Questo sito utilizza cookies tecnici (propri e di terze parti) come anche cookie di profilazione (di terze parti) sia per proprie necessità funzionali, sia per inviarti messaggi pubblicitari in linea con tue preferenze. Per saperne di più o per negare il consenso all'uso dei cookie di profilazione clicca qui. Scorrendo questa pagina, cliccando su un link o proseguendo la navigazione in altra maniera, acconsenti all'uso dei cookie Ok, accetto

Cinquantamila.it La storia raccontata da Giorgio Dell'Arti

 2016  ottobre 21 Venerdì calendario
La storia raccontata da Giorgio Dell'Arti 

21 ottobre 2016

APPUNTI PER GAZZETTA - STATI UNITI SOTTO ATTACCO DEGLI HACKER


REPUBBLICA.IT

89
WASHINGTON - Twitter, Spotify, Cnn, New York Times, Financial Times, Boston Globe, The Guardian, Netflix, Airbnb, Visa, eBay e Reddit. Sono solo le più importanti realtà della rete rimaste inaccessibili per almeno due ore a causa dell’attacco hacker all’infrastruttura server del web-hoster Dyn, con base nel New Hampshire. Gli hacker hanno colpito intorno alle 7 ora americana (le 13 ora italiana) e dopo circa due o tre ore di "buio" i siti sono tornati online. Gli utenti europei e asiatici non sembrano avere incontrato problemi. Una portevoce del Dipartimento per la sicurezza interna ha dichiarato che è in corso un’indagine per accertare "tutte le possibili cause" dell’accaduto. All’indagine, riferiscono altri due dirigenti federali, dovrebbe partecipare anche l’Fbi.

Dyn Inc. sul suo sito precisa che i blackout si sono avvertiti soprattutto sulla costa orientale Usa e non in Europa. La compagnia aggiunge di essere focalizzata su un attacco "ddos" (distributed denial of service), che consiste nel sovraccaricare di traffico i server presi di mira con informazioni Inutili e richieste a raffica di caricamento di pagine web. "Al momento - assicura Dyn Inc. - il servizio è ripreso regolarmente".

Separatamente rispetto a Dyn Inc., Amazon fa sapere con un bollettino diffuso attraverso il suo "service health dashboard" di aver identificato l’origine dei problemi riscontrati dai suo utenti nella East Coast - senza però fornirne ulteriori dettagli - e di essere "attualmente al lavoro per risolverli". Non è chiaro se anche Amazon rientri tra le "vittime" dell’attacco a Dyn Inc. o se sia stata a sua volta oggetto di una diretta offensiva dei pirati informatici.

Una mappa pubblicata da un sito specializzato in alta tecnologia, Dailydot, ha mostrato come l’attacco sia stato localizzato in gran parte del Nordest degli Stati Uniti, a New York e Washington e lungo il confine canadese. Anche una piccola parte del Texas del Sud è stato coinvolto.

E’ solo l’ultimo degli attacchi in serie registrati in questo periodo negli Stati Uniti e in altri Paesi industrializzati. Yahoo ha recentemente ammesso di aver subito la pesantissima intrusione dei pirati informatici, con la violazione degli account di 500 milioni di suoi utenti. Nel mirino anche il settore finanziario e alcune banche centrali, tanto che i Paesi del G7 hanno deciso di adottare a metà ottobre una serie di regole di protezione. Ma gli attacchi informatici
hanno lasciato il segno anche sulla campagna presidenziale degli Stati Uniti con la pubblicazione effettuata da WikiLeaks di migliaia di e-mail di manager vicini alla candidata democratica Hillary Clinton.

HACKER CINESI
ROMA - Lo scorso 11 luglio, giorno precedente la sentenza del tribunale dell’Aia sulla sovranità nel Mar Cinese meridionale, conteso da Cina e Filippine, funzionari di un governo straniero in visita a bordo della portaerei Usa "Ronald Reagan", di pattuglia nell’area, sono stati inondati di mail infettate dal malware Enfal. Lo rivela al Financial Times la FireEye, società di sicurezza informatica americana, secondo la quale responsabile dell’attacco informatico è un gruppo di hacker con base in Cina che in passato ha provato a compromettere le reti di difesa di Usa e Vietnam.

Gli hacker hanno inviato una e-mail mascherata da documento ufficiale della portaerei al personale di un governo straniero che si trovava in visita a bordo. Obiettivo dell’attacco, infiltrarsi nei sistemi di sicurezza della portaerei e carpire informazioni sulle manovre Usa. Anche se, precisa una fonte militare al FT, non ci sono per ora prove che leghino l’azione al governo di Pechino, né indicazioni che l’operazione sia andata a buon fine. In luglio, i cinque giudici della Corte permanente arbitrale dell’Aja hanno rigettato ogni pretesa cinese, accusando Pechino di aver violato la sovranità di Manila costruendo nel tratto di mare atolli artificiali attraverso cui avanzare le sue rivendicazioni territoriali.

Il malware Enfal, scrive il Financial Times, può essere utilizzato per copiare informazioni dal computer infettato o scaricare altri virus. Bryce Boland, direttore tecnologico di FireEye per l’area Asia-Pacifico, ha spiegato al giornale: "Molti governi e strutture militari nel Sud-Est asiatico mancano di controlli di cyber-sicurezza che possano effettivamente rispondere a un genere di minaccia di livello così elevato". Sempre in luglio, un uomo d’affari cinese è stato arrestato per il ruolo svolto in una presunta cospirazione per il furto di dati militari dalle compagnie legate alla Difesa degli Stati Uniti.

Intanto gli Stati Uniti tornano a sfidare le mire di Pechino sul 90% delle acque e delle isole del Mar Cinese meridionale, che restano in piedi nonostante l’arbitrato della giustizia internazionale. Il Pentagono riferisce che un cacciatorpediniere della marina Usa, la "Uss Decatur", è transitato in prossimità di una delle isole dell’arcipelago delle Paracel, rivendicato anche dal Vietnam oltre che da Cina e Filippine. Operazione tecnicamente definita a garanzia del "diritto di transito" in acque internazionali "in modo legale, senza altre unità di scorta e senza causare alcun incidente", ha spiegato uno dei portavoce del Pentagono, il comandante Gary Ross, contro gli Stati costieri che "non possono illegalmente limitare i diritti di navigazione, di libertà e l’uso legale del mare".

Secondo il ministro della Difesa cinese Chang Wanquan, di "illegale" e "provocatorio" c’è solo il pattugliamento americano delle acque contese, a cui si è detto "assolutamente contrario" con tanto di formale protesta presentata alla controparte statunitense. Il ministro ha anche riferito che due navi da guerra cinesi hanno intimato al cacciatorpediniere americano di allontanarsi e che la presenza militare cinese nell’area "aumenterà di conseguenza". Il tutto mentre il presidente filippino Rodrigo Duterte, dopo aver ripetutamente fatto dichiarazioni di ostilità verso gli Usa e aver stretto nuove alleanze con la Cina con una visita a Pechino, tornato in patria ha affermato di non voler "rompere con gli americani perché sarebbe contro gli interessi del mio Paese".

Era stato il suo precedessore, Benigno Aquino, a presentare ricorso all’Aja, ottenendo una vittoria totale. I giudici avevano sostenuto che la rivendicazione di Pechino non ha alcuna legittimità nè base storica. In precedenza, aerei e navi da guerra Usa si erano avvicinate alle isole artificiali create dal nulla da Pechino utilizzando sabbia, cemento e traverse di acciaio per trasformare barriere coralline appena affioranti sul pelo dell’acqua in vere e proprio basi navali ed aeree, alcune con piste d’atterraggio lunghe fino a 3 km. Su queste basi artificiali poggiano anche le rivendicazioni di Pechino sulle acque circostanti. Ma la convenzione Unclos sul diritto del mare esclude alcun tipo di sovranità intorno alle strutture artificiali, limitandola a quelle naturali.

Dopo la visita di Duterte a Pechino, Filippine e Cina si sono dette d’accordo, come rende noto un comunicato congiunto, sulla necessità di "aumentare la cooperazione nel Mare Cinese Meridionale" e hanno raggiunto un accordo per istituire un comitato congiunto di Guardia Costiera. Entrambe le parti hanno riaffermato l’importanza di "mantenere e promuovere la pace e la stabilità, la libertà navigazione e di sorvolo sul Mare Cinese Meridionale". E "di affrontare le dispute territoriali e giurisdizionali con mezzi pacifici, senza ricorrere alla minaccia all’uso della forza,
attraverso consultazioni amichevoli e negoziati tra gli Stati sovrani direttamente coinvolti. In accordo con i principi universalmente riconosciuti del diritto internazionale, inclusa la Carta delle Nazioni Unite e la convenzione delle Nazioni Unite sulla Legge del Mare (Unclos) del 1982".

CORRIERE.IT
Il Financial Times lo ha definito «un enorme cyber-attacco», e l’aggettivo non pare esagerato se si pensa al numero – centinaia – di siti coinvolti. E al loro nome: da quello del quotidiano economico stesso al New York Times, da Twitter a Pinterest, da Reddit a Spotify e eBay (qui l’elenco completo). Si è trattato di un vero blackout, pur delimitato a livello geografico: a soffrire dell’inacessibilità sono stati soprattutto gli utenti americani, e in particolar modo quelli residenti nella costa est del Paese.

Attacco Ddos

L’obiettivo dell’attacco in stile Ddos – sigla ormai conosciuta ai più che significa “Distributed denial of service”, un’enorme numero di “chiamate” continue che abbattono i server – è stata l’azienda Dyn del New Hampshire, quello che si può definire un elenco telefonico della Rete. Il lavoro della Dyn è di tradurre gli indirizzi che comunemente digitiamo nei browser – come Corriere.it - negli indirizzi Ip, i numeri di riferimento che la Rete riconosce per “servirci” il sito richiesto.
PUBBLICITÀ
inRead invented by Teads

Russi, cinesi, iraniani e siriani: chi sono gli hacker più ricercati dall’Fbi

Russi, cinesi, iraniani e siriani: chi sono gli hacker più ricercati dall’Fbi
Russi, cinesi, iraniani e siriani: chi sono gli hacker più ricercati dall’Fbi
Russi, cinesi, iraniani e siriani: chi sono gli hacker più ricercati dall’Fbi

Prev
Next
Peteris Sahurovs

Milioni di dollari

L’attacco, non rivendicato in alcun modo, sarebbe partito alle 7 del mattino ora locale (le 13 italiane) e come detto ha interessato larga parte della costa est degli Usa, come mostrato dall’immagine sopra. Se i motivi non sono noti, più evidenti sono i danni per milioni di dollari causati da un “buio” di questa portata. Il servizio di distribuzione dei siti richiesti infatti sarebbe stato ripristinato solo tre ore dopo, intorno alle 9.45 della costa est.

www.lastampa.it
Un’unica mano, anzi un unico gruppo, avrebbe hackerato il Comitato nazionale democratico (l’organo di governo del Partito democratico americano) e il comitato per la campagna elettorale al Congresso dello stesso Partito (DCCC), la casella di posta di John Podesta (il presidente della campagna di Hillary Clinton) e quella dell’ex segretario di Stato Colin Powell. E questo solo per citare i casi più noti che hanno portato negli ultimi mesi alla pubblicazione online di migliaia di email e documenti riservati dei Democratici nel pieno della campagna presidenziale americana. Violazioni e pubblicazioni che hanno portato a una escalation dei rapporti diplomatici tra Stati Uniti e Russia.



Attacco via mail

Tutti questi episodi sono il frutto di una stessa campagna che avrebbe usato il trucco più banale, una mail di spear phishing, cioè una mail mirata inviata dall’attaccante che finge di arrivare da un altro mittente, e per la precisione in molti casi da Gmail, chiedendo di reinserire la credenziali della posta. E questa unica mano - che avrebbe coordinato un’operazione ampia di attacchi mirati condotti contro politici americani, soprattutto democratici - sarebbe da attribuire al gruppo di hacker russi noti come Apt28, o Sofacy, o Fancy Bear. Che vari analisti riconducono più o meno direttamente al governo di Mosca. Alcuni, come la società Crowdstrike o i servizi tedeschi, li considerano inquadrati da GRU, l’intelligence militare russa.



LEGGI ANCHE Un attacco hacker ha messo KO internet negli Stati Uniti



Unica operazione

A ricollegare insieme tutti questi attacchi al gruppo, già fortemente sospettato dell’incursione nei server democratici, sono stati i ricercatori di Secure Works, come riferito per prima dalla testata Motherboard. Ma ad avallare questa tesi sono anche altri ricercatori indipendenti come Thomas Rid. Che cita anche attacchi condotti contro l’Italia. «Tra l’ottobre 2015 e il maggio 2016 – scrive su Esquire il professore del King’s College e nome autorevole negli studi sulla cyberguerriglia, specie fra Usa e Russia - il gruppo ha usato 9mila link per attaccare circa 4mila account Gmail, con target in Ucraina, Stati Uniti, Stati baltici, Cina, Iran. Fancy Bear (o Apt28, ndr) ha cercato di accedere a ministeri della Difesa, ambasciate e militari. Il più ampio gruppo di target, circa il 40 per cento, erano personale militare. Tra le violazioni recenti del gruppo ci sono stati il Parlamento tedesco, i militari italiani, il ministero degli Esteri saudita, le email di Philip Breedlove (generale Nato, ndr), Colin Powell, e John Podesta—presidente della campagna di Hillary Clinton— e naturalmente il Comitato nazionale democratico».



Militari italiani nel mirino

I militari italiani vittime di Fancy Bear (o Apt28)? Il riferimento - sulla base delle ricerche de La Stampa - è a una serie di attacchi che hanno colpito fra 2014 e 2015 membri dell’Aeronautica militare e della Marina militare italiana. A parlarne in una presentazione rimasta in circoli ristretti era stato nel novembre 2015, ad Abu Dhabi, Stefano Maccaglia, analista della società americana di sicurezza informatica RSA. Nella presentazione si analizzano alcuni attacchi compiuti da FancyBear/Apt28 contro militari di alcuni Paesi occidentali, inclusa l’Italia. In particolare gli hacker avrebbero preso di mira almeno sette ufficiali dell’Aeronautica militare e due ufficiali della Marina militare, sfruttando una vulnerabilità di Microsoft Office. E in almeno due casi l’infezione sarebbe andata a buon fine.



LEGGI ANCHE Dai Democratici alle Olimpiadi: cosa sappiamo degli hacker Fancy Bear



«Era l’analisi di tre casi avvenuti tra 2014 e 2015 contro i militari di tre nazioni occidentali», riferisce Maccaglia. «Gli attaccanti hanno prima preso i dati sul personale militare violando il sito di una fiera militare (il Farnborough Air Show 2014, ndr) e raccogliendo le mail dei partecipanti. E poi hanno studiato i possibili target delle strutture che volevano colpire, scegliendo soggetti non troppo esperti in informatica. L’attacco comunque è stato sofisticato e ben organizzato, molto di più di quelli fatti contro i democratici americani».



Analisi degli attacchi

Sì, perché nel caso del Comitato nazionale democratico, di Podesta, di Powell e via dicendo, gli hacker avrebbero confezionato delle semplici email di phishng che dicevano di essere Gmail. Specificando che qualcuno aveva violato la casella di posta delle vittime (c’era pure indicato un indirizzo IP in Ucraina, l’ironia) e quindi di reinserire e poi cambiare le credenziali di accesso. Quello che è notevole però dell’attacco ai democratici è come è stato organizzato complessivamente.



LEGGI ANCHE Attacco hacker, le autorità Usa pensano a sanzioni contro la Russia



Un invio di massa di 9mila link in finte mail a 4mila individui. Ogni link (ogni Url) inviato, era poi accorciato attraverso il noto servizio di abbreviazione di indirizzi web Bitly con cui gli attaccanti aggiravano eventuali filtri antispam e nello stesso tempo tenevano traccia dei target (ogni link conteneva codificato nome e email della vittima). Siccome però gli account aperti su Bitly dagli hacker non erano in modalità privata, la società di sicurezza Secure Works - che da tempo sta dietro alle tracce di Fancy Bear - a un certo punto è stata in grado di monitorarli, dopo essere arrivata a uno degli account Bitly risalendo fino a lì da un dominio controllato dagli hacker. E ne ha progressivamente ricostruito, come in un puzzle, gli attacchi e i target.



SecureWorks ha visto ad esempio che il gruppo ha creato 213 link (abbreviati) che miravano a 108 indirizzi email del dominio Hillaryclinton.com. E studiando i link sono risaliti anche all’attacco mosso a Colin Powell che ha poi portato alla pubblicazione di sue email. O a William Rinehart, membro dello staff Clinton. Nel marzo 2016 Rinehart avrebbe ricevuto una mail che sembrava un avviso di sicurezza, un alert di Gmail, in cui gli si chiedeva di cambiare la password con un link (consiglio: mai cliccare su link di mail di questo genere, ma andare sempre sul sito digitandolo nel browser).



LEGGI ANCHE Email rubate, Clinton accusa: “Dietro agli hacker c’è la Russia”



Sempre nel marzo 2016 anche John Podesta riceveva un alert simile. Il braccio destro della Clinton avrebbe cliccato sul link e immesso le proprie credenziali in un finto sito Gmail regalandole di fatto agli attaccanti. Non sappiamo quando gli hacker abbiano preso le email e a chi le abbiano girate. Sta di fatto che mesi dopo, cioè pochi giorni fa, il 9 ottobre, WikiLeaks ha iniziato a pubblicare migliaia di email di Podesta. Così come aveva pubblicato quelle del Comitato nazionale democratico. Mentre le email di Powell erano finite sul sito DC Leaks, collegato all’hacker di nome Guccifer 2.0 che aveva rivendicato anche gli attacchi al Comitato nazionale democratico. Che diceva di essere indipendente e rumeno. Ma che molti osservatori considerano solo una manovra diversiva dei russi.



Prime avvisaglie

L’Fbi aveva avvisato il Comitato nazionale democratico di esaminare i propri sistemi già nell’autunno 2015. Ma solo a maggio il Comitato si era rivolto alla società di sicurezza Crowdstrike che aveva scoperto la presenza nella loro rete di ben due gruppi di hacker russi, Cozy Bear (Apt29) e Fancy Bear (Apt28), Apt sta per Advanced Persistent Threat, un gruppo in grado di compiere attacchi mirati e avanzati (ne abbiamo parlato qua). Per Crowdstrike e altri, Cozy Bear sarebbe ascrivibile al FSB, cioè l’ex Kgb; mentre Fancy Bear sarebbe l’intelligence militare GRU. In ogni caso sarebbe coinvolta Mosca.



Ad aprile qualcuno registrava il sito DC Leaks, a giugno nasceva l’associato profilo Twitter. E sempre a giugno la notizia di una violazione del Comitato nazionale democratico usciva infine sul Washington Post. Il giorno dopo nasceva anche un sito creato da un misterioso hacker di nome Guccifer 2.0 che rilasciava dei documenti del Comitato, dicendo di essere rumeno (ipotesi contestata da vari indizi raccolti dai giornalisti) e di aver dato migliaia di file a Wikileaks. Che ha poi pubblicato migliaia di email provenienti dal Comitato nazionale democratico e che sta rilasciando ora quelle - migliaia - di Podesta. Una delle prime conseguenze della pubblicazione, a luglio, sono state le dimissioni della presidente del Comitato nazionale democratico Debbie Schultz, accusata di aver favorito la Clinton su Bernie Sanders. Ad agosto sono pure comparsi degli hacker che vendevano online le armi digitali sottratte alla Nsa.



Tutte queste vicende hanno surriscaldato soprattutto i rapporti fra Washington e Mosca portando ad alcune prese di posizione senza precedenti. Come la dichiarazione, di pochi giorni fa, del Dipartimento Usa della sicurezza interna e del direttore dell’intelligence nazionale: si dicono sicuri che dietro gli attacchi ci sia il governo di Mosca e che l’intento degli attaccanti sia di influenzare il processo elettorale. O come le voci della preparazione di una possibile ritorsione americana.