[Guerre di Rete - newsletter] El Chapo e gli spyware; l'attacco ai politici tedeschi; truffe alle aziende
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
Numero 17 - 13 gennaio 2019
Buon Anno a tutti. Da oggi riprende questa newsletter dopo la pausa natalizia.
Di cosa si parla:
- CEO Fraud
- politici tedeschi hackerati
- Huawei e accuse di spionaggio
- ransomware e giornali
- AI e Finlandia
CYBERCRIMINE
Tecnimont vittima di una truffa?
Secondo il quotidiano economico indiano Economic Times, un gruppo di truffatori avrebbe rubato oltre 18 milioni di dollari alla controllata indiana di Tecnimont Spa, colosso ingegneristico italiano. Nel resoconto - basato, dice il quotidiano, anche sulla denuncia visionata dal giornalista - gli attaccanti avrebbero mandato una email al capo della sussidiaria indiana, email che fingeva di essere inviata dal CEO dell’azienda. Sì, si tratterebbe, se quanto scritto da Economic Times verrà confermato (fino a ieri Tecnimont non aveva rilasciato dichiarazioni ufficiali al riguardo) di un classico, ben congegnato caso di CEO Fraud, “truffa del CEO”, una nota tecnica in cui gli attaccanti - in genere attraverso l’invio di una mail, simile a quella reale - cercano di impersonare l’amministratore di un’azienda nelle comunicazioni con alcuni suoi dipendenti-chiave per spingerli a fare qualcosa che ovviamente non dovrebbero fare. Come eseguire dei pagamenti.
I truffatori avrebbero organizzato una serie di conference call per discutere una acquisizione in Cina molto segreta e confidenziale, per cui era necessario non diffondere l’informazione all’interno dell’azienda. In queste call c’era chi impersonava il CEO del gruppo, chi un avvocato svizzero, chi altri dirigenti senior dell’azienda, riferisce ancora Economic Times citando la denuncia presentata all’unità sul cybercrimine della polizia di Mumbai. Gli attaccanti sarebbero riusciti a giustificare il fatto che i soldi non potevano essere trasferiti dall’Italia per ragioni normative. La sussidiaria indiana allora avrebbe effettuato il pagamento in tre tranche a novembre - da 5,6 milioni di dollari; 9,4 milioni; e 3,6 milioni - ad alcune banche di Hong Kong da dove i soldi si sarebbero dileguati al volo. Secondo il quotidiano economico, le comunicazioni dei dirigenti dell’azienda sarebbero state ben imitate (Economic Times - vedi anche Reuters)
Nota: il giornale parla di truffatori cinesi, ma non dà ulteriori dettagli, oltre al fatto che la finta impresa da acquistare doveva essere cinese e che il pagamento sarebbe passato da Hong Kong. Ricordo che da questa città sono passate altre grosse cyber truffe, incluse quelle a danno di alcune banche.
La CEO Fraud/BEC
In molti casi di CEO Fraud, i truffatori/hacker prima violano il network aziendale, poi raccolgono informazioni e infine imbastiscono la messinscena. A volte riescono a inserirsi nella conversazioni email. In questo caso si parla di Business Email Compromise. Quando gli episodi sono particolarmente complessi ed eclatanti, le indagini valutano anche la possibilità che ci siano stati degli appoggi interni. Lo scorso agosto gli Usa avevano smantellato una rete di 74 criminali, divisi fra Stati Uniti, Nigeria (che era l’epicentro delle operazioni), Canada, Mauritius e Polonia, ed erano stati recuperanti 14 milioni di pagamenti fraudolenti. (Dipartimento Giustizia)
GERMANIA
Mamma, ho hackerato mezzo Parlamento
Il più grande data leak della storia della Germania - come è stata enfaticamente definita la diffusione online, a dicembre, di dati e comunicazioni personali che hanno toccato quasi un migliaio di personaggi pubblici tedeschi, soprattutto politici - non è stato perpetrato da un manipolo di agenti dei servizi stranieri, da hacker di Stato, da qualche pericoloso gruppo di cybercriminali organizzati, bensì da un ventenne tedesco, che vive coi suoi genitori, e che ha gestito il tutto presumibilmente da solo, dalla sua stanzetta. E lo avrebbe fatto per ragioni politiche vaghe, cioè per esprimere la sua insoddisfazione e il suo malcontento verso una certa classe dirigente. E ha confessato, anche grazie all'intervento della madre.
Premessa
A partire da dicembre, un utente Twitter dal nome G0d (spalmato su almeno altri due account) ha iniziato a pubblicare un calendario dell'avvento, tradizione molto tedesca che serve a contare i giorni che mancano al Natale, e che spesso è accompagnata da regalini o pacchettini giorno per giorno. Solo che in questo caso i pacchettini da scartare erano un tweet, con un link a un archivio contenente dati personali su una serie di personaggi pubblici, quasi mille fra politici, giornalisti, celebrità varie, Youtuber ecc. Ogni giorno dal primo dicembre al 25 dunque un link con dei dati da scaricare. Nessuno o quasi però sembra essersi accorto di cosa stesse effettivamente succedendo fino al 3/4 gennaio quando un noto YouTuber, che aveva avuto l'account Twitter hackerato dallo stesso autore del leak, ha diffuso un messaggio (video); e quando qualcuno nell'ufficio di Andrea Nahles, la leader del partito socialdemocratico tedesco, si è accorto di qualcosa e ha avvisato i servizi. A quel punto è arrivata anche la stampa, ed è quando è uscita la notizia che ha fatto il giro del mondo, come il più grande data leak della Germania.
Un patchwork di leak
A ben vedere però le dimensioni del leak non sono così grandi. È vero che sono state coinvolte quasi mille persone, ma su gran parte di queste i dati diffusi sono pochi (per quanto sicuramente sensibili) tipo indirizzo, telefono, Skype, e altre informazioni semi-pubbliche. Mentre di altri, una minoranza, ci sono molti più dati, incluse foto, documenti su Dropbox, chat ecc. L'impressione - ha notato su Twitter un ricercatore di sicurezza, Luca Hammer - è che siano stati violati solo alcuni account (forse anche solo una decina), da cui l'attaccante ha poi ricavato informazioni su molti altri contatti. Con un gran lavoro manuale in mezzo di ricomposizione dei dati. E l'origine sembrano essere account privati, social media, servizi cloud. Sarebbe insomma un patchwork, e non la violazione diretta di un network o server governativo (ipotesi per altro smentita quasi da subito dalle autorità tedesche). In parte, ha detto il capo della polizia federale tedesca, Holger Münch, le informazioni diffuse nel leak erano già pubbliche, mentre ci sarebbero stati 116 casi di documenti personali illegalmente divulgati. E l'attaccante avrebbe agito da solo, sfruttando la debolezza di password come 1234, e altre tecniche non sofisticate. La maggior parte dei politici interessati sono della CDU, ma sono stati toccati tutti i partiti parlamentari ad eccezioni del partito di estrema destra AfD (New York Times). Come ha notato qualcuno, più che capacità l'attacco denota dedizione e pazienza. Come mostrato anche dal modo in cui l’attaccante ha divulgato il leak, in modo capillare, distribuendolo in molteplici archivi e loro mirror, che devono aver richiesto molte ore di upload, ha twittato il ricercatore The Grugq.
Le indagini
Il 7 gennaio la polizia ha però fermato e perquisito Johannes S., venti anni, studente, che vive in famiglia a Homberg (Ohm) e che sarebbe stato convinto a confessare dalla madre, secondo il magazine Kontrast. Ad aiutare nell'identificazione dell'attaccante, il contributo di un altro giovane di 19 anni, che da tempo era in contatto con lui e che il 6 gennaio è stato perquisito e interrogato dalla polizia come testimone. (fonte Tagesschau). L’autore del leak è stato rilasciato, e considerata l’età potrebbe ricevere una pena molto inferiore a tre anni (WSJ)
Conclusioni
La vicenda denota:
- che un attaccante solitario, poco skillato (come si dice in gergo, cioè poco tecnico), ma determinato, metodico e con tanto tempo a disposizione, è in grado di fare comunque molti danni;
- che in ciò è sicuramente aiutato dal livello medio di (in)sicurezza delle persone e delle istituzioni, dei loro account e delle password utilizzate;
- che non tutti gli attacchi sono spionaggio internazionale, hacker di Stato, APT, o hanno un movente economico;
- che dunque non bisogna subito correre ad attribuire ad “hacker di [inserisci il tuo Stato canaglia a piacere]” per ogni violazione;
- che le relazioni sociali degli hacker, quando ci sono, restano ancora uno dei modi più efficaci per individuarli;
- che la polizia tedesca è stata lenta nell'individuare quanto stava succedendo, e tutto sommato rapida nell'intervenire;
- e che c'è stato un intenso lavoro di pulizia dei link e dei profili coinvolti nella diffusione del materiale da parte delle autorità.
E che questa gif è un evergreen.
USA E HACKTIVISMO
Dieci anni per un DDoS
Un hacktivista americano di Anonymous è stato condannato a dieci anni di carcere (e a 443mila dollari di danni) per aver fatto un attacco DDoS (un attacco che sovraccarica le risorse di un sistema al punto da farlo andare offline) contro alcuni ospedali americani. Martin Gottesfeld, 34 anni, nel 2014 era stato parte attiva della operazione Justina, #opJustina, con cui degli hacktivisti avevano protestato contro la decisione del Boston Children Hospital di separare una bambina, Justina, dai suoi genitori. La decisione è poi risultata sbagliata e successivamente la famiglia è stata riunita. Ma all’epoca, nel corso della protesta, Gottesfeld aveva usato la sua botnet di router per colpire l’ospedale di Boston e altre strutture collegate, causando molti disservizi. L’uomo, che a un certo punto era stato individuato ma non arrestato, aveva tentato la fuga a Cuba su una barca, ma in mare le cose si erano messe male e alla fine era stato salvato da una nave Disney, che poi lo ha riportato negli Usa... Ora è stato condannato a dieci anni. Il procuratore assegnato al suo caso è lo stesso che ebbe in carico i procedimenti contro l’hacker Jonathan James e l’attivista Aaron Swartz. Entrambi morti suicidi. Per entrambe le famiglie, schiacciati dal peso dell’aggressività dell’accusa. (Zdnet)
RANSOMWARE E GIORNALI
Il blocco che a fine dicembre ha ritardato l'uscita di vari giornali negli Stati Uniti è stato causato da un ransomware, un malware che cifra i dati e chiede un riscatto, ha scritto lo stesso Los Angeles Times, una delle testate colpite dagli effetti collaterali dell'infezione. Che ha mandato ko la rete del Tribune Publishing, infettando sistemi usati per la produzione e la stampa dei giornali. Poiché vari quotidiani americani condividono la sua stessa piattaforma, i ritardi hanno finito per coinvolgere più testate (incluse le edizioni della costa occidentale del Wall Street Journal e del New York Times).
Il tipo di ransowmare che ha colpito parte della stampa americana si chiama Ryuk, e si è fatto notare nell'agosto 2018 quando - secondo i ricercatori noti come MalwareHunterTeam - il gruppo che lo gestiva avrebbe guadagnato l'equivalente di 640mila dollari in bitcoin. A ottobre dello stesso anno la stima del bottino saliva a 1,5 milioni di dollari.
Cosa sappiamo di questo gruppo? Già nell'estate del 2018 un'analisi della società Checkpoint aveva trovato un legame con un malware, di nome Hermes, che era stato attribuito al gruppo Lazarus, a sua volta attribuito alla Corea del Nord (lo stesso di Wannacry, il ransomware che imperversò in tutto il mondo nel maggio 2017). Ma attenzione: questo NON significa che l'attacco ai giornali: 1) sia un attacco di Stato (Nord Corea); 2) sia un attacco mirato contro i giornali in quanto tali.
Per capirlo ci aiutano i tweet di un autorevole esperto di attacchi a infrastrutture critiche, Robert Lee. In pratica Lee spiega che anche qualora ci fosse un un collegamento tra Ryuk e il malware Hermes, e tra questo e Lazarus, e tra questo e il governo di Pyongyang, non significa che l'attribuzione scorra senza frizione dal primo termine (Ryuk) all'ultimo (Corea del Nord). "L’attribuzione non è una proprietà transitiva né binaria (...) Lazarus è una combinazione di numerose intrusioni e campagne individuate negli anni da vari ricercatori. Il gruppo si è confuso con qualsiasi cosa venga dalla Nord Corea". (..) Alcune delle analisi che legano Nord Corea a Lazarus sono molto convincenti. Ma non tutte le intrusioni che vengono collegate a Lazarus lo sono" (Robert M. Lee). Tra l'altro un altro ricercatore, Christopher Glyer, ha spiegato come ci siano almeno tre diversi gruppi nordcoreani, impegnati in attività distinte, che usano lo stesso malware (Hermes) collegato a Ryuk. Secondo lui, quindi, il gruppo potrebbe essere APT38 (non Lazarus), noto per essere impegnato nel fare cassa, soldi, con attività cybercriminali.
Quale che sia lo scenario, per ora sembra probabile che il movente degli attaccanti - e della loro operazione più generale, che non includeva solo i giornali - fossero i soldi. Come twitta la ricercatrice Lesley Carhart, colpire qualcuno perché "voglio tirare giù l'infrastruttura del New Yoirk Times" è uno scenario molto diverso da: "il New York Times è un bersaglio interessante per incassare denaro e far diffondere il worm (il malware) sulla loro rete". Cioè perché è un bersaglio facile e perché la vittima potrebbe essere propensa a pagare riscatti. Questo però non è affatto tranquillizzante per i giornali. Perché vuol dire, paradossalmente, che sono quasi tutti dei bersagli facili per la cybercriminalità. E quindi sono dei bersagli, punto.
CINA, POLONIA, SPIE E HUAWEI
Huawei, il colosso cinese delle telecomunicazioni, già finito al centro delle tensioni geopolitiche e commerciali fra Stati Uniti e Cina, ha una nuova gatta da pelare. Ha infatti licenziato il suo direttore delle vendite in Polonia, Wang Weijing, dicendo che ha danneggiato la reputazione dell’azienda, dopo che l’uomo era stato arrestato con l’accusa di spionaggio per conto di Pechino, insieme a un ex agente dei servizi polacchi. Per Huawei le azioni del dipendente “non hanno alcuna relazione con la compagnia”. (WSJ). Per altro questa sembra essere anche l’opinione degli stessi servizi polacchi, secondo i quali le accuse sono legate ad azioni individuali e non hanno a che fare con l’azienda (Guardian)
Ma è chiaro che la vicenda riaccende le polemiche e le accuse rivolte a Huawei - soprattutto dagli Stati Uniti e alcuni loro alleati - di essere troppo legata al governo cinese(il manifesto). Con tutta una serie di implicazioni sulla sicurezza delle sue tecnologie, a partire dal ricco mercato del 5G di cui l’azienda cinese è leader. A dicembre in Canada era stata arrestata (ora libera su cauzione) la direttrice finanziaria con l’accusa di aver violato le sanzioni all’Iran.
Ora il ministro dell’Interno della Polonia chiede all’UE e alla Nato una posizione congiunta su Huawei e sulla sua eventuale esclusione dai loro mercati (The Guardian).
ATTACCO DI STATO? L’ASSICURAZIONE NON PAGA
Mondelez, colosso dolciario americano che possiede i marchi Oreo e Cadbury, ha fatto causa alla sua compagnia assicurativa, Zurich, perché questa si rifiuterebbe di pagare 100 milioni di dollari di danni causati da NotPetya, il malware distruttivo che si era diffuso nel 2017, poco dopo Wannacry. L’assicurazione sostiene che il contratto escluda “azioni ostili o di guerra” di un governo o di chi agisce per suo conto. NotPetya era stato attribuito dagli Usa (e da almeno altri dieci Stati) alla Russia. Non so a voi, ma a me sembra un caso super interessante.(FT)
EL CHAPO E GLI SPYWARE
L’Fbi, grazie alla collaborazione dell’uomo che si occupava dei servizi informatici per El Chapo, ha ottenuto i messaggi scambiati tra il boss dei narcos e sua moglie, e tra lui e le sue due amanti. Come li ha ottenuti? El Chapo spiava i telefoni delle donne usando un software commerciale, Flexi-Spy. L’Fbi ha quindi ottenuto i dati dall’azienda. (Thread da leggere di Alan Feuer)
El Chapo aveva fatto installare spyware ovunque. Storiona da leggere (Rolling Stone)
AI E FINLANDIA
La Finlandia si è lanciata in un grande esperimento educativo e sociale che ha al centro l'intelligenza artificiale. Si è data la missione di evangelizzare e formare all'AI l'1 per cento della popolazione, equivalente a 55mila persone. Significa insegnare loro concetti base della materia e sue applicazioni, puntando nel contempo anche a formare degli specialisti. Il tutto era nato un anno fa a partire da un corso universitario gratuito e accessibile online a tutti, pensato dall'università di Helsinki insieme a una agenzia di comunicazione, Reaktor (Nota: avevo fatto il loro corso base online in Elementi di AI e devo dire che era davvero ben realizzato, la dose giusta di divulgazione e precisione assieme).
Ora sono state coinvolte anche aziende. A dicembre c'erano oltre 250 imprese private che partecipavano all'iniziativa, battezzata AI Challenge. Ad esempio - come racconta Politico - l'azienda Stora Enso ha promesso di formare mille dipendenti sull'AI. Del resto, nel 2017 la Finlandia è stata il primo Paese europeo a dotarsi di una strategia nazionale sull'AI. E nel giugno 2018 il governo stimava che fosse necessario aggiornare le competenze di 1 milione di persone (report) su 5,5 milioni di abitanti, a causa delle trasformazioni prodotte dall’AI (inclusa la diminuzione di altri lavori) da qui ai prossimi dieci anni. Il prossimo aprile un nuovo aggiornamento della strategia insisterà sulla necessità di coinvolgere le piccole e medie imprese.
CRIPTOVALUTE E INDAGINI
Il cambiavalute online Kraken ha visto triplicare il numero di richieste di informazioni da parte delle forze dell'ordine nell'ultimo anno. Nel 2018 sono state 475, contro le 160 del 2017 e le 71 del 2016. Indovinate da dove arrivano la maggior parte di queste? Dagli Stati Uniti (315). A dare questi dati lo stesso Kraken in alcuni tweet. L'exchange ha anche commentato, con una punta di polemica, che "si può capire perché tanti business scelgono di bloccare utenti americani", a causa dei costi per gestire il numero di richieste. Che arrivano in gran parte dal braccio investigativo del Dipartimento di sicurezza interna, l'HSI (Homeland Security Investigations), che si occupa di cybercrimine, frodi, narcotraffico; seguito dall'Fbi. Dalla Gran Bretagna 61 richieste, dalla Germmaia 34, dalla Francia 20, dall'Italia 6. Nota: gli utenti americani dell'exchange sono solo il 20 per cento.
Ti è piaciuta? Inoltrala a chi potrebbe essere interessato.
Per iscriversi a questa newsletter: https://tinyletter.com/carolafrediani
Se vuoi mandarmi suggerimenti basta rispondere.
Buona domenica!