Questo sito utilizza cookies tecnici (propri e di terze parti) come anche cookie di profilazione (di terze parti) sia per proprie necessità funzionali, sia per inviarti messaggi pubblicitari in linea con tue preferenze. Per saperne di più o per negare il consenso all'uso dei cookie di profilazione clicca qui. Scorrendo questa pagina, cliccando su un link o proseguendo la navigazione in altra maniera, acconsenti all'uso dei cookie Ok, accetto

Cinquantamila.it La storia raccontata da Giorgio Dell'Arti

 2016  agosto 01 Lunedì calendario
La storia raccontata da Giorgio Dell'Arti 

la Repubblica, 1 agosto 2016

Orso capriccioso e Orso coccolino. Ecco chi sono gli hacker del Cremlino

Chi manovra i fili di “Orso capriccioso”? E chi c’è dietro “Orso coccolino”? Per l’Fbi e il Dipartimento di giustizia americano, i dubbi sulla paternità degli attacchi al Comitato nazionale dei democratici di Hillary Clinton sono assai pochi.
Fancy Bear, alias Apt 28, e Cozy Bear, alias Apt 29, sono «due gruppi di hacker russi che lavorano per il Cremlino». Le email trafugate e diffuse attraverso WikiLeaks sarebbero né più né meno un tentativo di screditare, o quantomeno mettere in difficoltà, il candidato dei democratici alla Casa Bianca. Un azzardo di Vladimir Putin, dunque, per influenzare la campagna elettorale per le presidenziali americane. È davvero così? Quali prove ci sono?

GLI SCRIPT IN CIRILLICO
Quattro diverse agenzie di cybersecurity – Crowdstrike, Mandiant, Secureworks e Fidelis – analizzando le violazioni informatiche avvenute tra la scorsa estate e il maggio di quest’anno nella rete del Comitato della Clinton hanno trovato le “impronte digitali” di Apt 28, attiva sul web dal 2007, e quelle della gemella Apt 29, apparsa solo alla fine del 2014. L’accesso è avvenuto quasi sempre nell’arco orario corrispondente a quello che, col fuso di Mosca e San Pietroburgo, va dalle 8 del mattino alle 6 del pomeriggio. Orario d’ufficio. Sono stati bersagliati 108 indirizzi con dominio www.hillaryclinton.com, con insolite pause nell’attività di spionaggio di Apt 29 coincidenti con le festività russe. Interi pezzi di script dei malware utilizzati per succhiare dati, inoltre, sono compilati parte in cirillico e parte in un inglese zoppicante, inzeppato di errori ortografici. Indizi, questi, che fisserebbero la provenienza geografica degli hacker, anche se alcuni esperti notano che la forma di dialetto utilizzata non è tipica dei nativi russi. E la precisione degli orari di operatività potrebbe essere un depistaggio, un modo per occultare i reali autori dell’intrusione.

PAGAMENTO IN CONTANTI
Secondo gli ultimi report su Apt 28 (Apt sta per Advanced persistent threat, minaccia avanzata persistente) realizzati dalla società FireEye, i più approfonditi realizzati finora, i tool di spionaggio del gruppo (Eviltoss, Sourface, Chopstick) «sono costosi, costantemente aggiornati, fabbricati per un utilizzo invisibile a lungo termine, e questo suggerisce che Apt 28 riceva finanziamenti continui da organizzazioni stabili e ricche, molto probabilmente governi nazionali». Ecco il punto. Non è detto che Fancy Bear e Cozy Bear siano integrati ai servizi segreti russi, con tesserino, qualifica e stipendio. Osserva una fonte qualificata nel campo dell’intelligence italiana: «Questo tipo di crew lavora su commissione, viene pagata in contanti per evitare di lasciare tracce del legame con l’agenzia da cui viene ingaggiata. Ogni Stato si serve di hacker del genere, anche l’Italia. Ma i servizi russi, a differenza di altri, pretendono l’esclusiva ed è probabile che Apt 28 e 29 lavorino stabilmente con loro».

L’ATTACCO ALL’ITALIA
Di tale monocommittenza ne sono prova gli obiettivi delle campagne lanciate negli ultimi anni: nel 2008- 2011 i ministri dell’Inter- no e della Difesa georgiani e un reporter che stava coprendo i conflitti nel Caucaso; nel 2013 alcuni ministri esteri dell’Europa dell’Est; nel 2014 il governo polacco; nell’ultimo triennio le strutture che custodiscono le tecnologie montate dagli americani sui caccia F35. Vittime il cui comun denominatore è evidente: sono interessanti per il governo di Mosca.
Apt 28 ha colpito anche l’Italia, durante un attacco a vasto raggio contro tutti i paesi dell’Unione nel tentativo di violare il sistema di comunicazioni criptate della Nato. Dall’ottobre 2014 al maggio scorso i russi hanno bucato il ministero della Difesa e quello degli Esteri. «Nessun dato sensibile è stato compromesso», sostiene il governo italiano. Stando a quanto risulta a Repubblica, nei sette mesi in cui hanno potuto frugare nel perimetro di due dicasteri hanno provato a mettere le mani sui piani della base Nato di Souda Bay, a Creta. Più di recente, ad aprile, Apt 28 è entrata nel sistema del canale televisivo TV5 Monde, mandando in onda slogan dello Stato Islamico in francese, arabo e inglese. Apt 29, invece, è considerata l’autrice del cyberattacco alla Casa Bianca lo scorso anno.

IL MISTERO DEL LEADER
Della reale identità degli hacker che si nascondono dietro i due nomignoli Fancy Bear e Cosy Bear si sa poco è niente. Chi li ha incrociati sul web li descrive molto esperti, non giovanissimi, con discrete disponibilità economiche. Apt 28 conterebbe una cinquantina di persone, avvolte da misteri e leggende. Come quella, mai verificata, che tra i leader ci sarebbe anche un famoso matematico russo, sparito dalla circolazione da alcuni anni.