Guerre di Rete - Albania-Iran e la cyberwarfare di cui non si parla
Dati e geolocalizzazione. Signal. Riconoscimento facciale.
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.138 - 11 settembre 2022
Specie per i nuovi, ricordo che questa newsletter (che oggi conta più di 11mila iscritti - ma molti più lettori, essendo pubblicata anche online - e oltre 500 sostenitori) è gratuita e del tutto indipendente, non ha mai accettato sponsor o pubblicità, e viene fatta nel mio tempo libero. Se vi piace potete contribuire inoltrandola a possibili interessati, o promuovendola sui social. Molti lettori sono diventati sostenitori facendo una donazione. La prima campagna per raccogliere fondi è andata molto bene, e qua ci sono i dettagli (qua la lista degli oltre 500 donatori).
In più, a marzo il progetto si è ingrandito con un sito indipendente e noprofit di informazione cyber, GuerrediRete.it. Qui spieghiamo il progetto. Qui l’editoriale di lancio del sito.
In questo numero:
- Cyberattacco in Albania ed espulsione dei diplomatici iraniani: la cyberwarfare di cui non si parla
- La società che vende dati di geolocalizzazione alla polizia americana
- Una presidente per Signal
- Come la guerra sta spingendo il riconoscimento facciale
- Cybercrimine e altro
CYBERDIPLOMAZIA
Cyberattacco in Albania ed espulsione dei diplomatici iraniani: la cyberwarfare di cui non si parla
La notizia è la seguente: l’Albania ha ordinato allo staff diplomatico iraniano di lasciare il Paese, annunciando la rottura delle relazioni diplomatiche con Teheran. Il motivo è che la Repubblica islamica sarebbe dietro a un massiccio cyberattacco che ha colpito Tirana a metà luglio, bloccando in parte attività e servizi governativi. Come notano in molti, “è la prima volta che un Paese rompe ogni rapporto con un altro Stato a causa di un cyber attacco”. Gli Stati Uniti confermano l’attribuzione e affermano di voler prendere “misure supplementari” contro l’Iran. “Gli Stati Uniti condannano severamente l'attacco informatico dell'Iran contro il nostro alleato della Nato, l'Albania”, ha scritto la portavoce del Consiglio di sicurezza nazionale della Casa Bianca, Adrien Watson in un comunicato.
Se arrivati fino a qua vi state grattando la testa, chiedendovi: “Cosa diavolo ci siamo persi?”, siete in buona compagnia. E forse nel posto giusto per cercare di capire qualcosa di più di una vicenda apparentemente lineare e che lineare non è. Perché l’Albania, perché l’Iran, perché questa reazione - come notano tutti - così forte e senza precedenti?
L’attacco di metà luglio
Partiamo dall’attacco, avvenuto a metà luglio. Come conseguenza molti siti governativi albanesi diventano inaccessibili, anche perché l’agenzia nazionale per la società dell’informazione (AKSHI) disabilita molte piattaforme nello sforzo di contenere i danni. Poche settimane prima il governo del primo ministro Edi Rama aveva migrato online una serie di servizi per i cittadini, dalla registrazione nelle scuole al pagamento delle tasse. I cittadini albanesi sono rimasti dunque tagliati fuori da varie attività importanti, mentre alcuni media nelle prime ore incolpavano la Russia e l’opposizione se la prendeva col governo per aver accentrato troppi servizi sotto una un’agenzia già criticata nella sua gestione (l’AKSHI) e a quanto pare non abbastanza sicura.
I report delle società di sicurezza e l'espulsione dei diplomatici
Passano alcune settimane, in cui sul campo - per rimediare e investigare l’attacco - lavorano molti soggetti: aziende locali e internazionali ma anche rappresentanti del governo statunitense.
Il 4 agosto la società di cybersicurezza Mandiant pubblica un rapporto in cui collega l’attacco in Albania all’Iran (lo vediamo dopo). L’8 settembre è il turno di Microsoft, che fa la stessa cosa, aggiungendo molti dettagli succulenti (report). Ma aspetta prima che esca allo scoperto il governo albanese, con una video-dichiarazione del suo primo ministro Edi Rama, il 7 settembre, in cui si annuncia la rottura delle relazioni diplomatiche con l’Iran. Le parole usate sono categoriche: si tratta “senza ombra di dubbio” di un’aggressione orchestrata dalla Repubblica islamica dell’Iran, attraverso 4 gruppi. Ci sono “prove irrefutabili”.
Rama ha anche detto che l’obiettivo dell’attacco era “la distruzione dell'infrastruttura digitale del governo dell’Albania, e il furto di dati e comunicazioni dai sistemi governativi”. Ma anche che “l’attacco è fallito… e tutti i sistemi sono tornati pienamente operativi senza che ci sia stata una cancellazione irreversibile (wiping) di dati”.
Il ruolo del MEK
Come si diceva, a indicare l’Iran è stato inizialmente il report di Mandiant di inizio agosto, che aveva identificato uno specifico ransomware (e un wiper, un software malevolo che mira a distruggere dati) collegandoli a un’operazione politica contro il governo albanese, in concomitanza con una conferenza di un gruppo di opposizione iraniano che doveva tenersi non lontano da Tirana. La campagna è stata condotta da una entità online di nome HomeLand Justice, che ha pubblicato un video dell’esecuzione del ransomware e anche documenti di soggiorno di membri del MEK (Mujahedeen-e-Khalq), il suddetto gruppo iraniano d’opposizione (la cui storia è stata anche violenta e non limpida, come raccontato in questo vecchio reportage del NYT), considerato terrorista dalla Repubblica islamica, e che è stato spesso target di attacchi da parte di Teheran.
Qui però usciamo dal report Mandiant per una parentesi sul MEK. In particolare il riferimento è a tremila iraniani appartenenti a tale organizzazione e ospitati nel campo militare di Ashraf 3, a Manez, prefettura di Durazzo, una trentina di km da Tirana. “Un gruppo - scrive Repubblica - a lungo incluso nella lista delle organizzazioni terroristiche sia negli Usa che in Europa, ma da anni riabilitato al punto che furono proprio gli americani a proporre al Mek di trasferirsi dall’Iraq all’Albania per mantenere viva l’opposizione al regime iraniano, e a convincere gli albanesi ad accettarli come ospiti. E fu Washington a finanziare il trasferimento e la realizzazione del campo”.
Oltre al campo però era in programma, nella stessa località, anche una conferenza, la Free Iran World Summit, prevista per il 23-24 luglio, (e poi rimandata per motivi di sicurezza) cui avrebbero dovuto partecipare anche alcuni parlamentari statunitensi e altri politici occidentali: alla base dell’incontro la richiesta all’amministrazione Biden di adottare una politica più netta contro il regime iraniano.
Da qui si capisce almeno il riferimento presente nella nota lasciata da chi ha perpetrato l’attacco ransomware che diceva (ponendosi come se fosse un attivista albanese e non un membro dell'intelligence iraniana): “Perché le nostre tasse devono essere spese a beneficio dei terroristi di Durres (Durazzo)?” (Durazzo essendo come già detto la località dove è situato il campo). Ciò detto, i membri del MEK si trovano in Albania fin dal 2013, su richiesta di Onu e Usa. Dunque perché proprio adesso questo attacco?
Le ragioni dell’attacco e il ruolo della cyberwarfare tra Iran e Israele
Sicuramente c’è di mezzo, come nota la stessa Mandiant, lo stallo delle negoziazioni sul nucleare iraniano. Per cui questo recente attacco in Albania “indica che l’Iran si sente meno trattenuto nel condurre operazioni di cyberattacco”. Inoltre, l’espansione geografica che va oltre le solite operazioni iraniane distruttive, e arriva a colpire un membro Nato, “può indicare una accresciuta tolleranza del rischio” da parte iraniana.
Ma per capire meglio occorre introdurre anche un altro fattore, ovvero la cyberwarfare che sta andando avanti da un po’ di tempo e di cui quasi nessuno parla: che è quella tra Iran e Israele.
Ne scrivono diversi analisti ma è la stessa Microsoft a spiegarlo in un report che rafforza molto più di Mandiant l’attribuzione all’Iran dell’attacco, escludendo possibili false flags (operazioni di depistaggio in cui nel caso specifico l’attaccante sia un altro soggetto che finge di essere l’Iran). Per Microsoft non ci sono dubbi e il report è ricco di dettagli anche tecnici per spiegare l’attribuzione. Ma, cosa più importante, c’è anche il movente. Che è pure contenuto nel logo degli attaccanti: un’aquila che caccia il simbolo di un altro gruppo di hacking, noto come Predatory Sparrows (fun fact: il simbolo di questo gruppo richiama Angry Birds). A sua volta inserito in una stella di David.
Per dirla con le parole di Microsoft: “L’attacco all’Albania è stata una ritorsione per le operazioni contro l’Iran da parte di [un gruppo di hacking noto come] Predatory Sparrow, operazioni che secondo Teheran coinvolgono Israele. Predatory Sparrow ha rivendicato diversi cyberattacchi sofisticati e di alto profilo contro enti statali iraniani dal luglio 2021. Questi includono un cyberattacco a fine gennaio che ha modificato la programmazione tv del canale statale IRIB con immagini che rendevano onore a leader MEK. Predatory Sparrow aveva preavvisato dell’attacco ore prima (...) indicando il coinvolgimento di altri. Funzionari iraniani hanno poi accusato il MEK dell’attacco, e successivamente hanno di nuovo incolpato il MEK e Israele di un altro cyberattacco che ha usato le stesse immagini e messaggi contro la municipalità di Teheran a giugno”.
In quell’attacco sono state messe fuori uso le videocamere di sicurezza cittadine, mentre il sito del comune è stato defacciato con immagini di leader MEK. Ma soprattutto a Predatory Sparrow sono attribuiti alcuni attacchi ad acciaierie iraniane avvenuti quest’estate, che avrebbero prodotti danni fisici: un dato che se confermato renderebbe la loro azione uno dei più netti esempi di cyberwarfare, insieme al più noto Stuxnet (non a caso accaduto sempre in Iran, in quel caso contro una centrale di arricchimento dell’uranio). Commentando la vicenda recente delle acciaierie, alcuni esperti di cybersicurezza avevano sottolineato le modalità professionali e militari di questo presunto gruppo di hacktivisti, ritenendo che fosse piuttosto un gruppo sponsorizzato da uno Stato.
Dunque l’attacco cyber iraniano in Albania nascerebbe in questo contesto. Come ha scritto in questi giorni anche The Grugq (noto venditore di exploit e conoscitore della scena cyber offensiva internazionale), gli attacchi contro l’Iran ci sono sempre stati ma alla fine del 2021 la cyber warfare ha visto un’escalation drammatica quando Predatory Sparrow ha danneggiato le infrastrutture critiche nazionali iraniane attraverso cyberattacchi. Hanno iniziato attaccando le ferrovie e mostrando messaggi politici ai passeggeri.
“Predatory Sparrow ha cambiato i parametri del conflitto”, lanciando attacchi da “cyberwar”: danni fisici, infrastrutture critiche, contenuti e moventi politici ecc. Eppure sono stati ignorati dai commentatori, sostiene The Grugq, che sembra d’accordo sul fatto che dietro a Predatory Sparrow ci possa essere Israele. E dunque, ipotizza l’esperto, gli iraniani hanno sentito il bisogno di rispondere a Predatory Sparrow scegliendo la conferenza del MEK di luglio. Hanno attaccato il governo albanese in una dimostrazione di forza, lanciando ransomware e wiper contro i sistemi governativi al punto da bloccare le attività statali.
Nel report di Microsoft ci sono molti dettagli tecnici su come è stato effettuato l’attacco. Sono entrati attraverso una vecchia vulnerabilità non “patchata” (non corretta), sono stati dentro per mesi, hanno esfiltrato (sottratto) mail, hanno poi usato un ransomware e un wiper, anche se per la fortuna del governo albanese quest’ultimo passaggio non è andato come previsto, e il “tentativo di distruzione ha avuto meno di un 10 per cento di impatto totale sull’ambiente del cliente”. Ma, come ha notato John Hultquist, vice-president di intelligence di Mandiant, la vicenda ha mostrato come i sistemi governativi critici nei Paesi Nato siano vulnerabili e sotto attacco. E di qui si capisce anche la reazione (secondo alcuni, un eccesso di reazione) dell’Albania (e diciamolo, della Nato). Che non può permettersi di trovarsi con almeno due soggetti - Iran e Russia - dotati sia delle capacità tecniche sia della volontà di portargli la cyberwarfare, quella vera, in casa.
PRIVACY
La società che vende dati di geolocalizzazione alla polizia americana
A dimostrazione di quanto i nostri dati di localizzazione siano ormai una commodity che passa di mano in mano a nostra insaputa, arriva dagli Stati Uniti una storia sui data broker. Una società della Virginia, Fog Data Science, raccoglie dati di localizzazione provenienti da terze parti (da app scaricate sui telefoni) e li rivende alle agenzie di polizia locali e statali. A riferirlo è una ricerca della ong per i diritti civili EFF, secondo la quale questa società sostiene di avere miliardi di data point su oltre 250 milioni di device, che possono essere utilizzati dalle forze dell’ordine per tracciare i movimenti delle persone nel tempo. “Dati che possono essere usati per cercare e identificare chiunque abbia visitato in uno specifico giorno Planned Parenthood (una organizzazione che negli Usa aiuta le donne ad abortire, ndr) o chiunque sia stato a una protesta contro la violenza della polizia”, ha scritto EFF, specificando che il potenziale per abusi sarebbe impressionante. Soprattutto dopo la decisione della Corte Suprema sull’aborto, negli Usa molte organizzazioni per i diritti temono che i data broker (società il cui business è proprio la raccolta e rivendita di dati sulle persone) possano diventare uno strumento per rendere l’interruzione di gravidanza sempre più difficile e rischiosa. Al momento al Congresso Usa giace una proposta di legge per limitare il campo d’azione dei data broker, anche per quanto riguarda la geolocalizzazione. Ma le aziende del settore hanno subito aumentato la loro spesa in attività di lobbying.
SIGNAL
Una nuova presidente per costruire un'alternativa al modello tech dominante
L’app di messaggistica cifrata Signal ha una nuova presidente, Meredith Whittaker, ex manager di Google che nel 2018 aiutò a organizzare delle proteste contro il modo in cui l’azienda stava gestendo alcune accuse di molestie sessuali rivolte a dirigenti. E che poi si è dedicata allo studio e alla promozione di una intelligenza artificiale etica cofondando l’AI Now Institute.
Il compito di Whittaker sarà di guidare Signal verso la sostenibilità finanziaria. Sebbene il protocollo crittografico open source di Signal sia stato incorporato in WhatsApp dal 2016, come app autonoma Signal ha solo 40 milioni di utenti (contro i 2 miliardi e passa di WhatsApp). Ai suoi dipendenti l’anno scorso era stato detto che per arrivare alla sostenibilità l’app avrebbe dovuto raggiungere i 100 milioni di utenti (The Verge).
Whittaker conosce bene l’industria. Come ha scritto lei stessa sul blog di Signal, “ho mantenuto l’attenzione sulle meccaniche e gli incentivi che plasmano il modello di business della sorveglianza, che ha sostenuto l’attuale industria tech e ancora modella il paradigma tech dominante. Lo vediamo nella crescita di AI dipendente dai dati di sorveglianza, nell’aumento di un monitoraggio ubiquo delle attività quotidiane che si estende al luogo di lavoro, la scuola, la casa e oltre, e nella concentrazione dell’industria tech che ha visto una manciata di compagnie cementare il proprio monopolio attraverso effetti di rete (...) Dunque ho una chiara comprensione dell’ambiente plasmato da questo modello dominante di business tech, e di quello che serve per costruire una tecnologia che rigetti tale modello. Per tutta la mia carriera sono stata guidata da un impegno per futuri alternativi: come possiamo farlo in modo diverso?”
-Ascolta il discorso di Meredith Whittaker del 5 settembre. Costruire un sistema di messaggistica sicuro nell’era del capitalismo della sorveglianza. In inglese. VIDEO
EU
La diplomazia digitale europea sbarca in California
L’Unione europea ha aperto un nuovo ufficio a San Francisco dedicato a rafforzare la cooperazione con gli Stati Uniti sulla diplomazia digitale, a promuovere i propri standard e tecnologie, e a rafforzare la propria capacità di raggiungere il mondo politico, economico e la società civile statunitensi.
EEAS
RICONOSCIMENTO FACCIALE
In settimana è tornato anche il sito Guerre di Rete, con questo articolo di Fabio DeSicot: Come la guerra sta spingendo il riconoscimento facciale
Mentre le aziende occidentali sfruttano il conflitto per normalizzare i loro prodotti, la Russia applica questa tecnologia per stringere le maglie della sorveglianza. E la esporta pure.
CYBERSPIONAGGIO
La Cina punta il dito sulla NSA
La Cina ha accusato la NSA, l’agenzia di intelligence americana, di aver violato i sistemi informatici di un'importante università cinese, la Northwestern Polytechnical University, che sviluppa armi per i militari. Secondo un ricercatore dell’istituto australiano ASPI, Australian Strategic Policy Institute, l’accusa sarebbe stata accompagnata da una campagna sui social media di accuse contro l’NSA.
Via Vice
CYBERCRIME / ITALIA
Asl Torino, perdita di dati
L’attacco informatico all’Asl Città di Torino (pare un ransomware, come scritto da Cybersecurity360) avvenuto ad agosto continua a creare problemi alla sanità torinese. “Se i sistemi informatizzati di tutti i pronto soccorso aziendali sono ripartiti e attivi, il gruppo di lavoro dell’agenzia di Cybersicurezza Nazionale, ha però reso noto che “a seguito dell’attacco informatico, è emersa una parziale esfiltrazione di dati presenti su alcuni sistemi dell’Asl che può comportare una perdita di riservatezza e accessibilità”. In sostanza, alcuni dati sono stati persi o, nella peggiore delle ipotesi, rubati”, scrive Torinoggi.
CYBERCRIME / MONDO
Interpol contro il sextortion
L’Interpol ha arrestato 12 persone che gestivano un’attività cybercriminale di sextortion, con vittime soprattutto a Hong Kong e Singapore. Il gruppo non sembra particolarmente rilevante ma è al solito interessante la modalità con cui operava: le vittime erano inizialmente raggiunte su siti di dating ed erano poi convinte a scaricare una app con cui scambiarsi contenuti espliciti. Ma l’app era progettata per rubare i contatti in rubrica che i criminali avrebbero poi minacciato di usare, inviando agli stessi video e foto a sfondo sessuale, se le vittime non pagavano l’estorsione. Un anno fa l’FBI aveva già segnalato un incremento delle segnalazioni di sextortion nel 2021. Via BleepingComputer e Interpol.
CYBERCRIME / INNOVAZIONE
La piattaforma di phishing per aggirare l’MFA
Nella varietà di servizi offerti nell’underground cybercriminale è emerso di recente un sistema per rendere più accessibile il furto in tempo reale di credenziali per aggirare l’autenticazione a due fattori. EvilProxy è infatti una piattaforma di phishing con reverse proxy che sostiene di poter sottrarre i token di autenticazione anche per grandi aziende come Apple, Google, Facebook, Twitter ecc. I reverse proxies sono server che stanno tra la vittima e la legittima pagina di login di un’azienda. Quando il target si connette alla pagina di phishing, il reverse proxy mostra la pagina legittima, inoltra la richiesta e poi inoltra la risposta dal sito dell’azienda. E quando la vittima immette le sue credenziali e il codice (MFA) queste sono inoltrate al server dell’azienda. I cybercriminali, stando nel mezzo, possono quindi rubare il cookie di sessione e usarlo per loggarsi sul sito come l’utente, scrive Bleeping computer. Ovviamente non si tratta di una novità, ma è interessante perché questo sistema rientra in quel processo di professionalizzazione e divisione del lavoro cybercriminale, per cui gruppi più scafati e organizzati offrono una gamma sempre più ampia di servizi ad altri cybercriminali, allargando la platea di chi è in grado di compiere attacchi sofisticati.
APPROFONDIMENTI
Una guida per applicare l’etica all’OSINT (inglese) https://stanleycenter.org/publications/osint-applied-ethics-workbook/
EVENTI
Lunedì 19 settembre alle 1830 ci vediamo a Torino (via Sestriere 34), dove presenterò il libro dell’amica e collega Rosita Rijtano, Insubordinati. Inchiesta sui rider. Qui le info per partecipare se siete da quelle parti.
→ DIFFONDI LA NEWSLETTER
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! Promuovila sui social. O diventa un suo sostenitore facendo una donazione. La newsletter (che è fatta nel mio tempo libero) resta gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
Non sei ancora iscritto? Iscriviti qua, è gratuita.
—> SOCIAL E PODCAST DI GUERRE DI RETE
Guerre di Rete ora ha anche un sito di notizie, una pagina Facebook, un profilo Twitter, Linkedin e Instagram. Seguiteli! I podcast della newsletter li trovate sulle principali piattaforme ma attualmente sono in pausa (Apple Podcasts; Spotify; Google Podcast; Anchor.fm).