Nessuno, ad Amazon, avrebbe mai pensato a un simile epilogo. È infatti una storia da film quella che ha raccontato in un post su LinkedIn il signor Stephen Schmidt, di mestiere responsabile della sicurezza del colosso statunitense dell’e-commerce.

È successo che l’azienda di Seattle ha bloccato, in fretta e furia, oltre 1.800 domande di lavoro. Domande teoricamente presentate da candidati interessati a essere assunti per ricoprire vari impieghi nel settore IT (Information Technology), ma di fatto inviate da agenti nordcoreani sotto copertura.

Pare, infatti, che gli hacker di Kim Jong Un abbiano provato ad arruolarsi in Amazon per occupare lavori da remoto utilizzando identità rubate a terzi, o addirittura del tutto false.

“Il loro obiettivo è semplice: farsi assumere, farsi pagare e incanalare gli stipendi per finanziare i programmi di armamento del regime”, ha spiegato Schmidt, aggiungendo che è probabile che questa tendenza si sia già verificata – e stia procedendo ancora adesso – su larga scala in tutto il settore, soprattutto negli Stati Uniti.

Lo scorso anno, per esempio, la stessa Amazon ha registrato un aumento di quasi un terzo delle domande di lavoro da parte di misteriosi nordcoreani. Parliamo di profili altamente specializzati che, nella maggior parte dei casi, lavorano di sponda con persone che gestiscono delle “laptop farm”, cioè gruppi di computer situati negli Stati Uniti ma controllati a distanza dall’estero.

Il caso Amazon? Solo la punta dell’iceberg

Amazon ha impiegato una serie di strumenti di intelligenza artificiale e di verifica da parte del suo personale per esaminare le candidature di lavoro, e queste sono state utilissime nell’intercettare le domande fittizie. C’è però da considerare che le strategie adottate dagli hacker di Kim sono diventate più sofisticate.

I cyber guerrieri di Pyongyang stanno dirottando account LinkedIn inattivi utilizzando credenziali trapelate sul web per ottenere la verifica dei profili, prendono di mira ingegneri informatici autentici per apparire credibili, oppure esortano le aziende a segnalare alle autorità le candidature sospette.

Schmidt ha quindi avvertito i datori di lavoro di prestare la massima attenzione agli indicatori di domande di lavoro fraudolente provenienti dalla Corea del Nord, tra cui numeri di telefono formattati in modo errato e percorsi formativi non corrispondenti.

Lo scorso giugno, non a caso, il governo statunitense ha scoperto una trentina di “laboratori di computer portatili” gestiti illegalmente in tutto il Paese da lavoratori informatici nordcoreani. Costoro hanno usato identità rubate o falsificate di americani per aiutare i loro connazionali a trovare lavoro negli Usa. Nello stesso frangente sono stati incriminati i broker statunitensi che avevano contribuito a garantire posti di lavoro agli agenti nordcoreani.

Hacker nordcoreani in azione

La vicenda più clamorosa risale a qualche mese fa, quando una donna dell’Arizona è stata condannata a più di otto anni di carcere per aver gestito una fabbrica di computer portatili e aiutare così i dipendenti IT nordcoreani a trovare lavoro da remoto in più di 300 aziende statunitensi. Secondo il Dipartimento di Giustizia Usa, questo piano avrebbe generato più di 17 milioni di dollari di guadagni illeciti spartiti tra la signora (in piccola parte) e Pyongyang.

Nell’ultimo decennio i servizi segreti nordcoreani hanno formato giovani informatici e li hanno inviati all’estero, spesso in Cina o Russia, per setacciare il web alla ricerca di annunci di lavoro – preferibilmente nel settore dell’ingegneria del software – pubblicati da aziende occidentali (ne abbiamo parlato qui). La preferenza? Ruoli da ricoprire totalmente da remoto, che offrano stipendi elevati e un buon accesso a dati sensibili.

Come aggirare il problema delle identità fittizie o rubate? Servono i cosiddetti “facilitatori“, e cioè cittadini occidentali che hanno il compito di gestire centinaia di posti di lavoro legati alla Corea del Nord, firmare documenti falsi e gestire gli stipendi dei lavoratori. Basta unire i tre vertici – governo nordcoreano, hacker e facilitatori – e il triangolo è completo. Anche Amazon era quasi caduta nel tranello…

L'articolo Occhio al Cv. Potrebbero essere gli hacker di Kim proviene da InsideOver.

La Russia “addestra paracadutisti cinesi per decapitare Taiwan”? Secondo un dossier trafugato dal gruppo di hacker Black Moon, la Russia sta armando silenziosamente le forze aviotrasportate cinesi e fornendo “equipaggiamento e assistenza” a un battaglione di forze speciali. L’obiettivo? Un’operazione di decapitazione a Taipei da lanciare in contemporanea con l’invasione dell’isola, che preoccupa la regione del Pacifico per i riflessi che potrebbe avere sugli assetti globali in caso di una “difesa” occidentale. Ma davvero Pechino sta tramando una “operazione militare speciale” per occupare i centri nevralgici di Taiwan? In Ucraina, il blitz degli Spetnaz russi sull’aeroporto di Hostomel per raggiungere Kiev e decapitare il vertice non funzionò, e lo schema potrebbe fallire anche in questo scenario. Del resto, le variabili sono infinite sul campo di battaglia. La “guerra è anche il campo del caso” ricordava Von Clausewitz.

Un dossier rubato

Una trama perfetta per un thriller tecnologico alla Tom Clancy, quella diffusa dal fantomatico dossier di 800 pagine trafugato dagli hacker antirussi che si fanno chiamare Black Moon come un malware di tipo banking Trojan. Il dossier, che è finito nelle mani del Washington Post ed è stato analizzato dal Royal United Services Institute for Defence and Security Studies (Rusi), cita accordi e collaborazioni che sembrano avere un solo fine: stringere un’alleanza militare con un supporto bilaterale in vista di una nuova guerra.

Il documento segreto dovrebbe essere “la prova” di un accordo tra Pechino e Mosca per “sviluppare sistemi interoperabili e condividere esperienze di combattimento in aree che la Cina considera cruciali per vincere la battaglia su Taiwan“, l’isola contesa che continua a temere un’imminente invasione militare da parte della Repubblica Popolare Cinese, che vuole riottenere il completo controllo sullo Stato insulare ed estirpare ogni genere d’influenza politica occidentale. Il Rusi ha affermato che “l’addestramento e i trasferimenti descritti nei documenti avrebbero conferito all’aeronautica militare cinese una maggiore capacità di manovra aerea” offrendo “opzioni offensive contro Taiwan“.

Secondo Jack Watling, ricercatore per la guerra terrestre presso il Rusi, ci troveremmo davanti a “un ottimo esempio di come i russi siano diventati un facilitatore per i cinesi“, in uno scenario in cui il Cremlino non solo offre il suo know-how a livello militare, ma propone di fornire “supporto strategico alla Cina” in campo energetico; offrendo le sue riserve di petrolio e gas nel caso di una guerra con Taiwan, che non si risolverebbe con una fulminea e decisiva “operazione di decapitazione“.

Gli analisti britannici hanno riferito che la Russia avrebbe “accettato di fornire alla Cina equipaggiamento militare e addestramento aviotrasportato” per supportare i preparativi di una potenziale invasione di Taiwan entro il 2027.

A lezione da Mosca

Pechino, carente nel campo delle azione di “guerra reale”, vuole utilizzare l’esperienza sul campo di battaglia maturata dalla Russia per formare unità aviotrasportate cinesi che si rivelerebbero decisive in un piano d’azione. L’addestramento e il know-how dei russi sarebbero ciò che ci vuole per condurre un dispiegamento rapido, prendere il controllo dei centri nevralgici di comando, e ottenere la vittoria il prima possibile. Le capacità russe superano ancora quelle dell’Esercito cinese. Proprio le truppe aviotrasportate russe, più esperte, secondo gli analisti militari, rappresentano l’esempio da seguire. Oleksandr Danylyuk e Jack Watling suggeriscono che “le procedure di addestramento e comando siano il valore fondamentale dell’accordo“, data l’esperienza di combattimento della Russia. Queste informazioni compaiono in documenti separati dove vengono delineati i programmi di addestramento per i paracadutisti cinesi sull’uso in combattimento degli armamenti – e sui sistemi avanzati di comando e controllo utilizzati per dirigere le operazioni – da parte di specialisti russi in Russia e, successivamente, in Cina.

“La Cina non ha mai realmente utilizzato le sue forze aviotrasportate in una situazione di combattimento“, ricorda Joshua Arostegui, presidente del China Landpower Studies Center presso lo Strategic Studies Institute dell’U.S. Army War College, e ” si aspetta di combattere in un ambiente degradato, dove i suoi sistemi saranno minacciati da interferenze e attacchi informatici”, il know-how della Russia rappresenta quindi una risorsa fondamentale. Dando alle unità speciali cinesi “l’opportunità di apprendere tattiche, tecniche e procedure per operazioni aviotrasportate con armi combinate“.

Le armi russe nell’arsenale di Pechino

I russi starebbero fornendo al battaglione aviotrasportato cinese una combinazione di veicoli anfibi, cannoni anticarro, veicoli trasporto truppe e veicoli di comando e osservazione che dovrebbero consentire un dispiegamento rapido “dal cielo”, attraverso vettori di trasporto come l’Y-20, equivalente cinese del Il-76, aereo da trasporto pesante che potrebbe essere utilizzato per sganciare veicoli corazzati in un assalto aereo.

Le informazioni diffuse menzionano nel dettaglio 37 veicoli d’assalto anfibi Bmd-4M, 11 cannoni anticarro Sprut-Sdm1 e diverse piattaforme di comando, tutti modificati per integrare i sistemi di comunicazione cinesi e “sistemi di paracadute speciali” progettati per il “lancio di carichi pesanti da alte quote“. Contestualmente gli istruttori russi stanno addestrando un battaglione di paracadutisti cinesi all’impiego di equipaggiamenti e tattiche aviotrasportate, con esercitazioni collettive programmate sul territorio cinese. “Questo darebbe loro l’opportunità di apprendere tattiche, tecniche e procedure per operazioni aviotrasportate con armi combinate“, secondo gli analisti.

Un obiettivo strategico e un piano “simile”

Per Taiwan, il sostegno russo alle capacità offensive della Cina rappresenta un ulteriore timore. L’intelligence di Taipei, già alle prese con l’ipotesi che una quinta colonna stia operando all’interno dell’isola per rovesciare silenziosamente il governo della Repubblica di Cina, teme che Pechino possa e voglia impadronirsi delle infrastrutture essenziali nell’entroterra mentre il grosso della forza d’invasione assalta porti e spiagge lungo la costa.

Per questo gran parte delle esercitazioni annuali svolte dalle forze armate taiwanesi prevede l’addestramento a “respingere un attacco aereo cinese”, che potrebbe avere come obiettivo l’aeroporto internazionale di Taoyuan, principale scalo dell’isola. L’aeroporto sarebbe considerato uno dei principali obiettivi dai commentatori militari cinesi, che lo hanno indicato come “la chiave per sfondare le difese taiwanesi“.

L’obiettivo strategico di questa collaborazione, in conclusione, sembra essere quello di migliorare le capacità di manovra aerea dei cinesi, consentendo loro di lanciare di unità corazzate vicino ai porti e agli aeroporti di Taiwan, aggirando i rischi degli sbarchi anfibi che comunque verrebbero effettuati, anche attraverso i le strani navi-pontiere osservate nei cantieri navali cinesi. Questa capacità potrebbe “consentire la rapida conquista di infrastrutture critiche” prima della mobilitazione delle forze armate taiwanesi.

Questo piano di battaglia ricorda per alcuni dettagli l’inizio dell’Operazione Militare Speciale per la denazificazione dell’Ucraina lanciata dalla Russia la notte del 24 febbraio del 2022, che doveva concludersi entro una settimana grazie al fatidico “colpo di mano” affidato proprio alle unità d’élite aviotrasportare dell’Esercito russo, che, affiancate da alcune unità di Spetnaz, le forze per le operazioni speciali cogestite dell’intelligence, dovevano prima prendere il controllo dell’aeroporto di Hostomel, a poca distanza da Kiev, e poi penetrare fulmineamente nella città per portare a termine un’operazione di decapitazione del governo e dei vertici militare che avrebbe portato, si credeva, a una capitolazione istantanea. Come la storia ci ha mostrato, anche per intercessione della Cia, questa strategia fallì.

Lo spionaggio e il ruolo svolto dall’intelligence sono sempre stati elementi affascinanti quanto decisivi per gli equilibri regionali e globali. Conoscere, analizzare, e cercare di spiegare la loro importanza e il ruolo che svolgono nei processi della diplomazia e nei conflitti è parte del nostro sforzo quotidiano. Se vuoi approfondire queste tematiche ed essere sempre aggiornato sugli sviluppi nell’ambito della Difesa e dello Spionaggio, segui InsideOver, e sostieni il nostro lavoro, abbonati oggi!

L'articolo Istruttori russi e paracadutisti cinesi per “Decapitare” Taiwan, gli hacker diffondono una trama da Tom Clancy proviene da InsideOver.

I candidati presentano sempre curricula eccellenti, studi nelle migliori Università degli Stati Uniti, anni di esperienze maturate in settori professionali rilevanti – come quello della programmazione, dell’ingegneria elettronica o dell’informatica – e cognomi rigorosamente anglosassoni. In teoria una manna dal cielo per tutte quelle startup impegnate nella sicurezza web alla ricerca di nuovi addetti in grado di lavorare da remoto.

I primi dubbi emergono però in fase di colloquio, quando i selezionatori si ritrovano a parlare su Google Meet con giovani di origine asiatica in ambienti rumorosi – come se si trovassero in un call center – con sfondi artificiali alle loro spalle e connessioni lente: strano per programmatori esperti e piccoli geni informatici.

L’aspetto più curioso, tuttavia, coincide con il fatto che i candidati siano più interessati allo stipendio che non a conoscere i dettagli del lavoro per il quale hanno fatto domanda. È questa, più o meno, la situazione che si è ritrovato di fronte tale Simon Wijckmans, fondatore della startup di sicurezza web C.Side. Abile (e anche un po’ fortunato) a scoprire una truffa portata avanti da abili hacker nordcoreani.

Informatici o hacker nordcoreani

Wired ha dedicato un lungo articolo al fenomeno cyber criminale Made in North Korea. Nel caso specifico, Wijckmans ha osservato le lenti degli occhiali indossati dal suo interlocutore notando il riflesso di diversi schermi e una chat bianca con messaggi che scorrevano. “Stava chiaramente chattando con qualcuno o utilizzando qualche strumento di intelligenza artificiale“, ha spiegato lo stesso Wijckmans.

Insospettito, l’uomo ha scoperto di aver ricevuto oltre 500 candidature in un solo giorno per la posizione di uno sviluppatore full-stack. E che molti dei candidati avevano usato una rete privata virtuale per mascherare la loro vera posizione. Insomma, Wijckmans era entrato inconsapevolmente in contatto con un esercito di lavoratori IT desiderosi di lavorare da remoto per aziende americane ed europee, sotto false identità. Il loro mandante? Il Governo della Corea del Nord.

Nell’ultimo decennio i servizi segreti nordcoreani hanno formato giovani informatici e li hanno inviati all’estero, spesso in Cina o Russia. Il loro compito: setacciare il web alla ricerca di annunci di lavoro, nel settore dell’ingegneria del software, pubblicati da aziende occidentali. La loro preferenza: ovviamente ruoli completamente da remoto, con stipendi elevati e un buon accesso a dati.

Questi hacker si candidano usando identità rubate o false. Alcuni hanno persino iniziato a utilizzare l’intelligenza artificiale per superare test di programmazione e videocolloqui. Ma come fanno dei nordcoreani che usano false identità a candidarsi per ricoprire offerte di lavoro reali? Un dipendente finto, del resto, non può usare gli indirizzi o i conti bancari collegati a documenti d’identità fasulli. È qui che entrano in gioco i cosiddetti “facilitatori“, cittadini occidentali che hanno il compito di gestire centinaia di posti di lavoro legati alla Corea del Nord, firmare documenti falsi e gestire gli stipendi dei lavoratori.

Un fenomeno in crescita

Nel corso di un’inchiesta i procuratori statunitensi hanno affermato che almeno 300 datori di lavoro erano stati coinvolti in questo singolo schema, tra cui “una delle cinque principali reti televisive e società di media nazionali, una delle principali aziende tecnologiche della Silicon Valley, un produttore aerospaziale e della Difesa, un’iconica casa automobilistica americana, un negozio di vendita al dettaglio di lusso e una delle aziende di media e intrattenimento più riconoscibili al mondo”.

Dal canto suo la Corea del Nord ha fatto dell’informatica una priorità nazionale in seguito alla salita al potere di Kim Jong Un. Nel 2012, l’attuale leader ha esortato le scuole a “prestare particolare attenzione all’intensificazione della loro formazione informatica” per creare nuove possibilità per il Governo e l’esercito. Risultato: l’informatica è ora presente in alcuni programmi scolastici delle scuole superiori, mentre gli studenti universitari possono seguire corsi di sicurezza informatica, robotica e ingegneria.

Il personale di agenzie governative, tra cui il Reconnaissance General Bureau – il servizio segreto di intelligence nazionale – recluta i laureati con i punteggi più alti di istituti di eccellenza come la Kim Chaek University of Technology (descritta da molti come “il Mit della Corea del Nord”) o la prestigiosa Università delle Scienze di Pyongsong. Così gli hacker di Kim sono diventati i migliori al mondo. O quasi.

L'articolo Sei un ingegnere informatico? Gli hacker invisibili di Kim hanno rubato il tuo lavoro proviene da InsideOver.

L’ultimo colpo realizzato è stato il furto del suo genere più grande della storia: 1,5 miliardi di dollari in criptovalute rubate all’exchange Bybit, un colosso con sede a Dubai. È bastato un attacco informatico ben preparato per consentire agli hacker del Lazarus Group di impossessarsi dell’enorme bottino di token digitali. E portare il ricavato in Corea del Nord, da dove questo gruppo di cyber-guerrieri lavora quasi 24 ore su 24 per raccogliere denaro dai canali globali e usarlo per lo sviluppo (militare e non solo) del loro Paese.

A dire il vero, non sappiamo se i sospettati siano davvero i cyber-guerrieri di Kim Jong Un, ma l’Fbi non ha dubbi: le tracce portano dritte a Pyongyang. Gli smanettoni del governo nordcoreano sono in ogni caso diventati i numeri uno nel riciclaggio di criptovalute. Lo hanno dimostrato lo scorso 21 febbraio, quando hanno presumibilmente raggirato uno dei fornitori di Bybit, che è finito, senza saperlo né volerlo, a inviare i fondi (401.000 criptovalute Ethereum) al portafoglio degli hacker di Kim.

Certo, la Corea del Nord non ha mai ammesso di essere dietro al Lazarus Group, ma le intelligence occidentali sono convinte che sia l’unico Paese al mondo a usare i suoi poteri di hackeraggio per ottenere profitti economici.

Maestri nel furto di criptovalute

Gli hacker del Lazarus Group si sono evoluti. Mentre in passato erano soliti prendere di mira le banche, nell’ultimo quinquennio si sono specializzati negli attacchi contro le società di criptovalute, un settore più vulnerabile e meno protetto rispetto a quello bancario.

Tra i recenti colpi andati a segno si elencano: il furto di 41 milioni di dollari da UpBit nel 2019; quello da 275 milioni da KuCoin (in questo caso, la maggior parte dei fondi è stata recuperata); l’attacco da 600 milioni a Ronin Bridge (2022); e i 100 milioni rubati in un raid informatico all’Atomic Wallet nel 2023.

Nel 2020, gli Stati Uniti hanno inserito i nordcoreani accusati di far parte del Lazarus Group nella lista nera dei Cyber Most Wanted. Peccato che le possibilità che questi tizi lascino la Corea del Nord per essere arrestati siano pressoché nulle…

L’ultimo colpo da 1,5 miliardi effettuato dal Lazarus Group ai danni di Bybit è superiore al valore totale delle cripto rubate dallo stesso gruppo nel 2024 (1,3 miliardi) ed è quasi il triplo dei 660,5 milioni trafugati nel 2023. Ah, e non è finita qui, perché secondo la società di cripto-investigazioni Chainalysis, oltre il 60% delle criptovalute rubate un anno fa sarebbero finite nei wallet di Kim.

Come fanno per rubare le criptovalute? Ci sono vari passaggi, a partire dalla violazione dei sistemi di un bersaglio. I nordcoreani possono impiegare diversi metodi: dall’invio di e-mail di phishing (con codici dannosi) all’utilizzo di false identità per essere assunti in lavori IT da remoto presso aziende straniere. A quel punto, una volta “entrati” nel sistema e rubato il bottino, la criptovaluta deve essere riciclata. Il denaro sporco viene solitamente distribuito su più portafogli digitali, combinato con fondi puliti e mescolato (il cosiddetto mixing). Infine, i fondi rubati devono essere incassati.

Gli hacker di Pyongyang

Le capacità degli hacker nordcoreani sono frutto di uno sforzo durato decenni. Le prime scuole di informatica della Corea del Nord risalgono almeno agli anni ’80. Negli anni successivi, Pyongyang ha sempre dato risalto e importanza agli studenti di informatica, al punto che Kim recentemente definito la guerra informatica una “spada multiuso”.

Ma come è possibile che un Paese del genere, plurisanzionato e isolato da gran parte della comunità internazionale, sia riuscito a sfornare gli hacker migliori del pianeta? La prima ragione riguarda la necessità della Corea del Nord di bypassare le sanzioni e ottenere denaro da reinvestire per lo sviluppo militare (e non solo). La seconda: il governo nordcoreano, come detto, punta da anni sull’informatica, materia fin troppo snobbata in Occidente. Basti pensare che all’International Collegiate Programming Contest del 2019, un team di un’università nordcoreana è arrivato ottavo, battendo i rivali di Cambridge, Harvard, Oxford e Stanford. Pare che per addestrare i suoi cyber-guerrieri, Pyongyang invii all’estero, soprattutto in Cina, i programmatori informatici più talentuosi. Oltre la frontiera, prendono familiarità con Internet, con lo shopping online, il gioco d’azzardo e, più in generale, imparano come il resto del mondo usa i computer. Si trasformano quindi da geni della matematica e dell’informatica in veri e propri hacker.

L'articolo Gli hacker di Kim? I migliori al mondo: quali sono i loro segreti proviene da InsideOver.

Qual è e quale sarà il ruolo della Cina del contesto geopolitico e in relazione all’Italia? Come si muovono le sue spie nel mondo? Indubbiamente il colosso asiatico sta assumendo un ruolo centrale nelle agende di molti paesi. Una serie di riforme interne – ultima quella del 2023 – ha infatti dato nuovo impulso alle attività di spionaggio e controspionaggio, anche in ambito cyber.

La Cina si muove nell’ecosistema digitale come un enorme organismo capace di operare vaste operazioni di suck information, letteralmente “succhiamento di dati e informazioni”, che vengono poi filtrate e processate grazie ad una moltitudine di agenzie governative e private. Il paese di Xi Jinping è in grado di catalogare e targettizzare gli individui o gruppi di individui oggetto di indagine. Stiamo parlando di una nazione che è in grado di applicare su larga scala le cosiddette operazioni di Virtual Human Intelligence per le acquisizioni di informazioni sugli utenti della rete. Una nazione percepita sempre di più come “avversaria”, soprattutto per quanto riguarda l’ambito cyber.

La parola degli esperti

Per approfondire queste tematiche abbiamo incontrato, in occasione della presentazione del libro “China Intelligence” presso il Centro Studi Americani di Roma, l’autore, Prof. Antonio Teti, responsabile del settore sistemi informativi, innovazione tecnologica e sicurezza informatica dell’Università “G. d’Annunzio” di Chieti-Pescara, il Dr. Alberto Manenti già direttore dell’AISE (Agenzia Informazioni e Sicurezza Esterna) dal 2014 al 2018 e il Prof. Robert Gorelick (ex CIA), capo centro della Central Intelligence Agency in Italia dal 2003 al 2008 e già capo divisione della CIA a Washington.

Il libro ha il gran merito di mettere in luce alcune delle capacità spionistiche della Cina e ci pone sicuramente un interrogativo. Siamo in grado, non solo in relazione alla Cina, di affrontare le sfide del futuro in ambito intelligence? Dalle operazioni di disinformazione ai reclutamenti in rete, sono tante le sfide che il nostro paese dovrà affrontare in uno scenario geopolitico complesso, tra nuove guerre, populismi e nuovi nazionalismi.

Le nuove sfide

Secondo Alberto Manenti, è sempre più chiaro che andiamo incontro ad un confronto tra nord e sud del mondo: sud del mondo guidato dalla BRICS (Brasile, Russia, India e Cina) che sta allargando la sua sfera di influenza e a cui appartengono i tre quarti della popolazione globale. E se nei primi anni 2000 i servizi di intelligence cinesi non erano temuti, oggi la loro evoluzione è un fattore di cui tenere conto.

Secondo Teti, la normativa cinese in ambito di intelligence spinge nella richiesta di acquisire informazioni ma anche verso il controllo della popolazione interna, dei dissidenti. Inoltre, in ambito interno è stata attuata l’audace idea di trasformare la società cinese in un mass movement to catch spies. Ovvero si incoraggiano i cittadini qualunque a comportarsi come se fossero delle spie. Ne è testimonianza il fatto che dal 1° agosto 2023, l’MSS (Ministero della Sicurezza di Stato) ha debuttato sulle piattaforme dei social media cinesi attivando canali di comunicazione diretti con la popolazione per segnalare attività di controspionaggio.

Un gap culturale

Con i tre relatori abbiamo anche affrontato un tema particolarmente delicato. Nello scenario internazionale, la sensibilità, o meglio, la cultura cyber è piuttosto avanzata. A fronte di Paesi, come quelli africani, del tutto sprovvisti di apparati tecnologici in grado di competere con altri attori internazionali, ci sono nazioni che investono fiumi di denaro – da molti anni – nel settore: Israele, Stati Uniti, Corea del Nord, Iran. E ovviamente la Cina. Qui, come anche in altre realtà statali, le campagne di reclutamento dei servizi di intelligence, in questo caso con particolare riferimento all’ambito cyber, cominciano presto, sin dai banchi di scuola. In Italia una prassi del genere non esiste. Come è possibile, allora, pensare di competere sul fronte informatico?

Secondo Gorelick, “l’Italia deve reclutare molto di più nelle università e nei gruppi dirigenti e non solo dai reparti di polizia e dai reparti delle forze armate. Inoltre, bisogna lavorare molto di più nelle Ambasciate, dove la spia ha un ruolo importate, di collegamento con i servizi di intelligence del paese ospitante. Per il futuro però abbiamo bisogno di una copertura che vada al di fuori dell’ambasciata. In Italia si sta lavorando con un sistema ancora arcaico“.

C’è bisogno di “clandestini”

Anche Manenti sembra d’accordo con questa visione: “Il problema è storico – ma aggiunge anche un tassello in più -per lavorare in un servizio servono delle skills particolari, questo non vuol dire che in un servizio l’1 o il 2% dei profili non possa venire da amministrazioni dello Stato, ma la maggior parte delle persone devono avere dei profili adatti a fare operazioni di Humint, operazioni sul campo, e che abbiano una idoneità alle operazioni in clandestinità, ovvero fuori dall’ufficialità del servizio. Immaginate quanto sia complicato oggi essere clandestini in un mondo fatto di videosorveglianza e controllo delle impronte digitali, nonché controllo cyber. Per questo i servizi molto spesso usano i legal travelers, ovvero persone che per la natura del loro mestiere sono costrette a viaggiare e, di conseguenza, hanno una copertura naturale professionale, ma non sono agenti dipendenti”.

Ed è proprio grazie ai legal travelers che, forse, sarà possibile non del tutto colmare, ma almeno ridurre la distanza rispetto allo spionaggio cinese. Resta tuttavia un dato di fatto: sul piano tecnologico l’Europa non è in grado di competere con il gigante asiatico. L’Italia meno che mai. Ma allora qual è lo stato della nostra intelligence sul fronte cyber?

Sinergia tra uomo e macchina

Per usare le parole del procuratore Nicola Gratteri, la nostra rete informatica è un colabrodo, ma nonostante questo le eccellenze ci sono. E Manenti ce lo conferma: “L’intelligence ha un comparto cyber già da molti anni” e aggiunge: “chiaramente nei tempi moderni, negli ultimi decenni, è aumentata sempre di più la componente Techint (intelligence riguardante armi ed equipaggiamenti). C’è sempre stata una sorta di disputa tra la componente Techint e quella Humint. Molti agenti sono nati nella componente humint e hanno utilizzato la componente tecnica sempre di più, ma tenete conto che il profilo delle persone deve essere particolare, perché anche l’Ingegnere che lavora nella componente tecnica deve sapersi relazionare con la componente humint”. Insomma, non servono nerd, ma persone in grado di adattarsi ai contesti e di essere al passo con i tempi.

Chi aggredisce l’Italia?

Nel corso della nostra chiacchierata, abbiamo chiesto chi siano gli attori statali più aggressivi dal punto di vista cyber nei confronti del nostro Paese: “la Russia si sta muovendo bene – risponde il professor Teti – ma anche la Cina. La Cina può inoltre contare numericamente su gruppi APT (attori malevoli che operano nell’ombra della rete) molto strutturati, i tecnici informatici cinesi o meglio gli operatori che stanno all’interno delle APT cinesi sono molto bravi e vengono dai gangli dell’esercito, conducono attacchi anche ransomware, finalizzati più all’esfiltrazione dei dati. Ad esempio il gruppo APT 057 ha lanciato una campagna di reclutamento non solo di esperti informatici capaci di condurre attacchi informatici di un certo tipo ma addirittura si avvale anche di collaboratori che vengono retribuiti con criptovalute per condurre attacchi similari, quindi possiamo definirli dei cyber mercenari che lavorano per soldi e questo rende difficile stabilire la paternità di un attacco informatico, ma soprattutto se il gruppo APT è filorusso, filocinese o altro, oppure se un gruppo che semplicemente fa un attacco per soldi è stato ingaggiato da russi, dai cinesi, da Hamas o altro”.

Intelligenza artificiale: arma a doppio taglio?

In un contesto di digitalizzazione universale e in molti casi forzata, l’intelligenza artificiale gioca un ruolo importante. I principali sviluppatori di questa tecnologia si trovano negli Stati Uniti, ma nel suo piano quinquennale per lo sviluppo tecnologico, la Cina mira ad affrancarsi dai fornitori occidentali e a sviluppare un sistema di intelligenza artificiale originale. Un problema non da poco, secondo Teti: “il problema è che quando utilizzeremo una piattaforma realizzata in Cina, Messico o qualsiasi altro contesto non UE, queste piattaforme come saranno formate? Quali saranno i database sui quali verranno addestrate? Queste piattaforme potrebbero essere utilizzate per diffondere informazione o disinformazione e sollevo un altro elemento discusso in seno al comitato dell’IA in Italia: se io conduco un attacco informatico verso una piattaforma di IA e creo le cosiddette “allucinazioni” attraverso informazioni distorte, la piattaforma comincerà a fornire informazioni distorte ad ampio spettro alimentando disinformazione”.

Uno scenario futuro piuttosto verosimile, che impone serie riflessioni e interventi a livello statale non più prorogabili. Di certo le sfide prossime venture, soprattutto nel campo dell’intelligence sotto i suoi molteplici aspetti, vedranno un largo utilizzo delle nuove tecnologie, ma – come giustamente sostenuto da Alberto Manenti – la chiave del successo è la sinergia, il dialogo tra diverse competenze. Dunque ben venga il progresso digitale, ma non perdiamo di vista il fattore umano, che è e sarà sempre determinante.

L'articolo La sfida della Cina: setacciare la rete con le spie reclutate a scuola proviene da InsideOver.

Le prime indiscrezioni hanno iniziato a circolare intorno ai primi giorni di aprile. In particolare, fonti libiche hanno rilanciato la notizia secondo cui un attacco hacker avrebbe colpito una società ricollegabile all’Eni, il gigante italiano dell’energia che in Libia gestisce direttamente o indirettamente giacimenti e progetti per diversi miliardi di Euro. La società in questione, si è scoperto pochi giorni dopo, è la Mellitah Oil&Gas, di cui l’Eni detiene il 50% e ne condivide la gestione con la libica Noc. Si tratta quindi della partecipata che opera all’interno dell’impianto di Mellitah, uno dei più importanti per il colosso italiano in quanto è da qui che parte il gas prelevato dal Paese nordafricano e diretto verso la nostra rete nazionale.

Il 2 maggio scorso sono stati gli stessi portavoce dell’Eni, come sottolineato su AgenziaNova, a confermare l’attacco hacker. L’azione dei pirati informatici non avrebbe compromesso l’operatività del giacimento, né avrebbe colpito strutture direttamente ricollegabili alla società di San Donato. Tuttavia, ci sono almeno due elementi importanti da tenere in considerazione: in primis, sarebbero stati trafugati dati molto sensibili della controllata libica, comprese probabilmente planimetrie degli impianti e dati personali degli impiegati. In secondo luogo, chi ha attaccato è stato sicuramente ben consapevole di recare un danno a un obiettivo italiano e dunque l’azione potrebbe avere anche connotazioni politiche ben definite.

Chi sono gli hacker che hanno attaccato la Mellitah Oil&Gas

Per poter valutare al meglio la situazione, occorre capire chi materialmente ha attuato l’attacco. Il 30 aprile, l’analista libico Mohammed Elgrj ha riportato sul proprio account di X la notizia di una precisa rivendicazione: si tratta, in particolare, di quella del gruppo hacker noto con il nome di RansomHub. Una sigla non certamente nuova nel panorama dei pirati di Internet: “Hanno agito in modo molto pesante già in passato – ha spiegato a InsideOver una fonte diplomatica – sono molto abili e sono noti per la loro particolare modalità di divisione dei proventi delle varie attività illecite”.

Non solo, ma c’è un dettaglio che potrebbe aprire la strada a una considerazione di natura strettamente politica: “Non è un mistero – ha proseguito la fonte diplomatica – che RansomHub sia formato da hacker russofoni“. Un aggettivo quest’ultimo non scelto casualmente: l’unica cosa certa infatti, è che all’interno del gruppo ci sono persone che si esprimono in russo, usano i caratteri cirillici per le proprie comunicazioni, ma non è detto che si tratti di cittadini russi e né tanto meno che si abbia a che fare con mercenari al soldo del Cremlino. In poche parole, RansomHub potrebbe avere le sue basi in territorio russo e operare dalla Russia ma non è al momento possibile stabilire eventuali connessioni con la leadership di Mosca: “Sono certamente professionisti e agiscono su commissione – ha sottolineato la fonte – oppure operano semplicemente per estorcere soldi a qualche grande colosso”.

La rivendicazione scovata da Mohammed Elgrj in effetti non fa riferimento ad alcuna motivazione politica. Vengono invece richiesti soltanto soldi per riscattare le notizie e i dati sensibili trafugati e diffusi sul web: si parla, nello specifico, di almeno un terabyte di informazioni a cui gli hacker sono riusciti a mettere le proprie mani e una richiesta di cinquanta milioni di Dollari per far tornare il tutto tra gli archivi della Mellitah Oli&Gas.

Le possibili spiegazioni dietro l’attacco

Occorre dire che l’Eni non ha confermato il coinvolgimento di RansomHub nell’attacco cyber, né ha rilasciato dichiarazioni ufficiali a proposito di cifre e richieste di riscatto. Ma negli ambienti libici e tra i corridoi diplomatici, la notizia dell’azione attuata dal gruppo russofono è data per certa anche se ben poco si sa di quanto accaduto dopo il cyber attacco: “Il coinvolgimento di un gruppo di hacker russi – ha commentato ancora la fonte su InsideOver – farebbe pensare a un’operazione diretta contro l’Italia e volta a mettere in imbarazzo il governo di Roma. Ma potrebbe anche non essere così, non sono da scartare possibili collegamenti con la situazione interna alla Libia“.

Il riferimento è alle attuali dispute in seno alle autorità di Tripoli, potenzialmente in grado di coinvolgere anche gli interessi italiani: “Si estrae sempre meno petrolio in Libia – è la ricostruzione fatta dalla fonte diplomatica – dunque occorrono investimenti alla ricerca di nuovi giacimenti. Uno di questi è stato individuato non lontano da Gadames ed è corsa all’affidamento: si parla di un accordo tra l’Eni e una società turca, così come di accordi sempre tra la stessa Eni e altre cordate internazionali. Possibile quindi che gli hacker siano stati ingaggiati da qualcuno in Libia per sabotare oppure ostacolare il colosso italiano”.

Nulla è quindi da escludere: la pista interna si reggerebbe anche sul fatto che attualmente nella capitale libica le lotte intestine sono sempre più importanti, con il governo del premier Ddeibah sempre più isolato e osteggiato dallo stesso governatore della banca centrale libica, l’ente cioè in cui finiscono tutti i proventi del petrolio, il quale ha più volte accusato l’attuale capo dell’esecutivo di sperperare i fondi per meri fini elettorali e propagandistici.

Perché l’azione dei pirati informatici può avere anche una connotazione politica

La pista interna però non esclude quella estera. Del resto, gli appalti sull’oro nero non fanno gola soltanto alle fazioni libiche e non sono pochi gli attori internazionali interessati ai nuovi giacimenti e alle nuove esplorazioni. Questo riconduce al tema introdotto in precedenza: chi ha attaccato, era comunque ben consapevole di recare un grave danno, anche di natura politica, all’Italia. L’imbarazzo di Roma e della sua principale azienda impegnata nell’ambito energetico, potrebbe non essere stato il principale obiettivo del gruppo che ha rivendicato l’attacco ma, al tempo stesso, potrebbe aver rappresentato un effetto collaterale non così indesiderato.

L’episodio ad ogni modo suona come un campanello d’allarme e non solo per l’Italia: in una fase in cui il confronto tra l’occidente e la Russia è arrivato a livelli molto aspri per via della guerra in Ucraina, l’attacco di un gruppo di hacker russofoni in una società partecipata dell’Eni potrebbe segnare, tra le altre cose, la necessità per il Vecchio Continente di dotarsi di strumenti sempre più importanti nell’ottica della cybersecurity.

L'articolo Libia, gli impianti Eni nel mirino degli hacker proviene da InsideOver.

Se gli hacker russi sono i detentori di una fama sinistra riconosciuta in tutto il mondo occidentale – con particolare riferimento all’Italia -, si parla molto meno, e questo dovrebbe far riflettere, degli hacker cinesi. Parlare di hacker è probabilmente fuorviante: come per i russi dovremmo piuttosto parlare di gruppi organizzati di esperti informatici, più o meno riconducibili a organismi para-statali.

Un grande cyber-fratello

Già, perché quando si parla del colosso cinese bisogna pensare ad un grande organismo nel quale più elementi concorrono alla cosiddetta suck information, vastissime operazioni di acquisizione di dati e informazioni. La Cina può contare su una moltitudine di agenzie governative e private per gestire e filtrare l’enorme afflusso di informazioni sugli individui o gruppo di individui oggetto di indagine. Stiamo parlando di un paese che è in grado di applicare su larga scala le cosiddette operazioni di Virtual Human Intelligence per le acquisizioni di informazioni sugli utenti della rete.

Forse oggi è questo il carattere distintivo del gigante asiatico: il significativo utilizzo di strutture accademiche, aziende private e centri di ricerca per le attività di raccolta di elementi informativi che rende difficile ai Paesi esteri una ricerca standardizzata di queste operazioni. Inoltre, sembrerebbe che la Cina abbia completamente integrato nelle sue discipline cyber le operazioni VHUMINT. Se a questo sommiamo l’enorme potere ispettivo nei confronti della propria popolazione per verificarne la lealtà al partito, il mix è qualcosa di cui forse dovremmo preoccuparci. Ma torniamo al tema iniziale e poniamoci una domanda: in questo scenario le attività hacker che ruolo hanno?

Paperwall: la rete della disinformazione

Della loro incidenza e delle loro scorribande nel mare senza fondo della rete ne abbiamo parlato con Alberto Fittarelli, analista ed esperto informatico nell’ambito del contrasto alla disinformazione. Per tanti anni dipendente di Meta, oggi Fittarelli lavora per il Citizen Lab dell’Università di Toronto, Laboratorio impegnato nella ricerca e nella divulgazione di contenuti riguardanti i diritti umani e la global security.

Recentemente, come riportato nel sito di informazione Formiche.net, Fittarelli è stato autore di una importante ricerca ripresa dai media di tutto il mondo che ha portato al disvelamento di una intricata rete della disinformazione denominata Paperwall, una rete che fa riferimento al colosso cinese di servizi cloud Tencent, considerato dall’intelligence americana come emanazione dei servizi segreti cinesi. Quale che sia la vera natura di questa imponente rete, Fittarelli ha avuto il merito di scardinarla, anche se, come lui stesso ammette, questa poteva essere “una versione beta, una versione prototipo di quella che potrebbe diventare un’operazione, magari in futuro, più influente, più efficace”.

In Italia la rete Paperwall si dirama con siti di disinformazione dai nomi fuorvianti: Venezia Post, Napoli Money, Roma Journal, nomi che potrebbero indurre utenti meno avveduti a prestare fede a notizie diffuse con un obiettivo preciso: fare disinformazione e colpire i dissidenti cinesi residenti all’estero. Se infatti il grande fratello cinese spegne in patria ogni forma di “disobbedienza civile”, all’estero bisogna mettere in atto strategie differenti in grado di penetrare le maglie della classica informazione occidentale.

Un’ossessione per le informazioni

Ma a Fittarelli abbiamo fatto una domanda ben precisa: quanto sono bravi gli hacker cinesi? O meglio, in “cosa” sono bravi? Premettendo che il termine “hacker”, di immediata comprensione per un pubblico di non addetti ai lavori, viene qui utilizzato con un’accezione di sintesi:

“Gli hacker cinesi possono essere bravissimi. I loro servizi segreti hanno una particolare predisposizione a esfiltrare informazioni sensibili per il doxxing dei dissidenti residenti all’estero, cioè per esporne le informazioni private. Foto, indirizzi, qualsiasi tipo di informazione può diventare un obiettivo. Nell’ambito del mio lavoro, tuttavia, gli hacker restano in secondo piano: occupandomi di disinformazione, abbiamo spesso a che fare con agenzie esterne che non sono equipaggiate in senso stretto per operazioni di crimine informatico ad alto livello. Per quanto riguarda la rete Paperwall, dietro a tutto si celava un’agenzia di marketing. In questo caso, la sofisticatezza dei metodi non è molto alta, ma non per questo la loro azione è meno efficace”.

I rischi dell’Intelligenza Artificiale

Dietro la rete di disinformazione cinese, dunque, non un esercito di esperti informatici pronti a colpire target precisi con malware aggressivi e all’avanguardia, ma una pletora di soggetti con competenze tecniche di livello medio che puntano ai grandi numeri. Questa scelta non va intesa come approssimazione, quanto piuttosto come una precisa strategia che in questo caso era in stato embrionale, ma che, con l’avvento dell’Intelligenza artificiale, potrebbe diventare molto più incisiva e di difficile individuazione:

“Con l’intelligenza artificiale – ci spiega Alberto Fittarelli – sicuramente quello che succede in una campagna informativa, lo scraping, quindi l’estrazione, il rubare i contenuti da siti che esistono veramente e localmente in Italia, per esempio il Fatto Quotidiano o altri giornali anche locali, dai quali il contenuto viene sostanzialmente copiato e incollato, diventerebbe un’operazione superflua: l’intelligenza artificiale in futuro potrebbe generare automaticamente questo tipo di contenuti nella lingua locale e permettergli di rendere unici i pezzi. Mentre adesso li identifichiamo come articoli che sono stati copiati e incollati, in futuro potrebbero diventare unici, firmati da un loro brand. Roma Journal, per esempio, potrebbe diventare più credibile ad un occhio meno esperto. Inoltre, si potrebbe venire a contatto con questo tipo di siti attraverso una campagna promozionale. Con questo investimento il lettore finale farà molta fatica a distinguere un sito legittimo da uno che in realtà è gestito da Shenzen, come in questo caso”.

Profilo basso

Uno scenario inquietante, dove l’informazione è il vettore principale per veicolare una propaganda volta a colpire, screditare, mistificare la realtà. Uno scenario in cui il giornalismo si svuota di ogni etica e contenuto, prestandosi al servizio di un potere dai tentacoli lunghi e insidiosi.

Ad Alberto Fittarelli abbiamo chiesto come si articola la “giornata tipo” di un analista preposto al contrasto della disinformazione online: “Posso dire che il nostro è un lavoro di monitoraggio costante, di studio, di analisi, dove i social network giocano un ruolo di primo piano”.

Di certo il disvelamento della rete Paperwall e il conseguente clamore generato nella comunità internazionale è stato mal digerito dalla Cina, che ha definito l’operazione di Fittarelli e del Citizen Lab come un’opera di disinformazione.

L’attenzione resta dunque alta. Come sottolineato da Fittarelli, questa può essere interpretata come una prova generale neanche particolarmente sviluppata sotto il profilo tecnico. Una sorta di “stress test” per capire quali possano essere gli indirizzi di azioni future, certamente meglio orchestrate.

Al termine dell’intervista, resta una certezza: i cinesi sanno muoversi a loro agio nel mondo oltre lo schermo. Ma in una cosa sono ancora più bravi: non emergere come i primi della classe. E questo sì che è il vero motivo per temerli.

L'articolo Il grande fratello cinese: PsyOps, repressione e disinformazione proviene da InsideOver.

Guerra fredda 3.0

Che la guerra fredda non sia mai finita è persino banale sostenerlo. Ma se volessimo essere ancora più precisi, per descrivere lo scenario che stiamo vivendo dal 24 febbraio 2022 – il giorno in cui è iniziata l’invasione russa dell’Ucraina – dovremmo utilizzare la definizione che si trova nell’ultimo rapporto CLUSIT, dove si parla di una “guerra cibernetica diffusa“. Una guerra silenziosa, tra operazioni di falsa bandiera e psyops, tra propaganda e fake news, troll e disinformazione. Le manifestazioni di questo tipo di guerra non sono certo eclatanti come lo scoppio di una bomba, ma alla lunga producono effetti cui è poi difficile trovare un rimedio, perché spesso si palesano all’improvviso. E in un mondo fortemente digitalizzato, dove l’utilizzo dell’Intelligenza Artificiale presenta ancora dei pesanti vulnus, non è una situazione da sottovalutare.

In questo scenario di guerra ibrida, gli attori principali si confermano sempre gli stessi. Certo, l’equilibrio dei poteri è stato sicuramente redistribuito a partire dalla caduta del Muro di Berlino, ma nonostante l’imporsi – soprattutto sulla scena cyber – di paesi come la Corea del Nord, la Cina, la Siria, Israele, a dominare la scena è sempre lei: la Russia.

Una leggenda nera

A torto o a ragione, i russi – e in questo caso gli hacker russi – vengono sempre tirati in ballo. Sono almeno dieci anni che ogni qual volta si verifica un attacco informatico di particolare rilevanza o un nuovo malware comincia a diffondersi viene puntato il dito contro di loro. Ma quanto c’è di vero? I russi sono davvero così temibili nel mare senza fondo della rete? Scindere la realtà dalla leggenda nera che avvolge gli hacker russi non è impresa facile. Identificare in modo incontrovertibile l’autore di un cyber attacco è molto difficile, soprattutto se l’autore è bravo a nascondersi.

Soprattutto negli ultimi anni sono proliferate le azioni di falsa bandiera e non di rado si è cercato di attribuire ai russi operazioni che invece loro non erano. Eppure qualcosa deve aver alimentato questa fama sinistra. Un fondo di verità deve pur esserci. Per questo abbiamo provato a vederci chiaro.

Nome in codice: Daria

Arriviamo a lei dopo un vorticoso giro di telefonate e dopo un’attenta fase di studio. E anche quando ci incontriamo in un luogo rigorosamente pubblico e molto rumoroso, lei resta guardinga. Non ha mai parlato con dei giornalisti. Se è per questo, non ha mai parlato con nessuno del suo lavoro. Per chi la conosce con il suo nome e cognome, è una semplice impiegata. Per chi bazzica i bassifondi della rete, tra i tanti nickname adottati c’è Daria.

Potremmo definirla un’hacker, ma il termine non rende davvero l’idea. Daria è probabilmente una tra i maggiori esperti in Italia – e forse in Europa – di sicurezza informatica. Adesso lavora in proprio, prestando la sua bravura per delle consulenze, e il suo passato è un grande punto interrogativo. Non ci dice esattamente per chi ha lavorato, “ho servito le istituzioni”.

Abbiamo cercato proprio lei per un semplice motivo. Nel momento in cui abbiamo cominciato a interessarci agli hacker russi, tutte le fonti con cui abbiamo parlato ci hanno detto che era con lei che avremmo dovuto parlare. Nessuno, ci è stato detto, conosce la materia meglio di lei.

La sicurezza informatica non esiste

Di fronte a un caffè, la prima cosa che ci dice è questa: “In tanti anni di lavoro soltanto di una cosa sono certa: la sicurezza informatica non esiste. L’unico computer sicuro è un computer non connesso a internet”. Fin qui niente di nuovo, è una frase piuttosto ricorrente tra chi si occupa di cybersecurity.

Andiamo dritti al punto e le chiediamo se la fama degli hacker russi sia davvero così meritata. Ne abbiamo sentite davvero di tutte i colori e vorremmo capire con lei se anche sotto il profilo tecnologico siano davvero così avanzati.

“Qui in Italia si comincia adesso a parlare di certe cose, a prendere consapevolezza che il mondo è cambiato. In paesi come la Russia, non c’è stato un momento in cui hanno iniziato a interessarsi di tecnologia e di tematiche cyber. Si tratta di qualcosa che hanno sempre avuto. Potrei parlare anche di Israele e di Stati Uniti, ma visto che ti interessano i russi, posso dirti che sin dagli albori di internet loro copiavano i computer occidentali, specificatamente americani, e li riadattavano alle loro versioni. C’è poi da dire che in Russia sono particolarmente predisposti alla matematica, all’ingegneria, insomma, a tutte quelle discipline che consentono di avere una marcia in più in ambito informatico. Basta guardare attività come quelle del gruppo Turla”.

Un esercito di hacker

Killnet, CozyBear, Uroburos, APT29, The Dukes. Sono solamente alcuni dei nomi di veri e propri gruppi strutturati di hacker protagonisti di alcune operazioni tanto spettacolari quanto devastanti. Tra questi, uno dei più famosi – e temuti – per gli addetti ai lavori, è il gruppo “Turla” con le sue diverse diramazioni tipo “Tiny Turla”, “Light Turla” ed “Epic Turla”. Ma chi sono e perché sono così celebri nella comunità hacker?

“Perché hanno bucato mezzo mondo” è la risposta di Daria , che dopo aver sorbito il suo caffè aggiunge: “Si crede che dietro vi sia l’FSB“. Quando si dice guerra fredda. L’FSB è il diretto discendente del Kgb di memoria sovietica. Un cordone ombelicale mai reciso.

“Il gruppo Turla è responsabile di attacchi ad altissimo livello con tecniche molto sofisticate. Tra le ultime vittime famose c’è Microsoft”.

Le nuove frontiere dello spionaggio

L’argomento ci interessa. Chiediamo alla nostra fonte a cosa siano finalizzati gli attacchi di questo gruppo di hacker, se a distruggere i sistemi o magari a ricattare: “No – ci risponde – il ricatto lascialo ai criminali. Questi non sono criminali, queste sono spie. Una volta bucato un sistema, puntano a restarci dentro il più a lungo possibile, indisturbati, nascosti, a carpire informazioni”.

E per fare questo si avvalgono solo di bravura tecnica o viene sfruttato anche il fattore umano? Daria sembra rifletterci un attimo: “Per quella che è la mia esperienza, la maggior parte della bravura è tecnica, però sì, la prima fase dell’attacco sfrutta quasi sempre il fattore umano”.

Fin qui il racconto è affascinante, ma non abbiamo ancora quello che cerchiamo: la ragione del persistere di una leggenda nera attorno agli hacker russi. Quello che abbiamo sentito dalla fonte è esattamente ciò che abbiamo sentito da altre fonti riguardo gli hacker israeliani, cinesi, americani e via discorrendo. Cerchiamo allora di entrare più nello specifico e chiediamo se i russi si distinguano per qualche peculiarità. “Fanno cose fantascientifiche. E parlo per chi è del mestiere”.

Il malware fantasma

“Questi gruppi, in particolare Turla, hanno un malware praticamente invisibile, difficilissimo da reversare”. Con questo termine si intende la possibilità di “smontare” il malware per capirne il funzionamento e, se possibile, utilizzarlo contro l’aggressore o comunque renderlo inoffensivo. In questo caso, stando a quanto ci viene detto, non si tratta di qualcosa alla portata di tutti.

Questo tipo di malware, a differenza di altri, non ha nome. O meglio, ne ha uno per ciascuna azienda che ne è rimasta vittima. Daria ci dice che è in circolazione da “decine di anni” e che viene continuamente aggiornato e migliorato. Sembra l’ennesimo tassello di questa leggenda e la vaghezza con cui la nostra fonte ce ne parla ci lascia piuttosto scettici. Dunque tentiamo di carpire altre informazioni. Per esempio: in Italia ci sono state vittime di questo malware fantasma?

“Non lo posso dire.. questo non te lo posso proprio dire”. Per noi è già una risposta. Chiediamo se la o le vittime siano di livello governativo. Daria improvvisamente sembra a disagio. Sul suo viso si disegna un sorriso tirato: “Diciamo che non posso confermare né smentire. E non chiedermi più niente di questo argomento”. Va bene, torniamo allora all’aspetto tecnico. Chiediamo alla nostra fonte di spiegarci il funzionamento di questo malware.

Fantascienza

“Fa cose tecnicamente molto spinte. In generale, i virus sono un programma come un altro. Nei computer ci sono dei confini entro i quali ogni programma può agire. Questi confini sono dati, per esempio, dai permessi: un programma può fare determinate cose e se vuole fare di più, ha bisogno dei permessi superiori, che però non gli vengono dati automaticamente: devi essere tu a consentirgli di ottenerli”.

Ma a volte, anche l’azione dell’utente non basta. Ci sono dei privilegi a cui neanche lui ha accesso. Un sistema che ricorda quello del NOS [Nulla osta sicurezza].

“Per fare certe cose i privilegi di un utente, anche se è amministratore del computer, non bastano. Serve un possesso che va in basso, nel sistema operativo”

Tradotto: alcune funzioni dei computer sono inaccessibili anche al più esperto degli utenti. Parti in cui l’accesso è consentito solo al sistema operativo. Insomma, non c’è umano che tenga, siamo nel regno delle macchine.

“Immagina il computer come composto da due strati: uno si chiama User land, la terra dell’utente. Dove insomma si svolge la tua attività. L’altro strato si chiama Kernel land, la parte inaccessibile, il nocciolo del sistema operativo, che è in grado di fare un bel po’ di cose, tipo parlare con l’hardware e con tutte le altre componenti del computer”.

In poche parole, il sistema operativo ha i privilegi massimi, del tutto inaccessibili alla parte superiore, la User land.

“Una delle tante cose che questi signori sono in grado di fare – ci dice la fonte con un tono tra il solenne e l’ammirato – è arrivare ad avere questo tipo di privilegi, gli stessi permessi che avrebbe il kernel, e quindi fare nello User land qualsiasi cosa”.

A onor del vero, la fonte ci dice che molto probabilmente anche altri paesi hanno hacker in grado di fare queste cose. In primis gli Stati Uniti. Se non ne abbiamo certezza è solo perché fin ora sono soltanto i russi ad essere stati scoperti. Ecco la prima falla nella leggenda nera. Nessuno è infallibile.

“Anche noi, fino a qualche anno fa, eravamo in grado di fare certe cose” ci dice con un mezzo sorriso.

La situazione italiana

Cogliamo la palla al balzo e chiediamo quale sia la situazione in Italia: siamo in grado di difenderci? E di contrattaccare?

“Sulla difesa ce la caviamo. Contrattaccare? Lo vedo improbabile. Le persone capaci ci sarebbero anche, il vero punto è che come paese non siamo organizzati a quei livelli, non spendiamo tutti i soldi che spendono altre nazioni per implementare le forze in ambito cyber. Anche a livello legislativo ci sarebbe tanto da fare, noi, al solito, siamo un po’ indietro. La nostra speranza è quella di essere trainati dall’Europa”.

La fonte ha ragione e lo dimostra la disarticolazione, il 20 febbraio, del gruppo LockBIT. L’operazione Cronos è stata portata a termine da una colazione composta da Europol, FBI e polizia postale inglese. Una grande vittoria che deve fare scuola, soprattutto per l’Italia.

L’attacco a SolarWinds

Tornando alle prodezze degli hacker russi, la nostra fonte cita come una delle maggiori operazioni di spionaggio andate a buon fine l’attacco, avvenuto nel 2020 da parte del gruppo APT29, a SolarWinds, fornitore americano di soluzioni software per la gestione di infrastrutture informatiche. Tra i suoi clienti enti governativi e aziende di altissimo livello, americane e non. Quali siano state le aziende italiane colpite non è dato sapersi.

“Un attacco pazzesco. Davvero pazzesco”.

Cyberspionaggio e geopolitica

Un aspetto molto interessante di tutto questo discorso fatto con la nostra fonte è che, attraverso l’attività dei gruppi hacker, in questo caso russi, si può in qualche modo fare alcune previsioni degli scenari geopolitici prossimi venturi. Il gruppo Tiny Turla, per esempio, nel corso delle ultime settimane ha concentrato la propria attività di spionaggio sulle ONG polacche. Quale possa essere la ragione è ovviamente difficile dirlo con certezza, ma possono essere date diverse interpretazioni e, visto quanto sta accadendo in Ucraina, nessuna di queste è particolarmente confortante.

Una leggenda meno nera

Al termine dell’incontro con Daria resta una consapevolezza: quella di voler evitare generalizzazioni. Quanto abbiamo appreso sugli hacker russi ci ha chiarito alcune cose: la fama è sicuramente meritata. Sono bravi, ma non necessariamente i “più” bravi. Sono tanti i paesi che investono cifre astronomiche in campo cyber. Alcuni li abbiamo già citati, ma tanto per essere chiari, quello che fanno i russi lo fanno probabilmente ancora meglio gli israeliani, che infatti non sono stati – almeno che si sappia – colti con le mani nel sacco. E come gli israeliani gli americani, i cinesi, gli iraniani e via dicendo.

Quello che rende più temibili i russi è un fattore puramente psicologico. Quando pensiamo ai russi, al netto di quello che sta accadendo in Ucraina, pensiamo inevitabilmente all’Unione Sovietica, al terrore staliniano, ai servizi segreti forse più celebri al mondo, a storie entrate nel mito. Ma se oltre a temerli, imparassimo anche qualcosa da loro, a partire dal modo di concepire il cyber spionaggio, fino ad arrivare all’organizzazione di questi gruppi strutturati come delle vere e proprie unità di combattimento, forse smetteremmo di essere vasi di coccio in mezzo a tanti vasi di ferro.

L'articolo Hacker russi: tra mito e realtà proviene da InsideOver.

La popolazione ucraina intrappolata nei territori occupati dai russi è in grave pericolo: chi si affida ai portali online per avere notizie su un militare ucraino disperso, prigioniero o deceduto in realtà sta consegnando informazioni preziosissime ai russi che stanno dietro a questi siti falsi. Così, Mosca avrebbe già profilato 170mila militari di Kiev, più del doppio delle vittime confermate dalle forze armate ucraine. Chi viene scoperto a collaborare con l’esercito ucraino dai territori illegalmente annessi alla Federazione Russa rischia di essere trovato, detenuto e deportato.

• Scopri di più: La Russia spia l’esercito ucraino usando siti web falsi

L'articolo Ecco come i siti web russi spiano l’esercito ucraino proviene da InsideOver.

La partnership tra Russia e Corea del Nord, sempre più solida dopo il sostegno dato da Pyongyang alle manovre di Mosca in Ucraina, rischia di andare in testacoda sullo spionaggio? Questo è quello che avrebbero scoperto i tecnici di SentinelOne, società di sicurezza informatica e attore primario del campo cyber con sede a Mountain View in California, analizzando la presenza di presunte backdoor inserite da gruppi di hacker nordcoreani nei server di Npo Mashinostroyeniya, un’importante azienda produttrice di missili che rifornisce le armate di Vladimir Putin ed è comunemente nota come Npo Mash.

I SentinelLabs, la struttura interna di SentinelOne dedicata alla ricognizione sulle minacce cyber nel mondo, hanno pubblicato sul loro sito un’ampia rassegna legata alla presunta infiltrazione nordcoreana: “A metà maggio 2022, circa una settimana prima che la Russia ponesse il veto a una risoluzione delle Nazioni Unite per imporre nuove sanzioni alla Corea del Nord per i lanci di missili balistici intercontinentali che potrebbero trasportare armi nucleari, l’organizzazione vittima ha segnalato internamente l’intrusione”, scrive SentinelOne. L’intrusione avveniva tramite la creazione di provider mail interni che estraevano file e dati e li portavano all’esterno all’insaputa dei tecnici di Npo Mash. Una di queste mail truffa, caricata da un tecnico di Npo Mash su un portale di assistenza utilizzato da utenti di tutto il mondo, sarebbe stata individuata dai tecnici di SentinelOne per avviare l’indagine.

“Durante la nostra indagine, abbiamo identificato il file sospetto in questione come una versione della backdoor del sistema operativo Windows OpenCarrot, precedentemente identificata da IBM XForce come parte delle attività del gruppo Lazarus”, aggiungono i tecnici Usa, la cui analisi è stata fornita a Reuters che l’ha fatta validare da tecnici terzi che l’hanno ritenuta affidabile. Lazarus, lo ricordiamo, è una delle principali organizzazioni di hacker attive sul proscenio internazionale facenti direttamente riferimento al governo del presidente Kim Jong-un di Pyongyang.

Da anni la Corea del Nord utilizza armate hacker corsare per operare infiltrazioni in istituzioni bancarie per trasferire denaro e valuta pregiata sui suoi conti, nelle istituzioni militari dei Paesi rivali per carpirne i segreti e negli apparati industriali critici per acquisire tecnologie critiche.

Lazarus è stata protagonista di operazioni come il furto dati alla Sony del 2014, il furto di un miliardo di dollari alla banca centrale del Bangladesh nel 2016 tramite attacco hacker e il maxi attacco del virus WannaCry del 2017. Raramente però l’attacco è arrivato a colpire Paesi apparentemente vicini alla Corea del Nord come la Russia, che dall’invasione dell’Ucraina ha stretto i rapporti col vicino in Estremo Oriente.

Poche settimane fa Sergej Shoigu, ministro della Difesa russo, ha compiuto la prima visita a Pyongyang dalla fine dell’Unione Sovietica a oggi di un titolare del suo dicastero incoronando le forze armate nordcoreane come “le più forti al mondo”. Kim ha poi mostrato i muscoli mettendo in rassegna, negli ultimi giorni, i ritrovati più recenti della sua tecnologia missilistica: “Nel corso degli ultimi cinque anni, la tecnologia missilistica della Corea del Nord è migliorata al punto da trasformarsi in una minaccia da prendere seriamente in considerazione, con missili più difficili da intercettare e capaci di eludere i sistemi di difesa controllati da Corea del Sud, Giappone e Stati Uniti”, ha scritto Federico Giuliani su queste colonne. Ebbene, l’inchiesta SentinelOne lascia l’ombra del sospetto che dietro questi successi ci possa essere anche il furto tecnologico alla Russia, Paese tra i più attivi nella ricerca balistica negli ultimi anni.

Per Reuters in particolar modo molto attenzionate sarebbero le tecnologie di rifornimento rapido dei missili che permettono ai vettori di non essere bersaglio per un tempo troppo lungo durante il caricamento del carburante. La Corea del Nord a tal proposito ha messo in linea a luglio il suo nuovo Hwasong-18 a propellente solido: può centrare con la conquista di questa tecnologia da parte di Pyongyang l’infiltrazione dentro Npo Marsh? Non è da escludere. Pyongyang resta in ambiti come il cyber e lo spionaggio un vero e proprio cane sciolto. E non guarda in faccia amici o alleati per raggiungere i suoi obiettivi: consolidare l’assicurazione sulla vita data dal combinato disposto tra armi nucleari e dotazione missilistica. Garanzia di sopravvivenza per il regime. Al cui consolidamento gli hacker possono dare, con le loro mosse asimmetriche, un contributo fondamentale.

L'articolo Gli uomini di Kim e il furto dei dati: il misterioso blitz contro la fabbrica dei missili russi proviene da InsideOver.