di autodistruzione di cui sono dotati i malware di The Equation, il sospetto è che il numero dei dispositivi colpiti dalla cellula sia molto più alto, ovvero che ammonti a decine di migliaia.
Gli USA, pur ammettendo di avere la capacità di sviluppare campagne cyber, soprattutto ai danni dei gruppi terroristici di stampo islamico, non hanno mai riconosciuto la propria responsabilità nelle attività attribuite a The Equation. A complicare molto le cose all’amministrazione americana, però, ci si è messo Edward Snowden, un ex dipendente della NSA, di cui ne è diventato collaboratore esterno, che “convertitosi” in attivista politico, nel 2013 ha fornito a WikiLeaks e alla stampa migliaia di documenti inerenti le attività cyber della sua ex Agenzia. Peraltro, tra le rilevazioni fatte da Snowden, talune hanno riguardato proprio la vicenda di Stuxnet.
Tre anni più tardi, mentre le operazioni di The Equation comunque andavano avanti, entrò in scena un misterioso gruppo di hacker che affermava di aver infiltrato la cellula cyber USA e di avergli sottratto molti documenti e, soprattutto, alcuni malware: The Shadow Brokers. Nello specifico, nell’estate del 2016 tale organizzazione si presentò al mondo mettendo all’asta una serie di informazioni riguardanti le attività di The Equation. L’asta andò praticamente deserta e il gruppo iniziò a pubblicare deliberatamente materiale sempre più scottante, compreso il codice sorgente di alcuni “prodotti made in NSA”. Nel contempo furono rese note alcune gravi vulnerabilità di sicurezza di software molto diffusi, non note fino a quel momento neanche agli stessi produttori ma scoperte e sfruttate da The Equation (le cosiddette vulnerabilità zero-day). Non solo, The Shadow Brokers, nell’aprile 2017, svelò anche l'identità di un ex collaboratore della predetta Agenzia che in passato fece parte del team di elite dedicato alle attività di cyber intelligence più sofisticate, rivolte ai Paesi più ostili al governo: l'unità Tailored Access Operations. Unitamente alla sua identità furono diffusi gli strumenti utilizzati dall’ex agente che, sommati a quanto pubblicato in precedenza, misero in circolo un incontrollabile numero di nuovi potenti malware e di vulnerabilità non note. Peraltro, una di queste, in seguito fu sfruttata per lanciare il famigerato attacco WannaCryptor per mano, sembra, nordcoreana (v.articolo).
Chi c’è dietro Shadows Brokers? Da dove proviene? Sono ex agenti della NSA “pentiti” come Snowden o appartengono a qualche governo ostile agli USA? Se così fosse, di quale governo si tratterebbe? Il controspionaggio americano sta indagando su alcuni collaboratori dell’Agenzia ma alcuni, compreso Snowden, puntano il dito sul governo russo, evidenziando le particolari circostanze in cui The Shadows Brokers ha agito (il periodo delle elezioni presidenziali USA - v.articolo), già soggette a delicate indagini da parte delle autorità americane. Ma questa è un’altra storia. O forse no?
In definitiva, comunque sia, tra parziali ammissioni, smentite e mancate conferme, il governo a stelle strisce tuttora non ha ufficialmente riconosciuto il proprio coinvolgimento con The Equation group. Quello che è certo, è il fatto che da tempo si sta combattendo una guerra sotterranea nel cyberspazio, senza esclusione di colpi bassi. Gli interessi in gioco sono enormi e c’è da giurare che The Equation o il gruppo che forse è sorto dalle sue ceneri, continuerà per molto tempo a giocare un ruolo di primo piano tra le cellule cyber che operano nel cyberspazio. Peraltro, probabilmente lo farà prendendo maggiori precauzioni per non farsi nuovamente scoprire.
Per approfondire:
http://www.datamanager.it/2017/03/ci-cia-nsa-dietro-lequation-group/
https://airbus-cyber-security.com/playing-defence-equation-group/
http://formiche.net/2017/11/shadow-brokers-hack-nsa/
(foto: web/ U.S. Air Force)
