NSA, hack per hack

Codice diffuso online sembra testimoniare la violazione dei sistemi di Equation Group, gli hacker collegati alla agenzia statunitense. Si tratta di malware destinato al tecnocontrollo che il team Shadow Brokers vorrebbe vendere al miglior offerente. Aleggiano i dubbi sull'origine dei dati

Roma – Secondo quanto riferisce un nuovo gruppo di hacker, i sistemi di sicurezza di NSA sono stati violati con il malware e il codice per attacchi informatici ad essa collegati sarebbero così finiti online. Si tratterebbe certamente di una violazione critica, non solo per il soggetto colpito ma per i dati portati alla luce: si tratta dei sistemi utilizzati da Equation Group , team di hacker che avrebbe agito con l’appoggio più o meno ufficiale delle istituzioni a stelle e strisce, almeno secondo alcuni riferimento contenuti nei leak di Edward Snowden, e che sono coinvolti ai malware Stuxnet e a Regin, con cui hanno condotto attacchi sia ai danni di aziende che di governi.

Anche per questo si fa fatica a valutare la portata dell’operazione e c’è chi parla di un’elaborata truffa basata su dati già disponibili online: le informazioni rappresentano software e malware plausibilmente utilizzati, ma potrebbe essere codice non pienamente funzionante, ovvero informazioni già disponibili online grazie al lavoro di diversi esperti di sicurezza, oppure rintracciabili nei documenti rilasciati da Snowden.

I dati portati alla luce
Dietro l’attacco vi è il gruppo Shadow Brokers che riferisce – in un inglese stentato – di aver “seguito il traffico di Equation Group, trovato il suo codice e hackerato il gruppo, trovando molte molte cyberarmi da esso utilizzate”.

A prova della propria azione il gruppo Shadow Brokers ha pubblicato su Github una cartella da 256 megabyte (che al momento sembra essere stata rimossa ) contenente codice di vario tipo, che sarebbe stato utilizzati, tra l’altro, per attaccare le aziende statunitensi Cisco, Kuniper e Portinet e la cinese Topsec: si tratta di malware e programmi per diffonderli, nonché vulnerabilità e exploit in parte noti ai firewall ampiamente utilizzati, e in gran parte risalenti al 2013 e al 2010.

Tutto ciò rappresenterebbe in ogni caso solo il 60 per cento di quanto ottenuto dall’offensiva informatica condotta dal gruppo, con il rimanente 40 per cento di codice messo all’asta al miglior offerente ( prezzo richiesto : 1 milione di Bitcoin, ovvero circa 595 milioni di euro, anche se al momento appare ben lontano dall’obiettivo).

Per chi pensa si tratti solo di un’articolata truffa, l’asta rappresenterebbe solo fumo negli occhi per attirare l’attenzione mediatica e i malware finora divulgati non sarebbero altro che parte dell’arsenale di sofisticati strumenti di hacking portati alla luce nel 2015 dai ricercatori della russa Kaspersky nella loro caccia al gruppo Equation oppure materiale già divulgato e non ancora evidenziato tra i numerosi leak dell’ex contractor dell’NSA Edward Snowden.

Le reazioni
Proprio Kaspersky, tuttavia, ha confermato i dati come plausibili: in particolare una rara implementazione di software collegherebbe i dati divulgati con il malware utilizzato dal gruppo di hacker già associato ad NSA.

Anche altri esperti di sicurezza, inoltre, ritengono che l’attacco sia legittimo anche se non vi sono prove di un diretto legame con Equation Group. Tra essi Matt Suiche, fondatore della startup di sicurezza Comae Technologies, secondo cui il “codice rilasciato sembra legittimo, almeno per quanto riguarda quello legato all’attacco a Cisco”. Il ricercatore Claudio Guarnieri riferisce , invece, del frutto di un possibile attacco ai danni del “listening post”, una parte dell’infrastruttura di sorveglianza che permette ai malware di inviare informazioni ai propri controllori. Secondo Guarnieri potrebbe trattarsi di un contrattacco portato a termine da qualcuno che era rimasto vittima dei malware di Equation e che ne avrebbe seguito dunque le tracce fino all’origine.

Ad essere chiamato in causa è stato poi anche naturalmente Snowden, che ha di fatto confermato come plausibile l’hack ai danni del suo ex datore di lavoro, definendolo “non senza precedenti” e anzi dando per scontato che già altri hacker in passato avessero a loro volta attaccato NSA. Snowden ritiene invece assolutamente unico il fatto che l’attacco sia pubblicamente rivendicato da qualcuno e punta il dito , sulla base di “prove circostanziali e semplice intuito”, verso presunte responsabilità russe, sia nell’ottica delle recenti piste russe legate agli attacchi ai danni del Partito Democratico statunitense, sia per le possibili conseguenze nella politica estera della pubblicazione delle prove di collegamenti chiari dell’NSA ad attacchi portati a termine anche nei confronti di governi stranieri tra cui la Cancelleria tedesca.


Per il momento NSA non ha commentato la notizia, ma suoi ex dipendenti parlano della divulgazione di tali dati come un episodio assolutamente strano e terribilmente serio in grado di mandare nel panico l’Agenzia.

Claudio Tamburrino

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

Chiudi i commenti