• La NSA è riuscita ad escogitare un metodo per nascondere software di spionaggio e sabotaggio molto in profondità all’interno dei dischi rigidi, secondo ricercatori del web ed ex agenti NSA.
• Il gruppo di ricerca dichiara di aver riscontrato computer in 30 diverse nazioni affetti da uno o più di questi programmi spia.
• I maggiori “casi infetti” sono stati riscontrati in Iran, seguito da Russia, Pakistan, Afghanistan, Cina, Mali, Siria, Yemen ed Algeria.
• Le infezioni sono iniziate ad apparire nel 2001, ma sono impennate nel 2008, anno di elezione di Barack Obama.
• Gli strumenti sono progettati per essere effettivi all’interno dei PC anche in assenza di connessione internet, e persino i produttori di alcuni dei dischi rigidi non sono consapevoli che tali programmi sono stati inclusi nei dischi.
• Il lavoro delle spie rappresenta un serio avanzamento tecnologico, riuscendo a capire come installare software malevolo in quel codice oscuro, noto come firmware, che si avvia ogni qual volta avviamo un PC.
La National Security Agency (agenzia di sicurezza USA, responsabile di controllo ed analisi delle informazioni a livello globale) è riuscita a escogitare un sistema per nascondere software spia nei livelli più profondi di dischi rigidi, fatto che gli permette potenzialmente di monitorare e sbirciare nella maggior parte dei computer al mondo; anche quando non connessi alla rete Internet.
Il produttore di software di sicurezza moscovita Kaspersky lab sostiene di aver scoperto personal computer affetti da uno o più di tali programmi spia in 30 nazioni diverse. Per il maggior numero in Iran, seguito da Russia, Pakistan, Afghanistan, Cina, Mali, Siria, Yemen ed Algeria.
I bersagli includono istituzioni governative e militari, compagnie di telecomunicazioni, banche, compagnie energetiche, ricercatori nucleari, media e attivisti islamici.
Secondo Kaspersky la NSA avrebbe iniziato ad infettare computer dal 2001, e i suoi sforzi in questo senso sarebbero incalzati a partire dal 2008, elezione del presidente Obama.
Ciò “sorpassa qualunque cosa nota in termini di complessità e sofisticazione tecnica, ed è esistito per oltre due decadi” , sostiene Kaspersky.
Ciò che ancora più sorprendente è che neanche i produttori dei dischi rigidi siano coscienti che simili programmi spia sono stati installati, dal momento che NSA si sarebbe spinta fino a inviare alcuni agenti spacciandoli per sviluppatori di software, stando proprio alle rivelazioni di alcuni ex agenti dei servizi segreti, altrimenti dicendo alle ditte produttrici che il Governo aveva bisogno di eseguire controlli sulla sicurezza dei codici sorgente in uso sui propri sistemi.
Sempre secondo Kaspersky, ciò rappresenta un notevole exploit tecnologico, poiché il sistema della NSA consente di nascondere questi software malevoli nel “codice oscuro” chiamato firmware, che si lancia ogni volta che un computer viene acceso.
Il firmware del disco rigido è ritenuto da spie ed esperti di sicurezza reti come il secondo valore reale in un PC dal punto di vista di un hacker, secondo solo al codice BIOS, operativo dal primo istante dell’avvio di un PC.
“L’hardware è capace di infettare un computer illimitatamente”, ha sostenuto il capo della ricerca di Kaspersky Costantin Raiu in una intervista.
Nonostante i responsabili della campagna di spionaggio (ancora attiva) potevano facilmente assumere il controllo di migliaia di PC, consentendogli di rubare files e sbirciare tutto ciò che desideravano, le spie sono state selettive e hanno messo in funzione un controllo remoto completo solo su macchine di proprietà dei più ambiti bersagli esteri, sempre secondo Raiu. Stando a lui Kaspersky ha rinvenuto tali infezioni solo nei dischi rigidi di pochi computer di altissimo valore ed interesse.
L’azienda si è rifiutata di nominare pubblicamente la nazione dietro la campagna di spionaggio, tuttavia ha rivelato che essa è strettamente collegata a Stuxnet, l’arma cibernetica sotto controllo della NSA impiegata nell’attacco degli stabilimenti di arricchimento dell’uranio in Iran. La NSA è l’agenzia USA responsabile della raccolta di informazioni elettroniche.
Un ex impiegato della NSA ha rivelato a Reuters che l’analisi di Kaspersky è corretta, e che la gente che ancora lavora per l’agenzia di spionaggio ritiene questi programmi importanti quanto Stuxnet stessa. Un secondo ex impiegato ha confermato che la NSA ha sviluppato questa sofisticata tecnica per nascondere software spia nei dischi rigidi, ma ha anche detto di non essere al corrente di quali progetti di spionaggio se ne servono.
La portavoce della NSA Vanee Vines ha dichiarato che l’agenzia è al corrente del rapporto di Kaspersky ma preferisce non commentare pubblicamente.
Kaspersky ha pubblicato i dettagli tecnici della sua ricerca martedi’scorso, mossa che potrebbe aiutare le istituzioni soggette all’infezione a scoprire la presenza dei programmi spia, alcuni dei quali installati fin dal 2001.
La rivelazione è capace di danneggiare le capacità di sorveglianza dell’NSA, già in precedenza danneggiate dalle grosse rivelazioni dell’ex appaltatore Edward Snowden. Le rivelazioni di Snowden hanno deluso alcuni alleati degli Stati Uniti e rallentato le vendite di prodotti tecnologici americani all’estero.
La scoperta di questi nuovi strumenti di spionaggio potrebbe portare a notevoli reazioni negative contro la tecnologia occidentale, in particolare in paesi come la Cina, dove stanno già disponendo nuove regolazioni che impongono ai fornitori tecnologici del sistema bancario di presentare copie dei loro codici software per ispezione, prima che possano entrare in uso.
Peter Swire, uno tra cinque membri del “Gruppo di revisione sulla tecnologia di comunicazione e intelligence” del presidente USA Barack Obama, ha dichiarato che il rapporto di Kaspersky mostra come sia essenziale per la nazione di considerare attentamente il possibile impatto sulle relazioni commerciali e diplomatiche prima di decidere di usare tali conoscenze sulla vulnerabilità dei software allo scopo di raccogliere informazioni.
“Può dare luogo a gravi effetti negativi rispetto ad altri interessi degli Stati Uniti”, ha dichiarato Swire.
RIVOLUZIONE TECNOLOGICA
Le ricostruzioni effectuate da Kaspersky sul funzionamento dei software spia mostrano come possono lavorare su dischi rigidi commercializzati da oltre una dozzina di compagnie, abbracciando virtualmente l’intero mercato. Tra queste: Western Digital Corp, Seagate Technology Plc, Toshiba Corp, IBM, Micron Technology Inc e la Samsung Electronics Co Ltd.
Western Digital, Seagate e Micron hanno dichiarato di non esserne a conoscenza. Toshiba e Samsung si sono rifiutate di commentare. La IBM non ha risposto alle richieste di commento.
LE MANI SUL CODICE SORGENTE
Raiu ha dichiarato che gli inventori di questi programmi di spionaggio devono aver avuto accesso al codice sorgente proprietario che dirige le azioni dei dischi rigidi . Tale codice può servire come una tabella di marcia per le vulnerabilità , permettendo coloro che studiano di lanciare attacchi molto più facilmente .
“Non ci sono possibilità che qualcuno possa riscrivere il sistema operativo (hard disk) utilizzando informazioni pubbliche” , ha proseguito Raiu .
Le preoccupazioni per l'accesso al codice sorgente svasate dopo una serie di attacchi informatici di alto profilo su Google Inc e altre società statunitensi nel 2009 per i quali è stata incolpata la Cina . Gli investigatori hanno detto che hanno trovato la prova che gli hacker hanno avuto accesso al codice sorgente da diverse grandi aziende tecnologiche e di difesa degli Stati Uniti .
Non è chiaro come la NSA possa aver ottenuto i codici sorgente dei dischi fissi. Il portavoce di Western Digital Steve Shattuck ha dichiarato che la compagnia “Non ha mai fornito il suo codice sorgente ad alcuna agenzia governativa”. Gli altri produttori di dischi rigidi si rifiutano di far sapere se informazioni relative ai loro codici sorgente siano mai state condivise con l’NSA.
Il portavoce di Seagate Clive Oliver ha dichiarato che la compagnia “possiede misure di sicurezza che prevengono la manipolazione o la retro-ingegneria del suo firmware e di altre tecnologie sviluppate”. Il portavoce di Micron Daniel Francisco ha sostenuto che la compagnia prende la sicurezza dei suoi prodotti seriamente e che “non siamo a conoscenza di nessun caso di codici estranei ritrovati”.
Stando ad ex operatori dei servizi di intelligence, la NSA disporrebbe di molti modi di ottenere il codice sorgente dalle compagnie tecnologiche, tra le quali richieste dirette o spacciarsi per sviluppatori software. Se una compagnia desidera vendere al Pentagono od un’altra agenzia governativa USA di spicco, il Governo può esigere una ispezione di sicurezza per assicurarsi che il codice sorgente sia sicuro.
“Non lo ammettono, ma dicono: dobbiamo eseguire una valutazione, abbiamo bisogno del codice sorgente” ha detto Vincent Liu, un partner di consulenza sulla sicurezza dell’azienda Bishop Fox ed ex analista presso la NSA. “In genere è la NSA a provvedere alle valutazioni, e da li’basta pochissimo a ipotizzare che i codici così ottenuti li conservino”
La NSA ha rifiutato di commentare le sue responsabilità relative a ciò che emerso dal rapporto Kaspersky. Vines ha ricordato che l’agenzia rispetta la legge e agisce conformemente alle direttive della Casa Bianca atte a proteggere gli Stati Uniti ed i loro alleati “da un ampia serie di pericolose minacce”.
Kaspersky ha definito gli autori del programma di spionaggio “il gruppo dell’equazione”, poiché hanno usato delle formule di criptaggio codici complicatissime.
Il gruppo ha utilizzato una varietà di mezzi per diffondere altri programmi spia, compromettendo siti jihadisti, infettando penne USB e supporti CD, e sviluppando un virus informatico capace di diffondersi automaticamente chiamato Fanny, ritiene Kaspersky.
Fanny è analogo a Stuxnet nella misura in cui sfrutta due imprecisioni irrisolte nei software, note come zero days, “giorni zero”. Ciò suggerisce collaborazione da parte degli sviluppatori, sostiene Raiu. Ha inoltre aggiunto che sarebbe “piuttosto probabile” che il “gruppo dell’equazione” si sia servito di Fanny per rintracciare gli obiettivi di Stuxnet in Iran e diffondere il virus nelle reti interessate.
Link: http://www.dailymail.co.uk/news/article-2956058/Russian-researchers-expose-breakthrough-U-S-spying-program.html
Traduzione per www.comedonchisciotte.org a cura di CONZI