Windows contro Sourgum

(di Carlo Mauceli)
26/07/21

È sabato 17 Luglio 2021 ed insieme a Alessandro Rugolo, Danilo Mancinone, Giorgio Giacinto e le rispettive famiglie ci troviamo vicino a Dorgali, piccolo paese nel centro della Barbagia per un pranzo sardo in allegria.

“Carlo, questa settimana il mio Windows ha fatto ben due aggiornamenti in due momenti diversi. Come mai? Avete rilasciato delle patch specifiche o delle nuove funzionalità?” mi chiedono all’unisono Danilo, Alessandro e Giorgio tra un piatto di culurgiones e una tagliata di pecora.

Potete immaginare la mia faccia in quel momento di fronte a questa domanda...

Così, dopo un buon bicchiere di cannonau, mi sono travestito da Alberto Angela e ho cominciato a parlare del sorgo o saggina, pianta erbacea annuale appartenente alla famiglia delle graminacee. In particolare, si tratta del quinto cereale in ordine d'importanza, dopo il mais, il riso, il grano e l'orzo. La pianta di sorgo, simile a quella del mais, può raggiungere anche i due metri di altezza.

Sourgum, però (dal latino “Sorghum”?) è il nome assegnato da Microsoft ad un gruppo appartenente ai cosiddetti PSOA, “Private Sector Offensive Actor”, ossia aziende del settore privato che producono e vendono armi informatiche.

Si tratta di una nuova minaccia estremamente pericolosa per i consumatori, le aziende di tutte le dimensioni e i governi.

Si ritiene che Sourgum sia un attore offensivo del settore privato con sede in Israele e Microsoft, grazie alla stretta collaborazione con Citizen Lab, ha identificato che il gruppo farebbe capo a un'azienda chiamata Candiru, famosa per la vendita di strumenti di hacking e spyware.

Il business di Sourgum è quello di vendere armi informatiche che consentono ai suoi clienti, spesso agenzie governative di tutto il mondo, di hackerare computer, telefoni, infrastrutture di rete e dispositivi connessi a Internet. Queste agenzie scelgono, successivamente, chi prendere di mira e gestiscono da sole le operazioni effettive. Insomma una vera e propria vendita di armi.

Il Microsoft Threat Intelligence Center (MSTIC) e il Microsoft Security Response Center (MSRC), dopo settimane di analisi e ricerca, hanno provveduto a disabilitare queste armi cibernetiche che sono state utilizzate in attacchi puntuali verso politici, attivisti per i diritti umani, giornalisti, accademici, dipendenti delle ambasciate e dissidenti politici. Per limitare questi attacchi, le azioni condotte sono state, principalmente, due: 

  • Innanzitutto, sono stati integrati nelle soluzioni di sicurezza, protezioni contro il malware unico creato da Sourgum; protezioni che sono state poi condivise con la comunità della sicurezza in modo da potere proteggere chiunque sia in modalità proattiva che reattiva.
  • In secondo luogo, è stato rilasciato un aggiornamento software in grado di proteggere in modo puntuale i clienti che utilizzano Windows dagli exploit che Sourgum stava utilizzando per distribuire il suo malware.

Le attività, come detto sono durate settimane durante le quali è stato esaminato il malware, ne è stato documentato il funzionamento e sono state sviluppate le protezioni in grado di rilevarlo e neutralizzarlo. 

Il malware è stato chiamato DevilsTongue e tutte le informazioni tecniche per i clienti e la comunità della sicurezza sono disponibili a questo link.

La distribuzione di DevilsTongue sui computer delle vittime avveniva attraverso una catena di exploit che hanno avuto impatto sui browser più diffusi e sul sistema operativo Windows. 

Ecco perché, carissimi Danilo, Alessandro e Giorgio, durante la scorsa settimana, Microsoft ha rilasciato gli aggiornamenti necessari alla protezione di Windows per i due importanti exploit di Sourgum.

Le protezioni rilasciate questa settimana impediranno agli strumenti di Sourgum di funzionare su computer già infetti e impediranno nuove infezioni su computer aggiornati e su quelli che eseguono Microsoft Defender Antivirus, nonché su quelli che utilizzano Microsoft Defender per Endpoint.

Questa attività, come avvenuto in passato per altri attori, fa parte del più ampio lavoro legale, tecnico e di advocacy che Microsoft ed altre aziende che operano nel campo della sicurezza informatica, intraprendono per affrontare i pericoli causati dagli PSOA.

Quanto raccontato rappresenta, però, solo la punta dell’iceberg di un fenomeno che rischia di allargarsi a macchia d’olio e di avere effetti devastanti proseguendo sull’onda di Stuxnet, Wannacry e molti altri malware sviluppati nel corso degli anni e che oggi vanno sotto il nome di nation state attacks.

È chiaro che la vendita di questi malware, vere e proprie armi cibernetiche, da parte di aziende private, come detto in precedenza, aumentano il rischio che le armi stesse cadano nelle mani sbagliate e minaccino la società nella quale viviamo fino a scalfire i diritti umani. 

Ecco perché si moltiplicano azioni atte a frenare questa crescita e difendere gli interessi delle aziende, dei cittadini e degli Stati dagli attacchi cibernetici.

In questo senso, Microsoft, insieme a diverse altre aziende quali Google, Cisco, VMware, Linkedin, ecc. ha presentato un amicus brief a sostegno di una causa legale intentata da WhatsApp contro la società di intelligence israeliana NSO Group, accusando la società di utilizzare una vulnerabilità nascosta nell’app di messaggistica per violare almeno 1.400 dispositivi, alcuni dei quali erano di proprietà di giornalisti e attivisti per i diritti umani.

NSO sviluppa e vende ai governi l’accesso al suo spyware "Pegasus" consentendo ai suoi clienti dello stato-nazione di prendere di mira e hackerare furtivamente i dispositivi dei suoi obiettivi. Spyware come Pegasus possono tracciare la posizione di una vittima, leggere i suoi messaggi e ascoltare le sue chiamate, rubare le foto e i file e sottrarre informazioni private dal suo dispositivo. Lo spyware viene spesso installato inducendo un bersaglio ad aprire un collegamento dannoso o talvolta sfruttando vulnerabilità mai viste prima in app o telefoni per infettare silenziosamente le vittime.

Tutto ciò evidenzia in maniera ancora più prepotente come la minaccia cyber sia diventata un vero e proprio business e si sta sempre più passando dal concetto di cyber-attack a quello di cyber-warfare così come, sempre più spesso, gli obiettivi degli attaccanti sono diventate le infrastrutture critiche degli Stati.

In uno scenario simile, credo valgano molto le parole di Tom Burt, responsabile della sicurezza e della fiducia dei clienti di Microsoft

“Le società private dovrebbero rimanere soggette a responsabilità quando utilizzano i loro strumenti di sorveglianza informatica per infrangere la legge, o ne consentono consapevolmente il loro utilizzo per tali scopi, indipendentemente da chi siano i loro clienti o cosa stiano cercando di ottenere”.

“Ci auguriamo che stare insieme ai nostri concorrenti attraverso questo brief amicus aiuterà a proteggere i nostri clienti collettivi e l’ecosistema digitale globale da attacchi più indiscriminati”.

L’equazione sicurezza informatica=partnership è sempre più vera.

Per approfondire:

Sorghum vulgare - Wikipedia

Geneva-Dialogue-Baseline-study-Role-of-Private-Sector.pdf (genevadialogue.ch)

Citizen Lab

Candiru

(212) Israeli spyware firm Candiru hacked journalists and activists – report - YouTube

Microsoft Threat Intelligence Center Archives - Microsoft On the Issues

MSRC - Microsoft Security Response Center

DevilsTongue Spyware: the New Malware That Targets Windows Zero-Day Flaws (heimdalsecurity.com)

Protecting customers from a private-sector offensive actor using 0-day exploits and DevilsTongue malware | Microsoft Security Blog

Stuxnet: Il virus più pericoloso della storia eBook : Edizioni, Psyché: Amazon.it: Kindle Store

Il ransomware WannaCry: tutto quello che devi sapere | Kaspersky

Microsoft - Google v Oracle Amicus Brief_for filing (5).pdf (supremecourt.gov)

NSO GROUP - Cyber intelligence for global security and stability

https://www.agendadigitale.eu/sicurezza/cyber-warfare-tecniche-obiettivi-e-strategie-dietro-gli-attacchi-state-sponsored/

https://www.google.it/amp/s/it.insideover.com/guerra/cyberwar-e-sicurezza-informatica-ecco-cosa-ce-da-sapere.html/amp/

https://www.cybersecurity360.it/nuove-minacce/guerra-cibernetica-cyberwarfare-cose-presente-e-futuro-casi-famosi/

https://www.cybersecurity360.it/nuove-minacce/dal-concetto-di-cyber-attack-al-cyberwarfare-luso-della-forza-in-ambito-cyber/

Paper-Apr-2012_Cyberweapons.pdf (strategicstudies.it)

https://www.zerounoweb.it/techtarget/searchsecurity/levoluzione-delle-cyber-weapons/

https://www.google.it/amp/s/www.ilsussidiario.net/news/il-caso-quelle-armi-low-cost-capaci-di-colpire-una-nazione/1925309/amp/

Google e altre società si uniscono a Microsoft per opporsi all'NSO Group (ispazio.net)

Pegasus: the spyware technology that threatens democracy - video | News | The Guardian

Foto: autore