GhostNet: L’Eterno Ritorno degli Spioni Cinesi

Ancora una volta enigmatiche ombre cinesi si proiettano sulla rete. E’ da qualche tempo infatti che periodicamente salgono all’attenzione dei media principali storie di spionaggio cibernetico, storie dove fantomatici hacker provenienti dalla Cina utilizzano exploit e trojans per prelevare scottanti informazioni da computer di aziende, politici, diplomatici.

Il primo caso clamoroso risale al 2003 e passò alla storia come operazione Titan Rain. Da allora il canovaccio si ripete ciclicamente, come una leggenda metropolitana. Gli elementi sono quasi sempre gli stessi: le vittime (ministeri, industrie strategiche, personalità politiche e diplomatiche); gli attacchi provengo quasi sempre dalla Cina, ma non si riesce mai a capire se in qualche modo gli hacker siano sostenuti dall’intelligence locale, o se si tratti di bande criminali autonome.  Non si sa neppure con certezza se gli autori siano cinesi.

GhostNet

La storia è tornata nelle ultime settimane. Il report di un gruppo di investigatori canadesi ha portato alla luce una rete di spionaggio cinese, con obiettivo principale il Dalai Lama, organizzazioni per il Tibet libero, e altre istituzionii e ambasciate sparse per il mondo.
A questa organizzazione è stato dato l’intrigante nome “GhostNet”.

Ho letto il report, intitolato “Tracking GhostNet: Investigating a Cyber Espionage Network”, e voglio condividere una sintesi del contenuto con chi interessato all’argomento, non avesse tempo/voglia di leggersi l’originale in inglese.

L’investigazione copre un lasso di tempo compreso tra Giugno 2008 e Marzo 2009. L’attività è stata condotta in due fasi: sul campo, con l’acquisizione di dati dalle macchine compromesse; quindi in laboratorio, dove sono stati analizzati i dati ed elaborata un’analisi.

Gli investigatori hanno portato alla luce una rete di 1295 computer infetti in 103 Paesi in tutto il mondo. Solo il 30% di queste macchine può essere considerato di alto profilo e ricondotto ad ambasciate o organizzazioni politiche. Tra gli obiettivi sensibili colpiti risaltano ministeri degli esteri di Iran e Indonesia, ambasciate (India, Corea del Sud, Germania), agenzie stampa, sistemi non classificati nel quartier generale NATO.
Uno degli obiettivi più colpiti sembra essere l’ufficio privato del Dalai Lama e altri uffici tibetani.

L’utente ha l’anello (debole) al naso

Dall’analisi si evidenzia che la rete GhostNet ricalca lo schema della botnet, ovvero una serie di computer infetti (droni) comandati da sistemi centralizzati di comando e controllo (C&C).

I malware si infiltrano nei sistemi tramite vettori di infezione,  in genere sfruttando bug per eseguire codice sul sistema target, o tramite azioni di social-engineering. Nel caso di GhostNet l’attacco è combinato. Infatti questa rete sfrutta un vecchio bug (2006) per Microsoft Word, bug che viene impiegato tramite exploit infiltrato nella posta elettronica o in un link in una pagina web.

Le fasi di infezione di GhostNet sono le seguenti:

1. Un’email contenente il malware sotto forma di allegato (documento doc) o di link viene inviata al target.

2. L’email sembra provenire da un mittente affidabile (campaings@freetibet.org) per indurre l’utente ad aprire l’allegato o seguire il link (social-engineering)

3. L’utente apre l’allegato e il malware si attiva, in modo del tutto trasparente.

Le black-list sono amiche dei black-hat, ovvero: gli anti-virus sono inutili?

Il malware recuperato dalle macchine infette è stato riconosciuto soltanto dal 30% degli AV engine di VirusTotal. Considerando che il malware era piuttosto vecchio (2006), questo dato mette ulteriormente in risalto la debolezza del modello di sicurezza basato sulle black-list, attualmente utilizzato dagli antivirus.

Una volta che il malware si è impadronito della macchina, il PC stesso “chiama a casa” e si mette in collegamento con i server di C&C. Gli investigatori hanno trovato 4 server di comando e controllo. La cosa sorprendente è che le interfacce non erano minimamente protette, nessuna autenticazione, nessuna crittografia. Chiunque, conoscendo l’esatto url dell’interfaccia, avrebbe potuto accedere al pannello e comandare la botnet! Esempio disarmante di “security by obscurity”.

Comando, Controllo e il sorcio fantasma

I droni dialogavano con il C&C tramite HTTP. Questo per due motivi: eludere eventuali restrizioni di firewall e/o router, e nascondersi nel marasma di traffico web convenzionale.
Due erano i canali utilizzati: il primo basato su script php veniva utilizzato per impartire comandi in modo asincrono e per raccogliere informazioni di stato del drone e informazioni di base sul sistema infettato (Ip, nome, dettagli tecnici). L’altro canale, basato su CGI veniva utilizzato, secondo gli investigatori, per trafugare documenti sensibili. Ma gli stessi investigatori hanno precisato che non sono in grado di stabilire se e quali informazioni sensibili sarebbero state trafugate tramite questo canale.

Il botmaster poteva impartire comandi ai singoli droni. Per esempio poteva forzare il download e l’esecuzione di trojan. In particolare veniva utilizzato il trojan “gh0st RAT”, (Remote Administration Tool), programma open-source di origine cinese, tradotto anche in lingua inglese.
Il “gh0st RAT” metteva a disposizione degli hackers i classici comandi di questo genere di strumenti: accesso al file-system, keylogging, gestione del sistema, sorveglianza audio/video. Si trattava di uno strumento in grado di spiare le attività delle vittime.

L’arte dell’inganno

L’analisi si conclude con alcune considerazioni: la dimensioni (ridotte) della rete e il tipo di obiettivi (alto profilo) sono anomale. In genere le botnet puntato alla quantità e sparano nel mucchio. In questo caso l’operazione sembra mirata. Rimane una domanda: chi sono gli autori?

Alla domanda non c’è una risposta. Il fatto che la maggior parte (ma non tutti, uno era situato negli USA) dei server C&C fossero in Cina non significa che:

  • Gli hacker fossero cinesi
  • Che il governo o qualche struttura di intelligence cinese fossero coinvolti

Anzi, la scelta di utilizzare computer potrebbe essere una deliberata mossa strategica di depistaggio. Inoltre è vero che molti computer infettati erano di alto profilo e in qualche modo collegati alla vicenda tibetano; ma è anche vero che oltre il 60% dei sistemi controllati da GhostNet erano anonimi computer, in nessun modo riconducibili a dati sensibili o di alto profilo.

I media hanno posto l’accento sul coinvolgimento della Cina, coinvolgimento che seppur sospettato è lungi dall’essere dimostrato.

Pirati fai-da-te?

Concludo con alcune constatazioni che mi lasciano perplesso. Per prima cosa, il tipo di attacco. I vettori di infezione erano exploit assai datati (2006). L’attacco è andato a segno contro sistemi particolarmente deboli (non aggiornati, probabilmente privi di personal firewall); minime precauzioni avrebbero limitato o addirittura neutralizzato la minaccia all’origine.

Inoltre, i mezzi e le tecniche utilizzate rivelano che l’organizzazione è molto lontana dallo stato dell’arte dello spionaggio cibernetico. La totale assenza di meccanismi di autenticazione sul pannello di controllo di C&C e la totale mancanza di protezione delle comunicazioni sono indicatori che dimostrano in  modo  inequivocabile questo dato.

E’ certo che gruppi di potere occulto hanno capacità ben maggiori. Ma anche senza insistere troppo con la dietrologia, è noto che esistono gruppi di hacker attivisti o semplici geek in grado di architettare sistemi ben più potenti e sofisticati, si pensi per esempio a Conficker, worm che nelle sue ultime varianti implementa avanzate tecniche crittografiche, e al suo team di sviluppo, che dimostra abilità e competenza non indifferenti.

5 Commenti

  1. Solo un dubbio sorge: e se questo sistema fosse stato creato nel 2006, abbia dato i suoi frutti e poi fosse stato lasciato lì a marcire senza protezione?
    Mi spiego. Un gruppo di hacker crea il sistema, prende i dati sensibili che vuole e poi si ritira, lasciando tutto senza protezione…tre anni dopo la polizia scopre tutto, ormai sono passati anni e il sistema è in disuso e non ha più alcuna protezione…

  2. Il report originale chiarisce che la rete è attiva dal 2007 e durante l’investigazione (finita in marzo) era operativa, tanto che gli esperti hanno visto “in diretta” le operazioni degli hacker. I pannelli di C&C erano popolati da computer su cui era in atto l’infezione.

  3. Io sono un adetto del software libero, quindi penso non sia una sorpresa che consiglierei di passare a Linux. 🙂
    A parte gli scherzi, se i sistemi operativi fossero più diversificati (più Mac e Linux e magari anche Bsd e meno Windows) forse di queste cose si leggerebbero molte meno. Non solo è il più difuso Windows, ma è anche il più vulnerabile. Sicuramente questi fantomatici “hackers” avrebbero sicuramente una vita molto ma molto più dificile…

  4. @gato: concordo assolutamente con i limiti della monocultura, sia in campo informatico, sia in altri ambiti (economia, politica…). Più che Linux o Windows sarebbe meglio Linux e Windows e Mac e…

3 Trackbacks / Pingbacks

  1. Zero Day: Power Point nel Mirino | BlogTecnico 2.0
  2. Gli Hacker di Google Mettono in Crisi Chimerica | Scena Warez
  3. Gli Hacker di Google Mettono in Crisi Chimerica | Scena Warez

I commenti sono bloccati.