Guerre di Rete - Malware e prove impiantate
Focus sull'Ucraina. Garante Ue contro gli spyware.
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.124 - 19 febbraio 2022
Ricordo che questa newsletter (che oggi conta circa 10mila iscritti - ma molti più lettori, essendo pubblicata anche online - e oltre 500 sostenitori) è gratuita e del tutto indipendente, non ha mai accettato sponsor o pubblicità, e viene fatta nel mio tempo libero. Se vi piace potete contribuire inoltrandola a possibili interessati, o promuovendola sui social. Molti lettori sono diventati sostenitori facendo una donazione. La prima campagna per raccogliere fondi è andata molto bene, e qua ci sono i dettagli (qua la lista degli oltre 500 donatori)
Segnalo che è nato anche l’account Linkedin di Guerre di Rete. Questi account, insieme a quello Twitter e Facebook, in futuro saranno più attivi, per cui se siete su quei social vi consiglio di iniziare a seguirli.
In questo numero si parla di:
Malware e il rischio di finte prove incriminanti
Il Garante Ue privacy vuole un ban sugli spyware
Ucraina, gli ultimi cyberattacchi, e l’effettivo rischio cyber
Twitter contro le molestie
Altro
SORVEGLIANZA E REPRESSIONE
Storia di un attivista e di prove impiantate
Nel 2021, grazie a un’analisi forense della società Arsenal Consulting, emerse che il computer di Rona Wilson, 50 anni, noto attivista per i diritti umani indiano, non solo era stato compromesso da un malware, ma che gli attaccanti avevano usato lo strumento per impiantare dei file al fine di incriminare l’uomo. Che in effetti fu arrestato e poi incriminato anche grazie a dei documenti rinvenuti sul suo laptop che avrebbero dimostrato intenti terroristici.
Nei giorni scorsi, a questa storia si è aggiunto un altro tassello. Una società di cybersicurezza americana, SentinelOne, ha pubblicato un report che mostra come quell’episodio non sia un caso anomalo o isolato, ma si inserisca in un'attività più ampia e sistematica di almeno un gruppo di attaccanti, chiamato ModifiedElephant. Attività durata anni, contro più target (lo stesso Wilson sarebbe stato preso di mira per quasi dieci anni, fin dal 2012).
“L’obiettivo del gruppo ModifiedElephant è la sorveglianza a lungo termine, che a volte si conclude impiantando “prove” - file che incriminano il target di reati specifici - prima di arresti convenientemente coordinati”, scrivono i ricercatori. Ed è proprio questa modalità che rende il gruppo così preoccupante, considerato che gli strumenti utilizzati non sono nemmeno tanto sofisticati e che le vittime erano infettate attraverso documenti inviati via mail, secondo le modalità più tipiche del phishing. Ma a essere destinatari di queste mail erano attivisti, accademici, giornalisti e avvocati in India. Secondo i ricercatori, “le attività di ModifiedElephant sono allineate agli interessi statali dell’India, e si può osservare una correlazione tra i loro attacchi e gli arresti di individui in casi controversi e con implicazioni politiche”.
Lo stesso Wilson ricevette dozzine di email (alcune che sembravano arrivare da altri attivisti che conosceva, alcune contenenti articoli) che contenevano un malware per infiltrare il suo computer, ha scritto tempo fa il WashPost. Alla fine - hanno rilevato le analisi forensi - nel suo pc sono stati impiantati 32 documenti, tra cui una lettera che discuteva un piano per assassinare il primo ministro Modi che le autorità hanno citato come prova dell’accusa. Wilson è ancora in attesa di processo, in una prigione vicino a Mumbai, in custodia dal 2018.
Per altro l'uomo era stato infettato anche sul suo cellulare con lo spyware Pegasus, aveva sostenuto a dicembre un altro report della società di informatica forense Arsenal Consulting. Il caso è particolare e intricato. In pratica il numero di telefono di Wilson era comparso in una lista di numeri considerati potenziali target dello spyware, aveva riferito la testata The Wire, in collaborazione col progetto Pegasus, una iniziativa di giornalismo investigativo internazionale che ha rivelato come una serie di attivisti, giornalisti e politici fossero infettati dallo spyware Pegasus, venduto da NSO Group. Che ha sempre detto di vendere i suoi software ai governi per fare indagini e di non avere i dettagli sui target. E ha contestato anche che i numeri della lista fossero connessi all’uso del suo strumento (per saperne di più sul tema ricordo il mio speciale Spyware Ltd).
Ma siccome Wilson era in carcere dal 2018 e i suoi dispositivi erano in custodia, non era possibile analizzarli. Tuttavia la società Arsenal Consulting ha avuto l’incarico dalla difesa di Wilson di studiare le prove digitali sottoposte nel caso, e ha poi detto (qui i report) di aver trovato indicatori dell’avvenuta infezione di Pegasus in due backup iTunes dell’iPhone 6S di Wilson. In pratica Wilson, mentre aveva uno spyware sul telefono, aveva anche un diverso malware sul suo pc, quel malware che gli avrebbe impiantato documenti sul laptop, sostiene Arsenal Consulting.
Ma tornando al report di SentinelOne e al tema dei documenti messi nei pc, non è la prima volta che si parla di qualcosa del genere. La stessa SentinelOne a settembre aveva pubblicato un report su un caso simile (prove impiantate) riguardante la Turchia. In quel caso i target erano stati i dispositivi di giornalisti di OdaTV, dove il malware era stato usato per inserire documenti incriminanti, in modo da incastrare i reporter prima dell’arresto (i giornalisti sono stati infine prosciolti nel 2017, sei anni dopo gli attacchi).
“Il malware usato è spazzatura, comune o modificata”, ha commentato su Twitter J.A. Guerrero-Saade, uno dei ricercatori che hanno scritto i report, riferendosi al caso indiano. “Non c’è nulla di tecnicamente impressionante su questo attore malevolo (threat actor), ma siamo invece colpiti dalla sua audacia. E questo solleva domande sullo stato di diritto, il giusto processo, e se ci sia spazio per l’uso di capacità cyber nelle indagini di polizia (non intelligence) che non invalidino l’integrità di procedimenti basati su prove digitali”.
Tradotto: uno degli spauracchi sull’uso di questi strumenti di sorveglianza (o indagine, a seconda di chi li utilizza) è sempre stato, oltre alla loro invasività e capacità di estrarre le informazioni più sensibili, il rischio che potessero essere usati anche per manipolare/inserire prove false. In alcuni Paesi questo rischio si è concretizzato. E gli Stati dove vige lo stato di diritto non possono che chiedersi quali strumenti abbiano per mitigare simili rischi, o anche solo la possibilità che indagini corrette possano essere invalidate per questi dubbi.
A proposito di spyware e nello specifico di Pegasus… In settimana il Security Lab di Amnesty Tech ha annunciato di aver rinvenuto le prove dell’uso dello spyware contro altre due figure dell’opposizione polacca. In questo caso i due sono stati presi di mira, sui loro telefoni Android, con l’invio di un link in un SMS, e vari riferimenti personali per rendere il messaggio convincente, ha spiegato su Twitter il ricercatore Donncha Ó Cearbhaill, aggiungendo che questi due episodi aumentano la preoccupazione che tale strumento possa essere stato usato in Polonia per scopi politici.
(Resoconto anche sul Guardian).
Garante Ue vuole il ban sugli spyware
Intanto, il 15 febbraio, il garante europeo della protezione dei dati (Edps) ha pubblicato le sue osservazioni preliminari sui moderni spyware. Cosa dice? In sostanza dice che l’uso di questi strumenti può portare a un livello di invasività senza precedenti, che minaccia l’essenza stessa del diritto alla privacy. E che nell’Unione europea la messa al bando dello sviluppo e utilizzo di spyware con le capacità di Pegasus sarebbe l’opzione più efficace per proteggere i diritti fondamentali. E che se comunque dovessero essere utilizzati in casi eccezionali, bisogna seguire una serie di indicazioni, in pratica una stretta su tutti i controlli.
Infine c’è un aggiornamento su una storia. Se avete letto il mio approfondimento Spyware Ltd, e poi qua la newsletter, sapete che a settembre Apple ha fatto causa a NSO Group, ritenendo l’azienda responsabile della violazione degli iPhone di una serie di suoi utenti attraverso una vulnerabilità. Ora in questi giorni Reuters è uscita con un approfondimento su una delle vittime su cui in precedenza era stato ritrovato Pegasus, che avrebbe contribuito all’indagine dei ricercatori sul funzionamento dello spyware, della sua infezione e attribuzione. E la vittima non è da poco: si tratta di una nota attivista per i diritti delle donne dell’Arabia Saudita, Loujain al-Hathloul, già in prima linea nella battaglia per l’abolizione del divieto di guida e più in generale del sistema del “guardiano” maschile. Arrestata nel maggio 2018 e rilasciata solo nel febbraio 2021 dopo abusi e violenze. Poco dopo il suo rilascio, l’attivista ha ricevuto un’email da Google che la avvisava di un tentativo di entrare nel suo account Gmail da parte di attaccanti statali. A quel punto, temendo anche per il suo iPhone, la donna ha dato il dispositivo ai ricercatori del Citizen Lab che hanno poi trovato le tracce lasciate dallo spyware, grazie a un suo stesso malfunzionamento. Da notare che la donna era già stata attaccata prima del suo arresto, nel 2017, con un altro spyware inviato da un programma di spionaggio/sorveglianza degli Emirati, il progetto Raven, come riferito da Reuters lo scorso dicembre.
- Intanto il Dipartimento di Giustizia Usa ha incriminato un rivenditore messicano di Hacking Team, scrive Vice.
FOCUS UCRAINA
Anche sul fronte cyber è attesa
Mentre persiste lo spettro della guerra in Ucraina, non sono mancati alcuni incidenti informatici. Anche se per ora gli scenari cyber più apocalittici preconizzati da alcuni commentatori non si sono realizzati. (E comunque passano in secondo piano quando ci sono di mezzo i carri armati).
In realtà la questione cybersicurezza, ovvero i rischi e i danni presagiti o ventilati da possibili cyberattacchi, rientrano in quella guerra di posizione psicologica che ha finora dominato le tensioni tra Russia, Ucraina, e altre potenze occidentali (per cui, a maggior ragione, è importante non ingigantire singoli episodi).
Sta di fatto che nei giorni scorsi il sito del ministero della Difesa ucraino, e due siti delle maggiori banche del Paese sono stati oggetto di attacchi DDoS (di negazione distribuita del servizio, in cui si cerca di sovraccaricare un sito/servizio al punto da farlo andare offline). A denunciarlo un post su Facebook e Twitter dello stesso ministero della Difesa: “Il portale ufficiale del ministero ha sofferto probabilmente un attacco DDoS. Sono in corso attività per ripristinarlo".
Altra conferma è arrivata dal locale Centre for Strategic Communications and Information Security, secondo il quale anche la banca ucraina Privatbank era stata colpita da un DDoS, al punto che gli utenti avevano problemi con i pagamenti e la sua app, o non riuscivano a loggarsi o a vedere il proprio bilancio o le transazioni recenti. Il governo ha poi anche parlato di problemi tecnici all’internet banking di un altro istituto di credito, Oschadbank. Anche l’osservatorio di monitoraggio di internet Netblocks ha scritto che degli attacchi DDoS avrebbero mandato offline siti della difesa e di due banche, PrivatBank e Oschadbank.
Questi episodi arrivano dopo che lo scorso mese decine di siti governativi ucraini erano stati defacciati, ovvero gli attaccanti avevano modificato le loro home lasciando messaggi minacciosi verso i cittadini del Paese. Kiev aveva accusato la Russia di essere dietro questa attività.
Gli scenari temuti
Da mesi vari Paesi della Nato (che hanno promesso all’Ucraina nuovi aiuti anche sul fronte cyber) sembrano prepararsi al peggio, cioè all’eventualità che le tensioni in Ucraina sfocino in una maggiore aggressività russa sul fronte informatico, con conseguenze che andrebbero oltre Kiev.
Con tre scenari principali: attacchi mirati a infrastrutture del proprio Paese (scenario più aggressivo); un intensificarsi di attacchi informatici in Ucraina che potrebbero tracimare (spillover) in altri Paesi, a partire da aziende e sistemi connessi con quelli ucraini - qui l’esempio passato è quello di NotPetya, un malware che dall’Ucraina si diffuse nel resto del mondo (scenario che per essere però esteso presuppone alcune precondizioni non banali): una recidiva/rilancio delle attività di alcuni gruppi cybercriminali/ransomware considerati in qualche modo legati o tollerati da Mosca (scenario più probabile?).
Gli alert delle agenzie in Usa e Italia
Intanto negli Usa la CISA, l’agenzia per la sicurezza dei dati e delle infrastrutture, ha recentemente pubblicato una raccomandazione speciale, ad hoc, mirata ad affrontare quella che gli americani considerano una situazione più a rischio di attacchi informatici, anche per le organizzazioni del Paese. La Russia è esplicitamente menzionata.
“Anche se non c’è al momento una minaccia specifica credibile per gli Stati Uniti, siamo consapevoli della possibilità che il governo russo consideri una escalation delle sue azioni destabilizzanti in modi che possono avere un impatto anche su altri al di fuori dell’Ucraina”, scrive la CISA, cui fa seguire una serie di raccomandazioni per rafforzare la postura di sicurezza di aziende e organizzazioni.
Un analogo avviso è stato pubblicato anche dal nostro CSIRT Italia (il team di cybersicurezza, istituito presso l'Agenzia per la cybersicurezza nazionale, che deve individuare minacce e monitorare incidenti a livello nazionale). Che scrive: “Si evidenzia il significativo rischio cyber derivante da possibili impatti collaterali a carico di infrastrutture ICT interconnesse con il cyberspazio ucraino, con particolare riferimento ad enti, organizzazioni ed aziende che intrattengono rapporti con soggetti ucraini e con i quali siano in essere interconnessioni telematiche(..) Tali impatti potrebbero derivare dalla natura interconnessa della rete Internet, in quanto azioni malevole, indirizzate verso una parte di essa, possono estendersi ad infrastrutture contigue come dimostrano precedenti infezioni con impatto globale quali ad esempio NotPetya e Wannacry”.
Seguono raccomandazioni.
Gli hacker ucraini e l’analisi dei loro finanziamenti via criptovalute
In realtà, come già raccontato in una newsletter passata con il ritratto dei Cyber Partisans bielorussi, tutta quella regione è percorsa da gruppi e attacchi di varia natura e provenienza. Un recente report della società di analisi della blockchain Elliptic, ad esempio, esamina come varie organizzazioni ucraine si finanzino con bitcoin e le criptovalute. Tra queste anche l’Ukrainian Cyber Alliance, un collettivo di hacktivisti che compie cyberattacchi contro target russi dal 2016, tra cui il sito del Ministero della Difesa russo. Questo gruppo raccoglie donazioni solo via criptovalute (Bitcoin, Ethereum e Litecoin), e i suoi indirizzi avrebbero raccolto l’equivalente di 100mila dollari, scrive Elliptic, anche se il gruppo sostiene che la maggior parte di queste transazioni non siano donazioni.
TWITTER
Un aiuto contro commenti malevoli
Twitter ha deciso di espandere la funzione Safety Mode (fino ad oggi in fase di test) agli utenti di una serie di Paesi in lingua inglese. Quando l’utente attiva questa modalità, il sistema blocca automaticamente per una settimana quegli account che rispondono ai suoi tweet con insulti o commenti d’odio. In quei 7 giorni dunque gli account individuati dal meccanismo non potranno seguire/vedere l’account della persona cui avevano scritto dei tweet, o mandargli messaggi diretti. Come se fossero stati bloccati dall’utente. Il sistema determina quali account bloccare sulla base del linguaggio usato nelle repliche, ed esaminando la relazione tra i due account. Se chi riceve repliche segue o interagisce di frequente con chi gliele manda, non ci sarà blocco. In pratica il Safety Mode è pensato per aiutare gli utenti quando si trovano sotto attacco, mettendo in piedi uno scudo che gli permetta di bloccare automaticamente una serie di interazioni tossiche provenienti perlopiù da sconosciuti senza dover andare manualmente a bloccare ciascun account. Una situazione che può accadere spesso, anche a persone che non sono famose, quando un tweet diventa virale. Non solo: non appena Twitter individuerà che è in corso un attacco di questo tipo, suggerirà al target di attivare il Safety Mode.
Un'etichetta per i “bot buoni”
Inoltre da questa settimana Twitter permetterà agli sviluppatori di aggiungere un’etichetta ai loro account automatizzati (bot). Anche questo era un esperimento lanciato a settembre che ora viene esteso. L’idea è di permettere a coloro che usano i bot per scopi informativi e non malevoli di poterlo fare nel massimo della trasparenza (The Verge).
RICONOSCIMENTO FACCIALE
La più controversa società di riconoscimento facciale vuole raccogliere 100 miliardi di foto di volti
Scrive Wired Italia: “Clearview AI, la controversa società americana che opera nel campo del riconoscimento facciale, vuole renderci tutti identificabili. Secondo quanto scrive il Washington Post, Clearview ha fatto sapere ai suoi investitori di essere sulla buona strada per avere 100 miliardi di foto di visi nel suo database entro un anno. Abbastanza per garantire che “quasi tutti nel mondo siano identificabili", riporta una presentazione di dicembre 2021 ottenuta dal giornale americano”
APPROFONDIMENTI
METAVERSO
Metaverso. La guida pratica
Un approfondimento chiaro e preciso sulle implicazioni legali del metaverso, con molti riferimenti anche al mondo blockchain - di 42LF–The Innovation Law Firm (a cura di Giuseppe Vaciago)
BITFINEX
La storia incredibile dietro l’arresto di una coppia di Manhattan accusata di aver riciclato criptovalute che erano state rubate nell’hack dell’exchange Bitfinex nel 2016. Approfondimento di Vice (inglese)
GIORNALISMO
Il modello di business de Il Post, spiegato bene (all’estero)
Pressgazette
APT
Ho parlato di APT e attacchi (para)statali su @radiopopmilano con @schiaffino_m. Abbiamo parlato delle differenze tra Stati, di attacchi a infrastrutture critiche, di nomi e altro. Si ascolta qua
→ DIFFONDI LA NEWSLETTER
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! Promuovila sui social. O diventa un suo sostenitore facendo una donazione.
La newsletter (che è fatta nel mio tempo libero) resta gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
—> SOCIAL E PODCAST DI GUERRE DI RETE
Guerre di Rete ora ha anche un sito, una pagina Facebook, un profilo Twitter, Linkedin e Instagram. Seguiteli! I podcast della newsletter (che escono il lunedì in genere) li trovate sulle principali piattaforme (Apple Podcasts; Spotify; Google Podcast; Anchor.fm).