Nella lunga storia dell’hacking si sono verificate numerose violazioni dei dati che, anni o addirittura decenni dopo, rimangono irrisolte. Innumerevoli hacker e gruppi di hacker dietro di loro non sono mai stati smascherati.
Ma i gruppi di hacker più prolifici vengono scoperti. Questo è vero sia che si tratti di criminali informatici come LAPSUS$, una famigerata banda di estorsori che ha compromesso aziende tra cui Microsoft e Nvidia, che hanno fatto arrestare più membri, o di sofisticati gruppi di hacker governativi provenienti da Russia e Cina, i cui membri sono stati nominati, incriminati e inseriti nelle liste dei più ricercati.
Tuttavia, alcuni dei casi più affascinanti nella storia della sicurezza informatica rimangono aperti: nessun colpevole, nessuna risposta e, in alcuni casi, nemmeno un motivo chiaro. Abbiamo deciso di rivisitarne alcuni in una serie di articoli, iniziando da uno degli episodi più strani nella storia delle fughe di informazioni.
La prima puntata è incentrata sugli Shadow Brokers, un gruppo enigmatico emerso on-line, che ha scaricato una serie di strumenti di hacking ritenuti appartenere alla NSA e poi è scomparso.
Nell’property del 2016, nel bel mezzo degli hack russi legati alle elezioni presidenziali americane, il gruppo è apparso su Twitter. Si collegavano advert a Posta Pastebin e @-ha menzionato diversi organi di informazione: una strategia strana e inefficace che ha fatto sì che la maggior parte di questi organi di informazione probabilmente non avesse mai visto i tweet.
Ma se qualcuno avesse cliccato sul collegamento, avrebbe visto un documento intitolato “Asta di armi informatiche di Equation Group – Invito” – un riferimento all’oscura operazione di hacking ampiamente ritenuta gestita dalla NSA.
“!!! Attenzione agli sponsor governativi della guerra informatica e a coloro che ne traggono profitto!!!! Quanto si paga per le armi informatiche dei nemici?” hanno scritto gli hacker, sostenendo di aver violato l’Equation Group.
Il documento includeva collegamenti per scaricare alcuni strumenti di hacking, nonché un collegamento per scaricare un file crittografato che gli acquirenti interessati potevano decrittografare facendo un’offerta. “I file delle aste sono migliori di Stuxnet”, hanno scritto, riferendosi al famoso malware utilizzato contro gli impianti nucleari iraniani in un attacco informatico americano-israeliano nel 2007. Hanno chiesto almeno un milione di Bitcoin.
La fuga di notizie attirò rapidamente la copertura della stampa. Una volta che i ricercatori di sicurezza hanno analizzato gli strumenti, si sono resi conto che si trattava di armi informatiche eccezionalmente sofisticate, molto probabilmente rubate alla NSA: un sospetto rafforzato dal fatto che alcuni condividevano nomi con programmi rivelati dall’informatore della NSA Edward Snowden.
L’asta period probabilmente uno stratagemma, dal momento che il gruppo alla tremendous ha venduto pubblicamente molti degli strumenti mesi dopo. Gran parte degli Shadow Brokers avevano poco senso. Il loro inglese stentato period quasi comico, come se si stessero sforzando troppo o segnalassero deliberatamente l’artificio. Nonostante cerchi chiaramente l”attenzione – e riceva molta copertura da parte della stampa – il gruppo ha parlato con un giornalista solo una volta, dando un breve intervista a Joseph Cox di 404 Media, allora reporter di VICE Motherboard.
Dieci anni dopo, non sappiamo letteralmente nulla di chi si nascondesse dietro il personaggio di Shadow Brokers. Cox ed io ha intervistato ex membri dello staff della NSA all’epoca, chi disse che un membro o un ex membro della NSA avrebbe potuto essere coinvolto. Ma nessuno è mai stato arrestato e accusato: un fatto straordinario, dato che si è trattato probabilmente di una delle peggiori fughe di notizie sugli strumenti di hacking dell’intelligence americana di sempre.
Un potenziale sospettato period Harold T. Martin III, un appaltatore della NSA arrestato per aver rubato informazioni riservate dall’agenzia. Ma la teoria ha un problema: mentre Martin period in custodia, gli Shadow Dealer rimanevano attivi on-line. Non è mai stato formalmente accusato in relazione alle fughe di notizie. La teoria più accreditata è che gli Shadow Brokers siano stati creati da un gruppo di spionaggio del governo russo come strumento di propaganda.
L’impatto è stato enorme. Tra gli strumenti rilasciati, sono stati pubblicati gli Shadow Brokers Blu eterno – una famiglia di vulnerabilità zero-day rivolte a Home windows che ha consentito agli hacker di penetrare nei laptop di una rete compromessa, espandere rapidamente il proprio accesso e distribuire worm auto-propaganti. (Le vulnerabilità zero-day sono difetti sconosciuti al produttore del software program, il che significa che non esiste ancora alcuna patch.) Gli hacker nordcoreani hanno utilizzato EternalBlue per liberare il worm ransomware WannaCry. Successivamente gli hacker russi lo hanno incorporato in NotPetya, che ha superato i suoi obiettivi iniziali in Ucraina e ha causato danni stimati per 10 miliardi di dollari a livello globale. Per le aziende, la lezione è stata dura: le vulnerabilità accumulate dalle agenzie di intelligence non rimangono segrete per sempre e, quando trapelano informazioni, il settore privato ne paga il prezzo.
Il tesoro sta ancora producendo scoperte. Tra gli strumenti trapelati ce n’period uno contenente un elenco di nomi di progetti, incluso uno chiamato Fast16, contrassegnato solo con l’etichetta “NIENTE DA VEDERE QUI – CONTINUA”. Il mese scorso, i ricercatori hanno annunciato di averlo individuato ed esaminato, trovando malware risalente al 2005, progettato per manomettere il software program presumibilmente utilizzato dagli scienziati nucleari iraniani.
Quando acquisti tramite i hyperlink presenti nei nostri articoli, potremmo guadagnare una piccola commissione. Ciò non pregiudica la nostra indipendenza editoriale.
