Sicurezza

Hacker cinesi: ecco come fanno

Utilizzano le catene di email e il web invisibile ma hanno lasciato alcune impronte e forse sappiamo chi sono

Credits: mightyohm, Flickr

The Chinese Job. No, non è l’improbabile sequel di come lo facevano gli italiani, ma un modo di sintetizzare le azioni degli hacker cinesi, spauracchio delle aziende statunitensi delle ultime settimane. A cadere sotto i colpi dei sofisticati intrusi dagli occhi a mandorla c’è anche una società che ha fatto la storia dell’informatica, la Apple, e che per questo avrebbe potuto e dovuto difendersi meglio. Ma è davvero così difficile prevedere dove colpiranno gli Anonymous d’Oriente? Secondo Mandiant, società che ha avviato le ricerche sulle violazioni al New York Times, gli esperti cinesi (se dovesse essere confermata tale pista) agirebbero con vere e proprie prassi, che potrebbero servire per capire le mosse future. Secondo il report “Exposing One of China’s Cyber Espionage Units”, disponibile gratuitamente a questo indirizzo , Mandiant spiega la nascita delle divisioni cyber APT (Advanced Persistent Threat) in tutto il mondo e guarda caso l’unità 61398 dell’Esercito Popolare di Liberazione cinese, quella che si dice essere la divisione hacker della milizia, è conosciuta con il nome in codice APT1. Le decine di gruppi APT agirebbero, a differenza dei normali hacker, anche a scopo politico. Secondo Mandiant almeno una ventina di gruppi APT avrebbero origine dalla Cina e tutte riconducibili ad una singola organizzazione che conduce opere di cyber spionaggio contro un vasto numero di soggetti pubblici e privati.

Al pari di WikiLeaks APT ruba documenti e file segreti, principalmente da fonti statali; è diverso però il fine: il team di Assange decide di pubblicarli e renderli pubblici, gli APT tendono a distruggerli cancellandone ogni traccia. I motivi possono essere molteplici: dall'eliminazione di prove contro personaggi di spicco della propria nazione alla raccolta di materiale informativo di governi nemici. Si tratta di vero e proprio spionaggio cibernetico, pilotato dai politici nazionali. Questa sarebbe la causa del primo attacco hacker con il New York Times, reo di aver avviato un’indagine sul Primo Ministro cinese Wen Jiabao. Dal resoconto di Mandiant appare evidente come questi hacker cinesi non siano degli sprovveduti. Non si tratta di violazioni mordi e fuggi come quelle di Anonymous o LulzSec, che mirano ad obiettivi specifici di volta in volta, ma di attacchi studiati a tavolino, riconducibili ad una stessa linea d’azione.

Quello che ha impressionato più di tutti non è stato coprire tra le vittime nomi illustri del panorama informativo internazionale, quanto più la presa di coscienza di un complesso ecosistema di software di controllo remoto con il quale gli hacker sono riusciti a rubare quello che volevano dai computer violati. Si scopre così che la maggior parte degli attacchi siano stati effettuati con tecniche abbastanza conosciute nel campo, alcune abbastanza ovvie. Basti citarne una molto cara ai cosiddetti “spammer”. Si comincia con l’inviare ad una serie di destinatari una email contenente un file eseguibile maligno, mascherato da documento di testo o presentazione Powerpoint. L’obiettivo è far cliccare la vittima sul file che spesso è un malware spybot, in grado cioè di tracciare tutte le azioni svolte dal computer e copiare in remoto qualsiasi tipo di file.

Più avanzata, almeno concettualmente, la tecnica di utilizzare il deep web per sferrare un primo attacco. La tecnica è quella di mettere a disposizione degli adepti un pacchetto malware con le dovute istruzioni, da inviare alle vittime prescelte. Il tutto avviene nei meandri della rete, come vi abbiamo scritto qui , per evitare che il contenuto sia ricercabile dai motori di ricerca più diffusi come Google. Gli stessi malware poi sarebbero stati programmati per rimanere al passo con le recenti innovazioni nel campo degli antivirus. Per ingannare firewall e software di protezione, i malware si mimetizzano con il normale traffico della rete, quello legittimo, magari all'interno del sistema di chat Jabber/XMPP, lo stesso utilizzato da Google e Facebook.

I componenti di APT1, con sede fisica a Shangai, hanno utilizzato anche le comuni tecniche di cracking per recuperare password e dati sensibili. Prima di essere memorizzata su un computer, la password viene di solito tradotta in un algoritmo chiamato funzione hash che non contiene alcun indizio del testo originale. La funzione è irreversibile quindi non si può tornare indietro dopo aver prodotto un hash. Tuttavia è possibile utilizzare dei software che producono combinazioni di parole in testo hash e confrontare il risultato con quello che contiene la password salvata. Molti criminali utilizzano programmi che lavorano su un vasto dizionario di parole e password comuni in formato hash così da incrociarle con il file hash finale e forzare il sistema all’ingresso.

Nonostante il loro alto grado di raffinatezza, gli hacker potrebbero già essersi traditi. Ad esempio il gruppo APT1 ha registrato alcuni domini per alcuni dei suoi sistemi utilizzando un indirizzo email che, ricercato semplicemente con Google, ha rivelato essere legato ad un’organizzazione stanziata a Shangai. Inoltre ci sarebbero tracce nei computer violati negli ultimi giorni che ricondurrebbero a sessioni di accesso remoto dove è stata utilizzato un profilo di tastiera in cinese semplificato. Questo vuol dire che chi comandava i computer infettati a distanza conosceva e digitava in cinese. Altre tracce sono state individuate nell’organizzazione delle cartelle sul computer remoto, le cui orme sono rimaste nel software spia installato sui computer violati. Ovviamente Mandiant non ha rivelato i dettagli su queste informazioni, ma averli vuol dire essere già a buon punto nella ricerca degli intrusi. Gli artefici principali sarebbe tre hacker: Ugly Gorilla, Raith e Superhard, di cui non si conoscono ancora i veri nomi.

Mandiant è arrivata a pubblicare questi nick grazie al lavoro svolto sin dal 2004, quando scandagliava forum e blog di settore alla ricerca di primi indizi sui primi casi di cyber-spionaggio. In quegli anni su internet era già possibile leggere alcune indiscrezioni “riservate" che, rapportate ai fatti odierni, hanno contribuito a identificare almeno tre delle teste a capo della divisione cinese. Con questi dati, è con alcuni screenshot di una casella di posta Gmail di un altro hacker, Mandiant sarebbe pronta a smascherare l’intera unità di Shangai.

Seguimi su Twitter: @Connessioni

© Riproduzione Riservata

Commenti