Cyber war: le più grandi battaglie digitali della storia

Muri di cemento, metri di acciaio e soldati armati fino ai denti sono del tutto inefficaci contro le nuove armi della guerra digitale. L’allegato a un’email o una chiavetta USB abbandonata nel luogo giusto possono mettere a repentaglio un’intera azienda o la sicurezza di una nazione.
Ecco una rassegna degli attacchi informatici più clamorosi portati a termine negli ultimi anni ai danni di enti governativi e banche ma anche impianti nucleari e reti militari.

shady_rat_emailssymantecredoctoberkasperskyscreenshot2015-02-04at13.34.13themask_apt-10-228913kasperskyduquflamemalware7849424278_0275180438_hstuxnetApprofondimenti
shady_rat_emailssymantec

Cina contro Resto del Mondo ShadyRAT è un virus trojan scoperto da Symantec nel 2011 ma attivo già dal 2006. Arrivato via email come allegato infetto dal nome potenzialmente innocuo (budget2008.xls, list_update.pdf, ecc) una volta aperto si installava nel PC dell’ignaro utente, trasformandolo in una macchina "zombie" pronta a eseguire ordini impartiti da remoto.
In particolare ShadyRAT rubava documenti e files contenuti nel computer ospite inviadoli al suo creatore.
Il malware ha colpito e infettato macchine e reti in 72 grandi organizzazioni di 14 paesi, tra cui le Nazioni Unite, alcuni contractor del settore difesa e il Comitato Olimpico Internazionale. Alcune similitudini tra il codice di ShadyRAT e quello di altri attacchi informatici isolati in quegli anni (Operation Aurora e Night Dragon in particolare) hanno convinto gli esperti che il virus fosse stato messo a punto in ambienti governativi cinesi.

redoctoberkaspersky

Nato (?) contro Russia Red October è un malware dal funzionamento simile a quello di ShadyRAT, scoperto da Kaspersky nel 2013. In un report pubblicato dagli esperti di sicurezza dell’azienda si legge “Gli attaccanti hanno creato un malware unico e flessibile, in grado di rubare dati e informazioni geopolitiche dai computer infettati, dai telefoni cellulari e dagli apparati di rete”.
Red October, all’epoca diffuso soprattutto in Russia e in Kazakhstan, aveva preso di mira enti governativi, banche e grandi aziende e il suo codice presentava tracce di software utilizzato in ambienti militari della NATO e dell’Unione Europea.
Il malware, che arrivava nascosto in documenti Word o Excel, inviava le informazioni rubate dai computer bersaglio a una ventina di server sparsi in tutto il mondo. Una volta portata alla luce l’operazione, l’intera rete è stata spenta e disattivata, rendendo di fatto impossibile risalire ai mandanti.

screenshot2015-02-04at13.34.13

Cina contro Occidente Una mail come esca, l’invito a cliccare su un link infetto e migliaia di computer colpiti: è, in estrema sintesi, la storia di APT1, un malware di fabbricazione cinese che tra il 2006 e il 2013 ha fatto incetta di dati e informazioni sensibili sulle reti di enti, aziende e istituzioni dei paesi occidentali.
Secondo gli esperti di Mandiant, l’azienda specializzata nella sicurezza informatica che lo ha identificato nel 2013, APT1 è stato messo a punto nei laboratori dell’Unità 61398, il reparto dell’esercito cinese che si occupa di spionaggio digitale.

themask_apt-10-228913kaspersky

Latinos (?) contro Resto del Mondo Identificato nel 2014 da Kaspersky, Mask (o Careto) è uno dei più evoluti malware per lo spionaggio mai rilevati.
In azione dal 2007, è sopravvissuto indisturbato a generazioni di antivirus grazie a un trucchetto digitale: il software utilizzava infatti una firma elettronica falsa, che lo qualificava come programma “innocuo” ai controlli dei più noti e diffusi programmi di protezione.
Era in grado di infettare qualunque sistema operativo, compresi iOS e Android, e di intercettare ogni tipo di comunicazione, dalle email alle conversazioni su Skype. Ha colpito i sistemi di 380 tra enti governativi e aziende e secondo gli esperti è così sofisticato che può essere stato realizzato solo in ambienti di intelligence.
I suoi programmatori non sono mai stati identificati, ma alcune particolarità del codice fanno pensare a una produzione in paesi di lingua spagnola.

duqu

Ignoti contro Tutti Duqu è uno dei più insidiosi malware mai realizzati: identificato nel 2011 dall’Università di Budapest, è scritto in un linguaggio di programmazione sconosciuto. Colpisce i grandi computer industriali utilizzati per controllare le attività nevralgiche di un paese: dai sistemi di distribuzione dell’energia a quelli che controllano i trasporti o le comunicazioni. Arrivava nei computer bersaglio mascherato da font all’interno di un documento Word: per attivarlo era sufficiente aprire l’allegato. Il suo scopo non era quello di distruggere le infrastrutture ma rubare dati: il bersaglio di Duqu erano i certificati digitali, cioè quell’insieme di credenziali che permettono a un software di qualificarsi come “buono” presso un computer ospite. Le informazioni venivano esportate nascoste all’interno di un file jpg.
I creatori di Duqu cercavano insomma di procurarsi le chiavi per accedere in futuro a quegli stessi sistemi per metterli KO.

flamemalware

Israele contro Iran Scoperto nel 2012 dalle unità di cyber sicurezza del Governo Iraniano, Flame venne definita dagli esperti come la più sofisticata arma digitale prodotta fino ad allora.
Colpiva i computer con sistema operativo Windows e poteva diffondersi attraverso chiavette USB infettate o attraverso reti locali. Era in grado di catturare le schermate visualizzate dagli utenti, di registrare le conversazioni su Skype e di rubare ogni tipo di documento.
Flame poteva trasformare ogni computer dotato di Bluetooth in una spia silenziosa in grado di intrufolarsi in smartphone e tablet con la stessa tecnologia per sottrarre dati, sms, email e altre informazioni.
In pochi mesi ha colpito i sistemi di numerose organizzazioni governative e finanziarie in tutto il Medio Oriente: progettato per infiltrarsi nei computer bersaglio sotto forma di documento AutoCad, PDF o testuale, presenta schemi e strutture tipiche dei software sviluppati in Israele.

7849424278_0275180438_h

Russia (o Iran) contro USA Nel 2010 il Segretario americano alla Difesa William Lynn III ha rivelato al Congresso che qualche mese prima i sistemi del CentCom, la più avanzata unità per la guerra elettronica del Governo a stelle e strisce, era stata messa in ginocchio da un malware.
Il software si era inflitrato nella rete militare dal computer di una base americana in Medio Oriente nel quale era stata inserita, da un soldato distratto, una chiavetta USB infetta trovata in un bagno pubblico nei pressi della struttura. L’origine dell’attacco era stata fatta risalire ai servizi di intelligence ex sovietici.
Una volta ripuliti i sistemi il Pentagono è corso ai ripari, bloccando l’accesso alle porte USB di tutte le sue macchine.

stuxnet

Usa contro Iran Nel 2010 un potente malware, Stuxnet, mette in crisi l’impianto nucleare di Natanz, in Iran: le centrifughe che raffinano l’uranio impiegato nel reattore impazziscono, rendendo il minerale del tutto inutilizzabile. Nessun sistema di allarme aveva segnalato agli operatori della centrale il malfunzionamento.
Stuxnet era stato inoculato nella rete informatica di questa struttura iperprotetta da una penna USB infetta, sfruttando una vulnerabilità di Windows. Il malware era in grado di riprogrammare i computer industriali della Siemens utilizzati a Natanz in maniera del tutto silenziosa e invisibile.
Si tratta di una vera e propria arma elettronica che secondo le rivelazioni di Edward Snowden sarebbe stato sviluppato dall’NSA, l’agenzia per la sicurezza nazionale del governo americano, con la collaborazione dell’intelligence israeliana.

Cina contro Resto del Mondo ShadyRAT è un virus trojan scoperto da Symantec nel 2011 ma attivo già dal 2006. Arrivato via email come allegato infetto dal nome potenzialmente innocuo (budget2008.xls, list_update.pdf, ecc) una volta aperto si installava nel PC dell’ignaro utente, trasformandolo in una macchina "zombie" pronta a eseguire ordini impartiti da remoto.
In particolare ShadyRAT rubava documenti e files contenuti nel computer ospite inviadoli al suo creatore.
Il malware ha colpito e infettato macchine e reti in 72 grandi organizzazioni di 14 paesi, tra cui le Nazioni Unite, alcuni contractor del settore difesa e il Comitato Olimpico Internazionale. Alcune similitudini tra il codice di ShadyRAT e quello di altri attacchi informatici isolati in quegli anni (Operation Aurora e Night Dragon in particolare) hanno convinto gli esperti che il virus fosse stato messo a punto in ambienti governativi cinesi.