Guerre di Rete - Trump, gli Usa e gli hacker
Hacker russi, hacker iraniani, disinformazione negli Usa, e ancora Immuni.
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.85 - 25 ottobre 2020
Oggi si parla di:
-Trump e hacker
- hacker russi
- hacker iraniani
- Immuni
- altro
TRUMP
“Nessuno viene hackerato”. Con questa affermazione del presidente Trump apriamo e poi chiudiamo per sempre la newsletter.
Ok, no, qualcosa ancora va scritto. A un evento in Arizona, Trump ha proclamato che “nessuno viene hackerato. Per essere hackerato hai bisogno di qualcuno con un QI di 197 e costui ha bisogno del 15 per cento della tua password”. Qualora abbiate un QI (quoziente intellettivo) del 200 per cento e crediate solo al 13 per cento di quanto scritto vi ho messo qua il VIDEO.
Probabilmente era una battuta (o forse no? l’esegesi trumpiana la lascio ad altri), ma questa frase (riferita a un giornalista che ha ammesso di aver detto falsamente che il suo profilo Twitter era stato violato per giustificare un messaggio inviato dallo stesso) è stata molto commentata anche dalla stampa di settore. Indubbiamente Trump ha un rapporto un po’ difficile con la questione hacking visto che nel 2016, alle scorse presidenziali, il partito democratico americano fu davvero “hackerato” (in varie sue forme, dal Comitato Nazionale Democratico a John Podesta) dall’intelligence russa, stando alle stesse indagini americane, e si è molto discusso degli effetti collaterali di quegli attacchi sui media e quindi sulla campagna elettorale che ha portato proprio alla vittoria repubblicana. Ma TechCrunch ha anche ricordato che in verità proprio la catena di hotel di Trump è stata hackerata due volte, una nel periodo tra il 2014 e il 2015, e un’altra volta tra il 2016 e il 2017. E in entrambi gli incidenti sono stati rubati i dati delle carte di credito dei clienti degli alberghi. Per altro nel 2013 lo stesso Trump aveva ammesso che il suo profilo Twitter era stato violato.
Però chissà in effetti che QI dovevano avere gli attaccanti.
Per non farci mancare nulla, tre giorni dopo è uscita però questa altra storia. Un ricercatore olandese che aveva già individuato la password dell’account di Trump nel 2016 (Password: youarefired, sei licenziato, dalla frase ricorrente pronunciata dal tycoon nel programma televisivo The Apprentice), sostiene di essere entrato nei giorni scorsi nel profilo Twitter del presidente usando la password maga2020!. Secondo il ricercatore, Trump avrebbe disabilitato l’autenticazione a due fattori.
Twitter e la Casa Bianca però smentiscono. (The Verge). E altri hanno espresso dubbi e scetticismo sulle affermazioni del ricercatore (Vice). Quindi da prendere con cautela per ora.
HACKER RUSSI
Incriminati agenti del GRU per NotPetya e altri attacchi
E veniamo alla notizia più “guerre di rete” della settimana, anzi, degli ultimi mesi. Il dipartimento di Giustizia Usa ha incriminato sei agenti russi del GRU (l’intelligence militare russa) per il loro coinvolgimento in alcuni dei più clamorosi attacchi informatici internazionali degli ultimi anni, dai blackout elettrici causati in Ucraina a tentativi di interferenza nelle elezioni francesi del 2017, dagli attacchi contro le Olimpiadi invernali 2018 all’indagine sull’avvelenamento con Novichok nel caso Skrypal in Gran Bretagna, fino all’infezione NotPetya, che nel 2017 si diffuse sempre dall’Ucraina mandando in tilt molte aziende globali.
Secondo l’incriminazione Usa, i sei uomini sono sospettati di essere parte di un gruppo d’elite di hacking dell’unità 74455 del GRU (“gli hacker più pericolosi del Cremlino”, per citare Andy Greenberg), un gruppo che vari ricercatori in passato avevano individuato chiamandolo Sandworm (ma anche BlackEnergy, Telebots, e Voodoo Bear...), e di aver condotto cyberattacchi “distruttivi” agli ordini di Mosca.
In particolare sono accusati, in ordine cronologico:
- di aver attaccato infrastrutture critiche ucraine tra il 2015 e il 2016, in particolare gli attacchi contro le rete elettrica ucraina, che hanno generato due blackout, usando malware che alterava apparati industriali (come il malware BlackEnergy e Industroyer) o che cancellava gli hard drive (con KillDisk).
- di aver lanciato una campagna di phishing mirato e tentativi di hack and leak (viola sistemi e diffondi documenti) contro la campagna di Macron e altri politici francesi nel 2017
- di aver causato la già citata NotPetya, una delle infezioni più dannose, un ransomware distruttivo, un wiper, che cancellava tutto, con danni per 1 miliardo di dollari per sole tre tra le vittime più rilevanti dice l’incriminazione (ma complessivamente le stime dei costi/perdite sono sui 10 miliardi)
- di aver attaccato le Olimpiadi invernali di PyeongChang, in Corea del Sud, inclusi i partecipanti, dopo che la Russia era stata bannata per doping. E di aver usato un malware, Olympic Destroyer, con l’intento di cancellare server cruciali durante la cerimonia di apertura.
(Separatamente, la Gran Bretagna ha poi accusato lo stesso gruppo di aver tentato di attaccare anche le Olimpiadi di Tokyo 2020, poi rimandate per il coronavirus).
- di aver lanciato una campagna di phishing nell’aprile 2018 contro i due enti che indagavano sull’avvelenamento con agente nervino Novichok dell’ex agente russo Sergei Skripal e di sua figlia in UK - i due enti erano: l’Organisation for the Prohibition of Chemical Weapons ("OPCW") e la Defence Science and Technology Laboratory's ("DSTL")
- di aver fatto massicci attacchi contro aziende e entità governative della Georgia nel 2019
Si tratterebbe per altro solo di una parte degli attacchi effettuati da questo gruppo le cui azioni risalirebbero al 2010, anche se l’attività più intensa, evidenziata nelle accuse, va dal 2015 al 2019. E ovviamente non sarebbe composto solo da questi sei; che sono quelli individuati dagli americani, individuati al punto da definire anche singolarmente la loro compartecipazione (chi ha lavorato a quali componenti del malware). Inoltre, secondo gli Usa, i cyberattacchi del gruppo non sarebbero semplice cyberspionaggio (in qualche modo più tollerato fra Stati), ma avrebbero una componente distruttiva a livello industriale (i blackout elettrici, gli wiper che cancellano dati) o un intento di interferire/sabotare a livello politico.
Ci sono varie notazioni da fare. La prima è il tempismo di questa incriminazione, a ridosso delle elezioni Usa. Questi sei agenti non sono accusati nello specifico per attacchi agli Usa (fanno parte però di una unità, la 74455, con sede a Mosca, che insieme alla 26165 fu coinvolta nel 2016 negli attacchi ai Democratici e al sistema elettorale americano, stando all’incriminazione uscita nel 2018). E infatti uno dei sei accusati ora - Kovalev - era già comparso proprio in quella incriminazione del 2018 (quella di Mueller) per aver attaccato l’infrastruttura elettorale americana e per aver rubato dati su 500mila elettori. Dunque un tempismo che serve a fare da estrema deterrenza, che manda un segnale alla Russia adesso, da qui a novembre e dopo.
La seconda è che ci sono molti dettagli interessanti sui singoli attacchi delineati. Ad esempio, il cyberattacco Olympic Destroyer che ha sabotato le Olimpiadi invernali 2018 in Corea - mandando in tilt Wi-Fi, app, badge della struttura - è stato per la prima volta attribuito in modo ufficiale alla Russia. Mentre tra i danni causati da NotPetya nel 2017 vengono raccontati - scelta non casuale, di questi tempi - quelli che hanno riguardato il gruppo medico americano Heritage Valley. In quel frangente sono stati bloccati i servizi critici dei suoi due ospedali, dei 60 uffici, e di altre strutture, rendendo indisponibili la lista dei pazienti, i file dei loro esami, i dati di laboratorio, tagliando l’accesso a sistemi informatici legati alla cardiologia, medicina nucleare, radiologia e chirurgia per una settimana, mentre il blackout amministrativo è durato un mese.
La terza notazione è che il gruppo avrebbe adottato vari sistemi per non farsi individuare, tra cui riutilizzare una parte di malware usato da un gruppo di hacker nordcoreani, Lazarus, per confondere le acque dell’attribuzione tecnica (un’operazione di camuffamento conosciuta come false flag).
La quarta è che nel creare il malware KillDisk, i suoi autori hanno giocato con l’immaginario della serie tv MrRobot, e con i termini mRobo7 e fSocie7y per svolgere alcune funzioni (cancellare i file sovrascrivendoli con quelle lettere). Ma soprattutto il malware arrivava al punto di disegnare la maschera di MrRobot in tempo reale sugli schermi dei computer infetti usando i termini fSocie7y (la spiegazione è lunga e tecnica, per i più addentro leggetevela a pag 12-13 dell’incriminazione).
Ma, trucchi pirotecnici a parte, c’è anche tanto phishing nella cassetta degli attrezzi di questo gruppo. Un dato che bisognerebbe tenere presente, dal punto di vista di chi deve difendersi.
Il comunicato del Dipartimento di Giustizia
L’incriminazione
Tutto su Sandworm (per i più tecnici).
Vedi anche: Zdnet; Axios; The Verge; NYT
L’incriminazione del 2018 che citava già Anatolev
Letture: Sandworm di Andy Greenberg; e, in questo caso, anche il mio #Cybercrime
Ma non finisce qui questa settimana per quanto riguarda i gruppi hacker russi. Infatti ci sono anche:
-Sanzioni Usa contro istituto di ricerca russo
Il Dipartimento del Tesoro ha anche imposto sanzioni per lo sviluppo di un malware industriale, Triton, contro un istituto di ricerca russo, il Central Scientific Research Institute of Chemistry and Mechanics (CNIIHM) - Zdnet
-Alert FBI/CISA contro un altro gruppo russo - Energetic Bear - accusato di aver infiltrato reti governative locali - Zdnet
-Nuove sanzioni Ue contro la Russia
L’Unione europea ha imposto sanzioni contro la Russia per l’attacco informatico al Parlamento tedesco (Bundestag) del 2015. Le sanzioni sono dirette contro il GRU (l’intelligence militare russa) e due suoi agenti, accusati di far parte di un gruppo di hacker noto come APT28 (o Sofacy, o Fancy Bear, quelli dei Democratici nel 2016 per altro). Lo scorso luglio l’Ue aveva imposto le sue prime sanzioni per attacchi cyber contro hacker russi, cinesi, e nordcoreani (Zdnet).
HACKER IRANIANI
Votate per Trump… dice campagna di disinformazione iraniana
Tornando invece alle elezioni americane, di questi giorni (è stata una settimana pesante, ve lo dico) è anche la storia di un’operazione di disinformazione nelle elezioni Usa apparentemente condotta dall’Iran. A denunciarlo, l’FBI (NBC). I dettagli sono interessanti: centinaia di elettori democratici in Florida, Alaska e Arizona hanno ricevuto mail minacciose che fingevano di essere state inviate dall’organizzazione di estrema destra Proud Boys - considerato un gruppo d’odio dal Southern Poverty Law Center - e che intimavano di votare per Trump, altrimenti i mittenti delle missive sarebbero andati a cercarli a casa. Nelle mail - alcune delle quali contenevano un video – i mittenti sostenevano anche di avere avuto accesso all’infrastruttura elettorale. Ora, secondo l’Fbi, a inviarle sarebbe stata l’intelligence iraniana. Funzionari dei tre Stati presi di mira hanno però smentito che i loro database elettorali siano stati compromessi. Del resto, in alcuni Stati, come la Florida, una parte di dati sugli elettori sono facilmente accessibili. Tuttavia, lo stesso Director of National Intelligence John Ratcliffe ha confermato che Iran e Russia avrebbero ottenuto informazioni sugli elettori. Come li abbiano ottenuti non è stato chiarito.
Ora quale sarebbe il senso di un’azione simile? Perché l’Iran dovrebbe mettere in piedi una campagna di questo tipo? Ed è davvero l’Iran? Non è facile rispondere. Le ipotesi principali che si fanno - dando per buona l’attribuzione all’Iran, di cui non sono state fornite prove evidenti, e che sembrerebbe nascere da alcuni errori stupidi, addirittura da elementi presenti nel video di minacce inviato agli elettori in cui si scorge lo schermo degli hacker mentre immettono dei comandi, incluso un indirizzo IP (vedi Reuters) - è semplicemente il desiderio di creare confusione, alimentare divisione e, quest’anno in particolare, gettare sfiducia nel sistema elettorale e nell’esito del voto. I vantaggi di avere gli Stati Uniti in crisi interna e ripiegati sui propri problemi per mesi possono essere diversi per i suoi avversari storici, e tra questi c’è l’idea che un’America in tilt allenterebbe la presa su altri teatri geopolitici. E fino ad oggi il costo di organizzare simili campagne è sempre stato molto basso, in termini economico-politici (e questo spiega anche perché negli ultimi tempi gli americani stiano uscendo con incriminazioni su incriminazioni).
Intanto: cyberattacchi (ransomware) a uffici governativi della Louisiana (Reuters)
Votate per Biden.. azienda americana tech manda mail ai clienti
Il Ceo di Expensify - una società che fornisce uno strumento per rendicontare e tracciare spese e rimborsi - ha inviato una mail ai propri clienti dicendo di votare per Biden. Una presa di posizione abbastanza inusuale per una azienda, anche perché non è solo l’espressione di un parere, ma un invito fatto via mail ai clienti. Queste elezioni sono sempre più folli.
Via Protocol
Arriva la Corte Suprema di Facebook
In ogni caso, tranquilli: sta arrivando la Corte Suprema di Facebook. L’Oversight Board ha iniziato ad accettare casi in cui gli utenti ritengano che i propri contenuti siano stati rimossi ingiustamente. In futuro accetterà anche segnalazioni di contenuti che andavano rimossi e non lo sono stati. Il board è composto da 40 esperti di politica, legge e diritti umani, ed è finanziato fa Facebook con un trust da 130 milioni di dollari. Ogni caso sarà assegnato a un panel di 5 persone, che includerà almeno un membro della regione interessata. E il panel dovrà decidere se il contenuto rimosso violava gli standard di comunità di Facebook e se è conforme alle norme e leggi internazionali sui diritti umani. - The Verge
Quello che non si capisce - come sottolinea nella sua newsletter Casey Newton - è quanti casi potrà gestire all’anno questo organismo. In ogni caso gestirà solo una frazione degli appelli che arriveranno a Facebook. Ma quanto il board aiuterà davvero l’utente comune e quanto rimarrà una valvola di sfogo per i casi più spinosi e mediatici?
Info e disinfo
Intanto, la storia del New York Post sulle mail del figlio di Biden ritrovate in un negozio di computer ha le caratteristiche di una operazione di disinformazione russa, sostengono 50 ex membri dell’intelligence americana, che hanno firmato una lettera, scrive Politico.
Nel mentre esplode la religione del complotto di QAnon, scrive Axios.
Anche in Europa, scrive ancora Politico.
“Il complottismo di QAnon si nutre degli scandali reali” , intervista alla studiosa Gabriella Coleman su Il Fatto (paywall)
RICONOSCIMENTO FACCIALE
Ora gli attivisti vogliono identificare i poliziotti
Negli Stati Uniti in Oregon alcuni attivisti stanno provando a usare strumenti di riconoscimento facciale per identificare i poliziotti che nascondono la loro identità, in un capovolgimento del tradizionale uso poliziesco/di ordine pubblico di questa tecnologia. Una storia del NYT.
IMMUNI
La scorsa volta avevamo detto del pasticcio di Asl e Regioni che non usavano Immuni, che anzi la boicottavano. Ora per le Asl è diventata obbligatoria nel senso che nel nuovo Dpcm «è fatto l'obbligo all'operatore sanitario di caricare il codice chiave in presenza di un caso di positività» - Corriere (paywall) - Il Fatto
Intanto, scrive su Twitter il ministero della Salute, l’app Immuni "ha superato i 9,1 milioni di download e, da ieri, è la prima app di tracciamento dei contagi a essere interoperabile a livello europeo, con quelle di Germania e Irlanda" - Adnkronos
Perché l'Italia ha perso traccia del contact tracing? si chiede Wired. Ma fa il punto anche sull’Europa.
Consiglio la lettura di questo bel pezzo di Luza Zorloni, che ha vissuto in prima persona la trafila di una notifica dell’app -> Storia di un venerdì in compagnia di una notifica di Immuni
L'app ha funzionato. Mentre è il sistema dopo che lascia a desiderare. Quando i dati sarebbero utili per tenere sotto controllo la diffusione del coronavirus - Wired
REVENGE PORN
Deepfake su Telegram, c'è un bot che spoglia le donne: quasi 700 mila vittime
Circa 680 mila donne virtualmente denudate. Tra cui alcune giovani influencer italiane. Vittime inconsapevoli di uomini che hanno dato le loro foto, spesso rubate sui social, in pasto a un bot Telegram: un programmino automatico che si trova sull'app di messaggistica ed è in grado di ritoccare le istantanee in tempo reale, svestendo le protagoniste. Immagini che sono state poi condivise, commentate e persino votate in almeno sette chat pubbliche scrive Rosita Rijtano su Repubblica
Il Garante italiano ha aperto un’istruttoria nei confronti di Telegram.
BITCOIN
Paypal permetterà ai clienti di comprare e vendere criptovalute
Reuters
RANSOMWARE
Il malware Nefilim fa una vittima illustre: in rete i dati sottratti a Luxottica - CERT AGID
5G
Il governo frena Fastweb su Huawei
Il governo italiano avrebbe vietato all'operatore telecom Fastweb di usare la tecnologia del colosso cinese Huawei nello sviluppo della rete 5G. Lo sostiene l'agenzia di stampa Reuters facendo riferimento a una fonte interna, scrive il Corriere del Ticino.
FACEBOOK
Il social contro l’analisi degli ads dei ricercatori
Facebook vuole far cessare il programma di ricerca dell’università di New York che analizza le pratiche di profilazione pubblicitaria del social attraverso una estensione del browser installata da migliaia di volontari. Per il social si tratterebbe di scraping, di raccolta dati di massa vietata dalle sue norme. Per i ricercatori il progetto cerca di colmare le lacune sui dati offerti pubblicamente dal social.
WSJ
LETTURE
ANTITRUST
Gli Stati Uniti contro Google: «Condotta illegale per soffocare la concorrenza» - Corriere (paywall)
L’azione legale del governo Usa contro Google può cambiare il web per sempre. ll dipartimento di Giustizia guidato da William Barr, uno dei fedelissimi del presidente Donald Trump, ha deciso che lo strapotere di Google viola lo Sherman Act, la pionieristica legislazione antitrust approvata dagli Stati Uniti nel lontano nel 1890 e che è stata usata per smantellare colossi divenuti troppo potenti, come la società di telecomunicazioni AT&T. - Stefano Feltri su Domani (paywall)
AI
La strategia politica Ue sull’AI - una strategia divisa - AI:Decoded/Politico
RITRATTI
Ritratto dettagliatissimo di Moxie Marlinspike (creatore dell’app Signal) sul New Yorker
SALUTI E CONTATTI
Se qualcuno vuole contattarmi in modo anonimo (o, quanto meno, con una maggiore probabilità di privacy e senza dover passare per una casella email o un account legato a un telefono) può farlo andando su https://contact.carolafrediani.org/#/ via Tor Browser (se da dentro la newsletter non si apre link basta riscriverlo nel browser).
È una piattaforma open source creata da Globaleaks (che ringrazio! in particolare un grande grazie a Giovanni Pellerano) che permette a giornalisti, media e organizzazioni (qua ce ne sono alcune) di ricevere segnalazioni e a chi segnala di proteggere la propria privacy (qui un articolo in inglese su chi sono, che fanno).
Oppure potete scrivermi una mail con PGP. O contattarmi solo su Signal +14783944294. O, se non avete particolari esigenze di privacy, molto semplicemente, rispondere a questa newsletter.
Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.85 - 25 ottobre 2020
Oggi si parla di:
-Trump e hacker
- hacker russi
- hacker iraniani
- Immuni
- altro
TRUMP
“Nessuno viene hackerato”. Con questa affermazione del presidente Trump apriamo e poi chiudiamo per sempre la newsletter.
Ok, no, qualcosa ancora va scritto. A un evento in Arizona, Trump ha proclamato che “nessuno viene hackerato. Per essere hackerato hai bisogno di qualcuno con un QI di 197 e costui ha bisogno del 15 per cento della tua password”. Qualora abbiate un QI (quoziente intellettivo) del 200 per cento e crediate solo al 13 per cento di quanto scritto vi ho messo qua il VIDEO.
Probabilmente era una battuta (o forse no? l’esegesi trumpiana la lascio ad altri), ma questa frase (riferita a un giornalista che ha ammesso di aver detto falsamente che il suo profilo Twitter era stato violato per giustificare un messaggio inviato dallo stesso) è stata molto commentata anche dalla stampa di settore. Indubbiamente Trump ha un rapporto un po’ difficile con la questione hacking visto che nel 2016, alle scorse presidenziali, il partito democratico americano fu davvero “hackerato” (in varie sue forme, dal Comitato Nazionale Democratico a John Podesta) dall’intelligence russa, stando alle stesse indagini americane, e si è molto discusso degli effetti collaterali di quegli attacchi sui media e quindi sulla campagna elettorale che ha portato proprio alla vittoria repubblicana. Ma TechCrunch ha anche ricordato che in verità proprio la catena di hotel di Trump è stata hackerata due volte, una nel periodo tra il 2014 e il 2015, e un’altra volta tra il 2016 e il 2017. E in entrambi gli incidenti sono stati rubati i dati delle carte di credito dei clienti degli alberghi. Per altro nel 2013 lo stesso Trump aveva ammesso che il suo profilo Twitter era stato violato.
Però chissà in effetti che QI dovevano avere gli attaccanti.
Per non farci mancare nulla, tre giorni dopo è uscita però questa altra storia. Un ricercatore olandese che aveva già individuato la password dell’account di Trump nel 2016 (Password: youarefired, sei licenziato, dalla frase ricorrente pronunciata dal tycoon nel programma televisivo The Apprentice), sostiene di essere entrato nei giorni scorsi nell’account del presidente usando la password maga2020!. Secondo il ricercatore, Trump avrebbe disabilitato l’autenticazione a due fattori.
Twitter e la Casa Bianca però smentiscono. (The Verge). E altri hanno espresso dubbi e scetticismo sulle affermazioni del ricercatore (Vice). Quindi da prendere con cautela per ora.
HACKER RUSSI
Incriminati agenti del GRU per NotPetya e altri attacchi
E veniamo alla notizia più “guerre di rete” della settimana, anzi, degli ultimi mesi. Il dipartimento di Giustizia Usa ha incriminato sei agenti russi del GRU (l’intelligence militare russa) per il loro coinvolgimento in alcuni dei più clamorosi attacchi informatici internazionali degli ultimi anni, dai blackout elettrici causati in Ucraina a tentativi di interferenza nelle elezioni francesi del 2017, dagli attacchi contro le Olimpiadi invernali 2018 all’indagine sull’avvelenamento con Novichok nel caso Skrypal in Gran Bretagna, fino all’infezione NotPetya, che nel 2017 si diffuse sempre dall’Ucraina mandando in tilt molte aziende globali.
Secondo l’incriminazione Usa, i sei uomini sono sospettati di essere parte di un gruppo d’elite di hacking dell’unità 74455 del GRU (“gli hacker più pericolosi del Cremlino”, per citare Andy Greenberg), un gruppo che vari ricercatori in passato avevano individuato chiamandolo Sandworm (ma anche BlackEnergy, Telebots, e Voodoo Bear...), e di aver condotto cyberattacchi “distruttivi” agli ordini di Mosca.
In particolare sono accusati, in ordine cronologico:
- di aver attaccato infrastrutture critiche ucraine tra il 2015 e il 2016, in particolare gli attacchi contro le rete elettrica ucraina, che hanno generato due blackout, usando malware che alterava apparati industriali (come il malware BlackEnergy e Industroyer) o che cancellava gli hard drive (con KillDisk).
- di aver lanciato una campagna di phishing mirato e tentativi di hack and leak (viola sistemi e diffondi documenti) contro la campagna di Macron e altri politici francesi nel 2017
- di aver causato la già citata NotPetya, una delle infezioni più dannose, un ransomware distruttivo, un wiper, che cancellava tutto, con danni per 1 miliardo di dollari per sole tre tra le vittime più rilevanti dice l’incriminazione (ma complessivamente le stime dei costi/perdite sono sui 10 miliardi)
- di aver attaccato le Olimpiadi invernali di PyeongChang, in Corea del Sud, inclusi i partecipanti, dopo che la Russia era stata bannata per doping. E di aver usato un malware, Olympic Destroyer, con l’intento di cancellare server cruciali durante la cerimonia di apertura.
(Separatamente, la Gran Bretagna ha poi accusato lo stesso gruppo di aver tentato di attaccare anche le Olimpiadi di Tokyo 2020, poi rimandate per il coronavirus).
- di aver lanciato una campagna di phishing nell’aprile 2018 contro i due enti che indagavano sull’avvelenamento con agente nervino Novichok dell’ex agente russo Sergei Skripal e di sua figlia in UK - i due enti erano: l’Organisation for the Prohibition of Chemical Weapons ("OPCW") e la Defence Science and Technology Laboratory's ("DSTL")
- di aver fatto massicci attacchi contro aziende e entità governative della Georgia nel 2019
Si tratterebbe per altro solo di una parte degli attacchi effettuati da questo gruppo le cui azioni risalirebbero al 2010, anche se l’attività più intensa, evidenziata nelle accuse, va dal 2015 al 2019. E ovviamente non sarebbe composto solo da questi sei; che sono quelli individuati dagli americani, individuati al punto da definire anche singolarmente la loro compartecipazione (chi ha lavorato a quali componenti del malware). Inoltre, secondo gli Usa, i cyberattacchi del gruppo non sarebbero semplice cyberspionaggio (in qualche modo più tollerato fra Stati), ma avrebbero una componente distruttiva a livello industriale (i blackout elettrici, gli wiper che cancellano dati) o un intento di interferire/sabotare a livello politico.
Ci sono varie notazioni da fare. La prima è il tempismo di questa incriminazione, a ridosso delle elezioni Usa. Questi sei agenti non sono accusati nello specifico per attacchi agli Usa (fanno parte però di una unità, la 74455, con sede a Mosca, che insieme alla 26165 fu coinvolta nel 2016 negli attacchi ai Democratici e al sistema elettorale americano, stando all’incriminazione uscita nel 2018). E infatti uno dei sei accusati ora - Kovalev - era già comparso proprio in quella incriminazione del 2018 (quella di Mueller) per aver attaccato l’infrastruttura elettorale americana e per aver rubato dati su 500mila elettori. Dunque un tempismo che serve a fare da estrema deterrenza, che manda un segnale alla Russia adesso, da qui a novembre e dopo.
La seconda è che ci sono molti dettagli interessanti sui singoli attacchi delineati. Ad esempio, il cyberattacco Olympic Destroyer che ha sabotato le Olimpiadi invernali 2018 in Corea - mandando in tilt Wi-Fi, app, badge della struttura - è stato per la prima volta attribuito in modo ufficiale alla Russia. Mentre tra i danni causati da NotPetya nel 2017 vengono raccontati - scelta non casuale, di questi tempi - quelli che hanno riguardato il gruppo medico americano Heritage Valley. In quel frangente sono stati bloccati i servizi critici dei suoi due ospedali, dei 60 uffici, e di altre strutture, rendendo indisponibili la lista dei pazienti, i file dei loro esami, i dati di laboratorio, tagliando l’accesso a sistemi informatici legati alla cardiologia, medicina nucleare, radiologia e chirurgia per una settimana, mentre il blackout amministrativo è durato un mese.
La terza notazione è che il gruppo avrebbe adottato vari sistemi per non farsi individuare, tra cui riutilizzare una parte di malware usato da un gruppo di hacker nordcoreani, Lazarus, per confondere le acque dell’attribuzione tecnica (un’operazione di camuffamento conosciuta come false flag).
La quarta è che nel creare il malware KillDisk, i suoi autori hanno giocato con l’immaginario della serie tv MrRobot, e con i termini mRobo7 e fSocie7y per svolgere alcune funzioni (cancellare i file sovrascrivendoli con quelle lettere). Ma soprattutto il malware arrivava al punto di disegnare la maschera di MrRobot in tempo reale sugli schermi dei computer infetti usando i termini fSocie7y (la spiegazione è lunga e tecnica, per i più addentro leggetevela a pag 12-13 dell’incriminazione).
Ma, trucchi pirotecnici a parte, c’è anche tanto phishing nella cassetta degli attrezzi di questo gruppo. Un dato che bisognerebbe tenere presente, dal punto di vista di chi deve difendersi.
Il comunicato del Dipartimento di Giustizia
L’incriminazione
Tutto su Sandworm (per i più tecnici).
Vedi anche: Zdnet; Axios; The Verge; NYT
L’incriminazione del 2018 che citava già Anatolev
Letture: Sandworm di Andy Greenberg; e, in questo caso, anche il mio #Cybercrime
Ma non finisce qui questa settimana per quanto riguarda i gruppi hacker russi. Infatti ci sono anche:
-Sanzioni Usa contro istituto di ricerca russo
Il Dipartimento del Tesoro ha anche imposto sanzioni per lo sviluppo di un malware industriale, Triton, contro un istituto di ricerca russo, il Central Scientific Research Institute of Chemistry and Mechanics (CNIIHM) - Zdnet
-Alert FBI/CISA contro un altro gruppo russo - Energetic Bear - accusato di aver infiltrato reti governative locali - Zdnet
-Nuove sanzioni Ue contro la Russia
L’Unione europea ha imposto sanzioni contro la Russia per l’attacco informatico al Parlamento tedesco (Bundestag) del 2015. Le sanzioni sono dirette contro il GRU (l’intelligence militare russa) e due suoi agenti, accusati di far parte di un gruppo di hacker noto come APT28 (o Sofacy, o Fancy Bear, quelli dei Democratici nel 2016 per altro). Lo scorso luglio l’Ue aveva imposto le sue prime sanzioni per attacchi cyber contro hacker russi, cinesi, e nordcoreani (Zdnet).
HACKER IRANIANI
Votate per Trump… dice campagna di disinformazione iraniana
Tornando invece alle elezioni americane, di questi giorni (è stata una settimana pesante, ve lo dico) è anche la storia di un’operazione di disinformazione nelle elezioni Usa apparentemente condotta dall’Iran. A denunciarlo, l’FBI. I dettagli sono interessanti: centinaia di elettori democratici in Florida, Alaska e Arizona hanno ricevuto mail minacciose che fingevano di essere state inviate dall’organizzazione di estrema destra Proud Boys - considerato un gruppo d’odio dal Southern Poverty Law Center - e che intimavano di votare per Trump, altrimenti i mittenti delle missive sarebbero andati a cercarli a casa. Nelle mail - alcune delle quali contenevano un video – i mittenti sostenevano anche di avere avuto accesso all’infrastruttura elettorale. Ora, secondo l’Fbi, a inviarle sarebbe stata l’intelligence iraniana. Funzionari dei tre Stati presi di mira hanno però smentito che i loro database elettorali siano stati compromessi. Del resto, in alcuni Stati, come la Florida, una parte di dati sugli elettori sono facilmente accessibili. Tuttavia, lo stesso Director of National Intelligence John Ratcliffe ha confermato che Iran e Russia avrebbero ottenuto informazioni sugli elettori. Come li abbiano ottenuti non è stato chiarito.
Ora quale sarebbe il senso di un’azione simile? Perché l’Iran dovrebbe mettere in piedi una campagna di questo tipo? Ed è davvero l’Iran? Non è facile rispondere. Le ipotesi principali che si fanno - dando per buona l’attribuzione all’Iran, di cui non sono state fornite prove evidenti, e che sembrerebbe nascere da alcuni errori stupidi, addirittura da elementi presenti nel video di minacce inviato agli elettori in cui si scorge lo schermo degli hacker mentre immettono dei comandi, incluso un indirizzo IP (vedi Reuters) - è semplicemente il desiderio di creare confusione, alimentare divisione e, quest’anno in particolare, gettare sfiducia nel sistema elettorale e nell’esito del voto. I vantaggi di avere gli Stati Uniti in crisi interna e ripiegati sui propri problemi per mesi possono essere diversi per i suoi avversari storici, e tra questi c’è l’idea che un’America in tilt allenterebbe la presa su altri teatri geopolitici. E fino ad oggi il costo di organizzare simili campagne è sempre stato molto basso, in termini economico-politici (e questo spiega anche perché negli ultimi tempi gli americani stiano uscendo con incriminazioni su incriminazioni).
Intanto: cyberattacchi (ransomware) a uffici governativi della Louisiana (Reuters)
Votate per Biden.. azienda americana tech manda mail ai clienti
Il Ceo di Expensify - una società che fornisce uno strumento per rendicontare e tracciare spese e rimborsi - ha inviato una mail ai propri clienti dicendo di votare per Biden. Una presa di posizione abbastanza inusuale per una azienda, anche perché non è solo l’espressione di un parere, ma un invito fatto via mail ai clienti. Queste elezioni sono sempre più folli.
Via Protocol
Arriva la Corte Suprema di Facebook
In ogni caso, tranquilli: sta arrivando la Corte Suprema di Facebook. L’Oversight Board ha iniziato ad accettare casi in cui gli utenti ritengano che i propri contenuti siano stati rimossi ingiustamente. In futuro accetterà anche segnalazioni di contenuti che andavano rimossi e non lo sono stati. Il board è composto da 40 esperti di politica, legge e diritti umani, ed è finanziato fa Facebook con un trust da 130 milioni di dollari. Ogni caso sarà assegnato a un panel di 5 persone, che includerà almeno un membro della regione interessata. E il panel dovrà decidere se il contenuto rimosso violava gli standard di comunità di Facebook e se è conforme alle norme e leggi internazionali sui diritti umani. - The Verge
Quello che non si capisce - come sottolinea nella sua newsletter Casey Newton - è quanti casi potrà gestire all’anno questo organismo. In ogni caso gestirà solo una frazione degli appelli che arriveranno a Facebook. Ma quanto il board aiuterà davvero l’utente comune e quanto rimarrà una valvola di sfogo per i casi più spinosi e mediatici?
Info e disinfo
Intanto, la storia del New York Post sulle mail del figlio di Biden ritrovate in un negozio di computer ha le caratteristiche di una operazione di disinformazione russa, sostengono 50 ex membri dell’intelligence americana, che hanno firmato una lettera, scrive Politico.
Nel mentre esplode la religione del complotto di QAnon, scrive Axios.
Anche in Europa, scrive ancora Politico.
“Il complottismo di QAnon si nutre degli scandali reali” , intervista alla studiosa Gabriella Coleman su Il Fatto (paywall)
RICONOSCIMENTO FACCIALE
Ora gli attivisti vogliono identificare i poliziotti
Negli Stati Uniti in Oregon alcuni attivisti stanno provando a usare strumenti di riconoscimento facciale per identificare i poliziotti che nascondono la loro identità, in un capovolgimento del tradizionale uso poliziesco/di ordine pubblico di questa tecnologia. Una storia del NYT.
IMMUNI
La scorsa volta avevamo detto del pasticcio di Asl e Regioni che non usavano Immuni, che anzi la boicottavano. Ora per le Asl è diventata obbligatoria nel senso che nel nuovo Dpcm «è fatto l'obbligo all'operatore sanitario di caricare il codice chiave in presenza di un caso di positività» - Corriere (paywall) - Il Fatto
Intanto, scrive su Twitter il ministero della Salute, l’app Immuni "ha superato i 9,1 milioni di download e, da ieri, è la prima app di tracciamento dei contagi a essere interoperabile a livello europeo, con quelle di Germania e Irlanda" - Adnkronos
Perché l'Italia ha perso traccia del contact tracing? si chiede Wired. Ma fa il punto anche sull’Europa.
Consiglio la lettura di questo bel pezzo di Luza Zorloni, che ha vissuto in prima persona la trafila di una notifica dell’app -> Storia di un venerdì in compagnia di una notifica di Immuni
L'app ha funzionato. Mentre è il sistema dopo che lascia a desiderare. Quando i dati sarebbero utili per tenere sotto controllo la diffusione del coronavirus - Wired
REVENGE PORN
Deepfake su Telegram, c'è un bot che spoglia le donne: quasi 700 mila vittime
Circa 680 mila donne virtualmente denudate. Tra cui, alcune giovani influencer italiane. Vittime inconsapevoli di uomini che hanno dato le loro foto, spesso rubate sui social, in pasto a un bot Telegram: un programmino automatico che si trova sull'app di messaggistica ed è in grado di ritoccare le istantanee in tempo reale, svestendo le protagoniste. Immagini che sono state poi condivise, commentate e persino votate in almeno sette chat pubbliche scrive Repubblica
Il Garante italiano (la storia è globale) ha aperto un’istruttoria nei confronti di Telegram.
BITCOIN
Paypal permetterà ai clienti di comprare e vendere criptovalute
Reuters
RANSOMWARE
Il malware Nefilim fa una vittima illustre: in rete i dati sottratti a Luxottica - CERT AGID
5G
Il governo frena Fastweb su Huawei
Il governo italiano avrebbe vietato all'operatore telecom Fastweb di usare la tecnologia del colosso cinese Huawei nello sviluppo della rete 5G. Lo sostiene l'agenzia di stampa Reuters facendo riferimento a una fonte interna, scrive il Corriere del Ticino.
FACEBOOK
Il social contro l’analisi degli ads dei ricercatori
Facebook vuole far cessare il programma di ricerca dell’università di New York che analizza le pratiche di profilazione pubblicitaria del social attraverso una estensione del browser installata da migliaia di volontari. Per il social si tratterebbe di scraping, di raccolta dati di massa vietata dalle sue norme. Per i ricercatori il progetto cerca di colmare le lacune sui dati offerti pubblicamente dal social.
WSJ
LETTURE
ANTITRUST
Gli Stati Uniti contro Google: «Condotta illegale per soffocare la concorrenza» - Corriere (paywall)
L’azione legale del governo Usa contro Google può cambiare il web per sempre. ll dipartimento di Giustizia guidato da William Barr, uno dei fedelissimi del presidente Donald Trump, ha deciso che lo strapotere di Google viola lo Sherman Act, la pionieristica legislazione antitrust approvata dagli Stati Uniti nel lontano nel 1890 e che è stata usata per smantellare colossi divenuti troppo potenti, come la società di telecomunicazioni AT&T. - Stefano Feltri su Domani (paywall)
AI
La strategia politica Ue sull’AI - una strategia divisa - AI:Decoded/Politico
RITRATTI
Ritratto dettagliatissimo di Moxie Marlinspike (creatore dell’app Signal) sul New Yorker
SALUTI E CONTATTI
Se qualcuno vuole contattarmi in modo anonimo (o, quanto meno, con una maggiore probabilità di privacy e senza dover passare per una casella email o un account legato a un telefono) può farlo andando su https://contact.carolafrediani.org/#/ via Tor Browser (se da dentro la newsletter non si apre link basta riscriverlo nel browser).
È una piattaforma open source creata da Globaleaks (che ringrazio! in particolare un grande grazie a Giovanni Pellerano) che permette a giornalisti, media e organizzazioni (qua ce ne sono alcune) di ricevere segnalazioni e a chi segnala di proteggere la propria privacy (qui un articolo in inglese su chi sono, che fanno).
Oppure potete scrivermi una mail con PGP. O contattarmi solo su Signal +14783944294. O, se non avete particolari esigenze di privacy, molto semplicemente, rispondere a questa newsletter.
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato!
E’ gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
Come viene fatta questa newsletter (e come leggerla)
Per iscriversi: https://guerredirete.substack.com/
Buona domenica!
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato!
E’ gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.
Come viene fatta questa newsletter (e come leggerla)
Per iscriversi: https://guerredirete.substack.com/
Buona domenica!