GhostNet: L’Eterno Ritorno degli Spioni Cinesi

Ancora una volta enigmatiche ombre cinesi si proiettano sulla rete. E’ da qualche tempo infatti che periodicamente salgono all’attenzione dei media principali storie di spionaggio cibernetico, storie dove fantomatici hacker provenienti dalla Cina utilizzano exploit e trojans per prelevare scottanti informazioni da computer di aziende, politici, diplomatici.

Il primo caso clamoroso risale al 2003 e passò alla storia come operazione Titan Rain. Da allora il canovaccio si ripete ciclicamente, come una leggenda metropolitana. Gli elementi sono quasi sempre gli stessi: le vittime (ministeri, industrie strategiche, personalità politiche e diplomatiche); gli attacchi provengo quasi sempre dalla Cina, ma non si riesce mai a capire se in qualche modo gli hacker siano sostenuti dall’intelligence locale, o se si tratti di bande criminali autonome.  Non si sa neppure con certezza se gli autori siano cinesi.

GhostNet

La storia è tornata nelle ultime settimane. Il report di un gruppo di investigatori canadesi ha portato alla luce una rete di spionaggio cinese, con obiettivo principale il Dalai Lama, organizzazioni per il Tibet libero, e altre istituzionii e ambasciate sparse per il mondo.
A questa organizzazione è stato dato l’intrigante nome “GhostNet”.

Ho letto il report, intitolato “Tracking GhostNet: Investigating a Cyber Espionage Network”, e voglio condividere una sintesi del contenuto con chi interessato all’argomento, non avesse tempo/voglia di leggersi l’originale in inglese.

L’investigazione copre un lasso di tempo compreso tra Giugno 2008 e Marzo 2009. L’attività è stata condotta in due fasi: sul campo, con l’acquisizione di dati dalle macchine compromesse; quindi in laboratorio, dove sono stati analizzati i dati ed elaborata un’analisi.

Gli investigatori hanno portato alla luce una rete di 1295 computer infetti in 103 Paesi in tutto il mondo. Solo il 30% di queste macchine può essere considerato di alto profilo e ricondotto ad ambasciate o organizzazioni politiche. Tra gli obiettivi sensibili colpiti risaltano ministeri degli esteri di Iran e Indonesia, ambasciate (India, Corea del Sud, Germania), agenzie stampa, sistemi non classificati nel quartier generale NATO.
Uno degli obiettivi più colpiti sembra essere l’ufficio privato del Dalai Lama e altri uffici tibetani.

L’utente ha l’anello (debole) al naso

Dall’analisi si evidenzia che la rete GhostNet ricalca lo schema della botnet, ovvero una serie di computer infetti (droni) comandati da sistemi centralizzati di comando e controllo (C&C).

I malware si infiltrano nei sistemi tramite vettori di infezione,  in genere sfruttando bug per eseguire codice sul sistema target, o tramite azioni di social-engineering. Nel caso di GhostNet l’attacco è combinato. Infatti questa rete sfrutta un vecchio bug (2006) per Microsoft Word, bug che viene impiegato tramite exploit infiltrato nella posta elettronica o in un link in una pagina web.

Le fasi di infezione di GhostNet sono le seguenti:

1. Un’email contenente il malware sotto forma di allegato (documento doc) o di link viene inviata al target.

2. L’email sembra provenire da un mittente affidabile (campaings@freetibet.org) per indurre l’utente ad aprire l’allegato o seguire il link (social-engineering)

3. L’utente apre l’allegato e il malware si attiva, in modo del tutto trasparente.

Le black-list sono amiche dei black-hat, ovvero: gli anti-virus sono inutili?

Il malware recuperato dalle macchine infette è stato riconosciuto soltanto dal 30% degli AV engine di VirusTotal. Considerando che il malware era piuttosto vecchio (2006), questo dato mette ulteriormente in risalto la debolezza del modello di sicurezza basato sulle black-list, attualmente utilizzato dagli antivirus.

Una volta che il malware si è impadronito della macchina, il PC stesso “chiama a casa” e si mette in collegamento con i server di C&C. Gli investigatori hanno trovato 4 server di comando e controllo. La cosa sorprendente è che le interfacce non erano minimamente protette, nessuna autenticazione, nessuna crittografia. Chiunque, conoscendo l’esatto url dell’interfaccia, avrebbe potuto accedere al pannello e comandare la botnet! Esempio disarmante di “security by obscurity”.

Comando, Controllo e il sorcio fantasma

I droni dialogavano con il C&C tramite HTTP. Questo per due motivi: eludere eventuali restrizioni di firewall e/o router, e nascondersi nel marasma di traffico web convenzionale.
Due erano i canali utilizzati: il primo basato su script php veniva utilizzato per impartire comandi in modo asincrono e per raccogliere informazioni di stato del drone e informazioni di base sul sistema infettato (Ip, nome, dettagli tecnici). L’altro canale, basato su CGI veniva utilizzato, secondo gli investigatori, per trafugare documenti sensibili. Ma gli stessi investigatori hanno precisato che non sono in grado di stabilire se e quali informazioni sensibili sarebbero state trafugate tramite questo canale.

Il botmaster poteva impartire comandi ai singoli droni. Per esempio poteva forzare il download e l’esecuzione di trojan. In particolare veniva utilizzato il trojan “gh0st RAT”, (Remote Administration Tool), programma open-source di origine cinese, tradotto anche in lingua inglese.
Il “gh0st RAT” metteva a disposizione degli hackers i classici comandi di questo genere di strumenti: accesso al file-system, keylogging, gestione del sistema, sorveglianza audio/video. Si trattava di uno strumento in grado di spiare le attività delle vittime.

L’arte dell’inganno

L’analisi si conclude con alcune considerazioni: la dimensioni (ridotte) della rete e il tipo di obiettivi (alto profilo) sono anomale. In genere le botnet puntato alla quantità e sparano nel mucchio. In questo caso l’operazione sembra mirata. Rimane una domanda: chi sono gli autori?

Alla domanda non c’è una risposta. Il fatto che la maggior parte (ma non tutti, uno era situato negli USA) dei server C&C fossero in Cina non significa che:

Anzi, la scelta di utilizzare computer potrebbe essere una deliberata mossa strategica di depistaggio. Inoltre è vero che molti computer infettati erano di alto profilo e in qualche modo collegati alla vicenda tibetano; ma è anche vero che oltre il 60% dei sistemi controllati da GhostNet erano anonimi computer, in nessun modo riconducibili a dati sensibili o di alto profilo.

I media hanno posto l’accento sul coinvolgimento della Cina, coinvolgimento che seppur sospettato è lungi dall’essere dimostrato.

Pirati fai-da-te?

Concludo con alcune constatazioni che mi lasciano perplesso. Per prima cosa, il tipo di attacco. I vettori di infezione erano exploit assai datati (2006). L’attacco è andato a segno contro sistemi particolarmente deboli (non aggiornati, probabilmente privi di personal firewall); minime precauzioni avrebbero limitato o addirittura neutralizzato la minaccia all’origine.

Inoltre, i mezzi e le tecniche utilizzate rivelano che l’organizzazione è molto lontana dallo stato dell’arte dello spionaggio cibernetico. La totale assenza di meccanismi di autenticazione sul pannello di controllo di C&C e la totale mancanza di protezione delle comunicazioni sono indicatori che dimostrano in  modo  inequivocabile questo dato.

E’ certo che gruppi di potere occulto hanno capacità ben maggiori. Ma anche senza insistere troppo con la dietrologia, è noto che esistono gruppi di hacker attivisti o semplici geek in grado di architettare sistemi ben più potenti e sofisticati, si pensi per esempio a Conficker, worm che nelle sue ultime varianti implementa avanzate tecniche crittografiche, e al suo team di sviluppo, che dimostra abilità e competenza non indifferenti.