Guerre di Rete - Ritratto dei Cyber Partisans
Spyware contro Ong. Assicurazioni cyber e attacchi statali.
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.122 - 30 gennaio 2022
Ricordo che questa newsletter (che oggi conta circa 10mila iscritti - ma molti più lettori, essendo pubblicata anche online - e oltre 500 sostenitori) è gratuita e del tutto indipendente, non ha mai accettato sponsor o pubblicità, e viene fatta nel mio tempo libero. Se vi piace potete contribuire inoltrandola a possibili interessati, o promuovendola sui social. Molti lettori sono diventati sostenitori facendo una donazione. La prima campagna per raccogliere fondi è andata molto bene, e qua ci sono i dettagli (qua la lista degli oltre 500 donatori)
In questo numero si parla di:
Ritratto dei Cyber Partisans
Meta e cifratura end-to-end
Cyber assicurazioni, danni e attacchi statali
Spyware contro Ong per i diritti umani
E altro
HACKTIVISM
Ritratto dei Cyber Partisans
Mentre la situazione attorno all’Ucraina continua a essere molto tesa, un gruppo di hacker che si fa chiamare Cyber Partisans, che si presenta da tempo come una realtà di hacktivisti (hacker + attivisti) bielorussi anti-Lukashenko, pro-democrazia, e che ha colpito a più riprese il governo di Minsk con una serie di attacchi informatici, ha comunicato di aver cifrato i computer delle ferrovie del Paese con l’intento di rallentare i movimenti delle truppe russe. “Abbiamo cifrato alcuni dei server, database e workstation”, ha twittato il gruppo, specificando che i sistemi di sicurezza non sarebbero stati colpiti per evitare situazioni di emergenza.
In un messaggio pubblicato nel loro gruppo Telegram (con oltre 62mila iscritti) e poi in inglese su Twitter, gli attaccanti hanno scritto di avere la chiave di cifratura e di essere pronti a sbloccare i sistemi delle ferrovie a due condizioni: il rilascio di 50 prigionieri politici che hanno bisogno di assistenza medica; lo stop alla presenza di truppe russe sul territorio bielorusso.
Non ci sono state conferme ufficiali dell’attacco, oltre agli screenshot pubblicati dal gruppo che mostrerebbero i sistemi interni delle ferrovie e poi una serie di documenti interni aziendali. Sul sito delle stesse però era comparso un avviso rivolto ai passeggeri che spiegava l’impossibilità a emettere biglietti elettronici per problemi tecnici. E un articolo di una testata locale sembra confermare alcuni disservizi.
Come sostenuto pubblicamente dallo stesso ministro della Difesa bielorusso, truppe russe sono arrivate nel Paese, attraverso convogli e treni, ufficialmente per una esercitazione (ma gli occhi di tutti sono puntati sulla confinante Ucraina e l’idea di un possibile blitzkrieg russo su più fronti).
Chi sono
I Cyber Partisans sono esplosi la scorsa estate, dopo una serie di cyberattacchi contro il governo di Minsk. All’epoca avevano rivelato a Bloomberg di essere un gruppo di una quindicina di persone, alcune delle quali non si occupano di hacking ma di attività di supporto. Successivamente hanno incontrato e risposto a una serie di domande di giornalisti e ricercatori, in un evento online organizzato da tre accademici (inclusa la professoressa di antropologia di Harvard, nonché esperta di hacktivism, Gabriella Coleman) cui Guerre di Rete ha partecipato.
I Cyber Partisan si presentano come un gruppo hacktivista, senza leader, nato nel settembre 2020. I suoi obiettivi dichiarati sono rovesciare il regime di Lukashenko, preservare l’indipendenza e la sovranità della Bielorussia, promuovere la democrazia. E sono condivisi in un movimento più ampio, Suprativ (il quale include altri gruppi chiamati Flying Storks e People Self-Defense Brigade) che ad agosto ha pubblicato un “manifesto” politico. Più nello specifico i Cyber Partisan vogliono dare strumenti alla popolazione per contrastare il regime e collaborare con altri attivisti. Di fatto si sono contraddistinti per alcuni rilevanti attacchi informatici.
Una serie di colpi clamorosi
Hanno iniziato violando la tv di Stato, e inserendo nelle trasmissioni tv un video che ritraeva la polizia mentre usava la forza in strada contro manifestanti pacifici. E hanno proseguito con una campagna ribattezzata “Inferno” (il termine è proprio in italiano) che ha come obiettivo il sabotaggio di siti governativi o della pubblica amministrazione.
Lo scorso agosto il gruppo è riuscito a impossessarsi di una enorme quantità di dati riservati, tra cui l’intero database nazionale di passaporti e 5,3 milioni di audio di telefonate che erano state registrate, incluse quelle di funzionari statali e di polizia - audio a quanto pare sottratti dai server del ministero dell’Interno. Il Washington Post aveva potuto in parte verificare questi materiali: negli audio si possono udire quelli che sembrano essere ordini impartiti alle forze di sicurezza di picchiare e terrorizzare i manifestanti antigovernativi scesi in piazza dopo le ultime elezioni presidenziali, i cui risultati sono stati contestati non solo dall’opposizione ma anche da Stati Uniti e Ue.
Inoltre, secondo i Cyber Partisans, un database del ministero dell’Interno, chiamato Street Riots, conterrebbe i dati su 40mila dimostranti che avevano partecipato alle manifestazioni contro Lukashenko. La testata tedesca Deutsche Well ha avuto accesso agli screenshot di quell’archivio e poi ha anche verificato il database dei passaporti, che ritiene essere autentico: dentro ci hanno trovato il documento di un dipendente con cittadinanza bielorussa, e altre informazioni sui suoi genitori.
Queste azioni hanno impressionato anche alcuni veterani della cybersicurezza, come Dmitri Alperovitch. “Questo è uno degli hack più estesi di uno Stato che si possano immaginare”, ha commentato all’epoca su Twitter. I materiali non sono stati messi online ma condivisi selettivamente con giornalisti e attivisti, sostiene il gruppo.
Lo scorso novembre i Cyber Partisan avevano anche rivendicato di avere avuto accesso al database contenente i dati di chi ha attraversato la frontiera bielorussa, inclusi stranieri, negli ultimi 15 anni.
Un gruppo con molte relazioni
Il gruppo è anomalo da molti punti di vista. Compie delle imprese notevoli a livello informatico - e l’ultimo loro attacco, quello contro le ferrovie, è stato ribattezzato da alcuni osservatori “ransomware come attivismo” (la cifratura e il blocco di dati con la richiesta di un riscatto, anche se non in soldi ma dettando alcune condizioni da soddisfare, è qualcosa di abbastanza nuovo per degli hacktivisti, e anche un po’ inquietante).
D’altra parte però non si definiscono hacker, dicono di lavorare nel mondo dell’IT, di avere contatti con altri attivisti, e hanno una portavoce che si chiama Yuliana Shemetovets.
“Siamo aperti alla collaborazione con altri gruppi”, hanno dichiarato nell’evento online cui ha partecipato Guerre di Rete. “Abbiamo sviluppato meccanismi sicuri per farlo”. Spiegano di aver contribuito, con dei dati, a un’indagine dei giornalisti investigativi di Bellingcat sul gruppo di mercenari russi Wagner. Riguardo ai database governativi violati, dicono di aver trovato traccia di vari strumenti di hacking usati per spiare computer e smartphone di attivisti.
La Bielorussia però non è solo un target di hacktivisti. A sua volta avrebbe all’interno dei gruppi che hanno compiuto cyberattacchi a sostegno del governo e delle sue alleanze. Ad esempio, lunedì, nel corso del Cybersec Forum, una conferenza internazionale di sicurezza seguita da Guerre di Rete, Serhii Demediuk, vice segretario del National Security and Defense Council in Ucraina, ha detto che nel 2021 alcuni gruppi di hacking legati alla Bielorussia hanno colpito il suo Paese, e anche altri Stati europei.
Il rapporto col settore IT bielorusso
Ma i Cyber Partisan sono un gruppo genuino? In passato non sono mancate operazioni di depistaggio in cui unità legate alle intelligence di alcuni Paesi operavano come hacker di altri Stati o hacktivisti (un caso è quello del gruppo di hacker di origine russa Turla che si è spacciato in alcune occasioni come l’iraniano OilRig, avendone violato i server; o ancora quando un attacco a una tv francese sembrò arrivare dall’ISIS e fu poi attribuito all’intelligence di Mosca).
Tra alcuni osservatori di questo mondo, dalla già citata Gabriella Coleman ad alcuni ricercatori di sicurezza, come Juan Andres Guerrero-Saade, sembra prevalere l’impressione che i Cyber Partisans possano essere una realtà autentica. C’è anche da dire che il settore tech e IT bielorusso era piuttosto sviluppato, e dopo le presidenziali del 2020 alcuni se ne sono andati, altri hanno iniziato ad essere più attivi politicamente in opposizione al regime. Dopo le elezioni, 2500 rappresentanti di questo settore hanno firmato una lettera aperta chiedendo la fine della repressione contro i manifestanti. Altri hanno finanziato iniziative anti-Lukashenko.
In ogni caso, alla domanda se non siano preoccupati di essere additati come fiancheggiatori dell’Occidente, i Cyber Partisan rispondono così: “È capitato che ci abbiano accusati di essere hacker di Stati occidentali, ma in generale il regime cerca di dare l’impressione che non esistiamo”. Bisogna vedere però ancora per quanto.
CIFRATURA
Dritti alla Meta ma con qualche deviazione
Meta (Facebook) sta cautamente procedendo nella strada della cifratura end-to-end. Giovedì ha infatti annunciato di aver esteso questa protezione su Messenger anche alle chiamate (audio, video) e chat di gruppo (fino ad oggi era stata introdotta solo come test). Ora insomma è disponibile per tutti, così come una nuova funzione che avvisa l’utente se la controparte fa uno screenshot nel caso siano attivati i messaggi temporanei.
Facebook specifica come si possono usare queste chat e scrive: “I messaggi in modalità Messaggi temporanei sono crittografati end-to-end e possono essere letti solo da te e dalla persona a cui li invii. Nessun altro può accedervi; nemmeno noi”. Qui ulteriori info su queste funzioni (ricordiamolo, solo per dispositivi mobili).
Va specificato che su Messenger la cifratura end-to-end non è ancora di default, ma è opt-in, bisogna in qualche modo sceglierla, e su questo Meta sta tirando il freno per placare la disapprovazione di alcuni governi (ricordate che nelle scorse newsletter abbiamo parlato della campagna britannica proprio contro l’estensione della cifratura forte da parte di Facebook?). D’altra parte la linea dell’azienda, per quanto cauta e un po’ democristiana, è indicata nei suoi stessi comunicati: “Questa è una parte di una serie di aggiornamenti di prodotto per migliorare i nostri servizi. Con il cybercrimine e l'hacking in crescita, è più importante che mai trovare modi di connettersi ad amici e famigliari attraverso comunicazioni sicure e private”.
Insomma, con calma ma stiamo andando lì, dice l’ex-Facebook. Vedremo se l’eccesso di cautela non la farà impantanare prima.
Fonti: Messengernews Facebook; comunicato Meta
TECH E I TUOI DATI
Alexa, dammi i miei dati
Una ricercatrice ha scaricato tutti i dati che Amazon aveva su di lei. Tra questi c’erano i file audio di ogni volta in cui ha parlato con Alexa. E poi fogli di calcolo su come legge (le pagine girate, sottolineature ecc), gli acquisti Whole Foods, la lista di contatti, i video visti, gli acquisti Amazon, ogni volta in cui è entrata in uno dei suoi negozi.
Non c’è nulla di nuovo, sia chiaro, ma istruttivo vederlo tutto assieme (thread Twitter).
Leggi anche: Amazon e la privacy dei suoi dipendenti in Sardegna - inchiesta di Indip.
ASSANGE
Si tenta l’appello alla Corte Suprema
Lunedì un tribunale britannico ha stabilito che Julian Assange, il fondatore di Wikileaks, “potrà chiedere alla Corte Suprema di bloccare la sua estradizione negli Stati Uniti”, scrive la BBC. Per il team della sua difesa si tratta di una vittoria, almeno temporanea.
“Assange ha ottenuto il diritto di sottoporre un appello alla Corte Suprema, ma solo su una questione limitata: il ritardo con cui il governo Usa ha fornito garanzie diplomatiche, il che significa che le garanzie non sono state propriamente esaminate durante la fase probatoria dei procedimenti. È una notizia positiva, ma è un passo positivo incrementale. Il team legale di Assange ora ha 14 giorni per sottoporre un appello alla Corte Suprema, che poi deciderà se accettare il caso. Questo potrebbe richiedere mesi - nel mentre Assange si indebolisce nella prigione di Belmarsh”, ha twittato Rebecca Vincent, la direttrice delle campagne internazionali di Reporter Senza frontiere.
EU
L’Europa finanzia bug bounty per progetti open source
Quest’anno l’Unione europea finanzierà dei programmi di bug bounty (in cui si premiano ricercatori che trovano vulnerabilità) per cinque progetti open source: LibreOffice (la suite di software per l’ufficio); Mastodon (il social network decentralizzato); Cryptpad (una app cifrata per chattare e collaborare); Odoo (software ERP/CRM); LEOS (software per editare leggi). L’insieme dei premi arriva a 200mila euro, con i ricercatori (bug hunter) che possono guadagnare fino a 5mila euro per “vulnerabilità eccezionali”, oltre a un bonus del 20 per cento se forniscono anche una soluzione (fix), riferisce The Record.
Su tema Bug Bounty, tutto quello che avreste voluto sapere in questo report appena uscito: Bounty Everything. Hackers and the Making of the Global Bug Marketplace
CYBER E ASSICURAZIONE
NotPetya, l’assicurazione deve pagare i danni
Il colosso farmaceutico Merck può chiedere un indennizzo da 1,4 miliardi di dollari alla sua assicurazione per le perdite subite a causa di NotPetya, il malware che, partito dall’Ucraina nel 2017, si propagò in vari Paesi bloccando i sistemi di molte aziende. Ma per questo riconoscimento è dovuta andare in tribunale perché l’assicurazione, Ace American, riteneva che quelle perdite rientrassero nella categoria di “atti ostili o di guerra”, che una clausola escludeva dalla copertura. Questo perché nell’ottobre 2020 il dipartimento di Giustizia Usa ha incriminato sei russi, accusandoli di avere legami con l’intelligence militare, per NotPetya. E una serie di Paesi hanno attribuito l’attacco alla Russia.
Ma ora una corte del New Jersey ha stabilito che l'esclusione non era applicabile, e che eventuali ambiguità nel linguaggio della polizza dovrebbero essere interpretate in modo da andare incontro alle ragionevoli aspettative del cliente. Per cui l’assicurazione dovrà coprire i danni causati dal malware.
La decisione è rilevante e arriva proprio mentre alcune compagnie assicurative hanno iniziato a stringere le maglie sulle coperture di danni da attacchi informatici, col crescere di ransomware e incidenti. Un altro caso simile su cui si attende una decisione in tribunale è quello che contrappone Mondelez International al suo assicuratore, Zurich Insurance Group Ltd, sempre per la vicenda di NotPetya.
Bloomberg News; ThreatPost
SPIONAGGIO
Se ti reclutano con un ad per fare la spia forse c’è qualquadra che non cosa
Un’inchiesta del Daily Beast ha evidenziato una serie di siti web che si presentavano come recruiter in cerca di ex soldati e spie dell’Iran, della Siria e di Hezbollah per andare a lavorare per Israele. Il sospetto avanzato dal Daily Beast è che i siti siano dei fake, che non c’entrino con le agenzie di intelligence di Tel Aviv e che semmai possano essere stati creati nell’ambito di una campagna di controspionaggio iraniana. Le ipotesi in realtà si sprecano, il dato interessante e concreto restano i siti e il loro comportamento. Ovvero qualcuno per 4 anni ha creato siti finti del Mossad, e ha comprato Google ads per individuare veterani scontenti dell’intelligence e dell’esercito in Iran, nel regime di Assad e di Hezbollah.
SPYWARE
Colpita una dirigente di Human Rights Watch
Sapete che questa newsletter segue da sempre il tema spyware. Sul fronte Pegasus, lo spyware prodotto dalla società israeliana NSO Group, ci sono varie notizie questa settimana. Ma mi limito a riportarne una.
I cellulari di Lama Fakih, direttrice della sezione conflitti e crisi nella nota Ong per i diritti umani Human Rights Watch, sono stati ripetutamente “hackerati” da un cliente di NSO Group, questo mentre la donna investigava l’esplosione dell’agosto 2020 avvenuta a Beirut, che uccise oltre 200 persone. Fakih aveva ricevuto un avviso a novembre dalla stessa Apple, secondo la quale il suo iPhone poteva essere stato il target di un attacco sponsorizzato da uno Stato. Fakih ha quindi fatto analizzare il telefono dal suo team di security, con la revisione del Security Lab di Amnesty, e l’analisi ha evidenziato l’infezione attraverso un exploit zeroclick, per cui il dispositivo viene compromesso senza il bisogno di alcuna azione da parte dell’utente (come cliccare su un link)
→Per saperne di più vedi le precedenti newsletter (come questa) e lo speciale Spyware Ltd.
APPROFONDIMENTI
PIATTAFORME
Neil Young ha chiesto di rimuovere la sua musica da Spotify, per protesta contro un podcast antivaccinista- Il Post
SEMICONDUTTORI
La “battaglia” Cina-Usa per Taiwan - Valigia Blu
QUEL PAZZO WEB3
Tre cose che il web3 dovrebbe sistemare nel 2022 - Platformer (inglese)
→ DIFFONDI LA NEWSLETTER
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! Promuovila sui social. O diventa un suo sostenitore facendo una donazione.
La newsletter (che è fatta nel mio tempo libero) resta gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
—> SOCIAL E PODCAST DI GUERRE DI RETE
Guerre di Rete ora ha anche un sito, una pagina Facebook e un profilo Twitter e un neonato profilo Instagram. Seguiteli! I podcast della newsletter (che escono il lunedì in genere) li trovate sulle principali piattaforme (Apple Podcasts; Spotify; Google Podcast; Anchor.fm).