L’incriminazione di 12 militari russi da parte del procuratore speciale Robert Mueller, annunciata il 13 luglio, è uno sviluppo clamoroso e insieme ricco di dettagli sull’intricata vicenda delle interferenze di Mosca nella politica americana, e in particolare nelle elezioni presidenziali del 2016 (che, solo in Italia, viene sintetizzata come Russiagate).
Elezioni che sono state segnate da una serie di attacchi informatici e di leak di documenti dei Democratici, dal Comitato nazionale democratico (Democratic National Committee — DNC) alla organizzazione che si occupa della campagna dem (Democratic Congressional Campaign Committee — DCCC) fino al capo stesso della campagna di Hillary Clinton, John Podesta, e ad alcune commissioni elettorali (con il furto di informazioni su 500mila elettori in uno Stato. Non dice quale, ma secondo alcuni giornalisti Usa è l’Illinois).
Leggi anche: Trump e Putin archiviano quasi tutti i contrasti: "Vogliamo cooperazione e pace"
L’atto d’accusa disegna in modo piuttosto preciso l’anatomia di un attacco massiccio e ad ampio raggio che merita di essere analizzato, sia per quello che hanno fatto gli attaccanti sia per quello che hanno (o non hanno) fatto le vittime. Un attacco che sfrutta tecniche ben note ma ancora molto efficaci, come il phishing (anche se mirato a target precisi, quindi spear phishing). E che nello stesso tempo appare intensivo e determinato. Metodico.
It’s also a pretty good case study in (political) cybercrime, with spearphishing, keyloggers, custom and commercial malware, bitcoin to avoid KYC/AML banking regulation, use of rented American and Malaysian servers, VPN and other masking technology. 4/6
— David Kris (@DavidKris) July 13, 2018
L’attacco nel suo insieme
Iniziamo dalla visione complessiva. A partire almeno da marzo 2016, un gruppo di agenti dell’intelligence militare russa (GRU) — 12 dei quali sarebbero stati individuati dalle indagini americane, con nome, cognome e qualifica — hanno iniziato una vasta campagna di attacchi informatici (a partire da tentativi di intrusione nelle caselle di posta) contro volontari e dipendenti della campagna presidenziale di Hillary Clinton.
Non è chiaro quante di queste siano state hackerate. L’atto d’accusa indica per certo 8 vittime a cui sono state rubate le credenziali delle mail, del DNC e del DCCC. Inoltre dice che gli attaccanti hanno monitorato i computer di dozzine di dipendenti di DCCC e DNC, impiantando centinaia di file contenenti codice malevolo, malware, ed esfiltrando documenti e mail da DCCC e DNC.
Dunque 300 target, dozzine di vittime, due organizzaioni infiltrate, centinaia di impianti, migliaia di documenti ed email trafugate nel giro di pochi mesi.
Malgrado entrambi i network DNC e DCCC siano stati analizzati dagli hacker per cercare vulnerabilità, alla fine questi sono entrati con le password, che sono state rubate ai dipendenti. Quindi la dinamica dell’attacco è così composta: spear phishing (mail mirata falsa) contro volontari/membri dei Democratici (su cui sono state fatte anche analisi dei profili social); furto delle credenziali della mail e/o infiltrazione sui loro pc; furto credenziali DNC e DCCC. In particolare come vedremo la sequenza è: dipendente DCCC → network DCCC → network DNC.
Il caso Podesta
Il caso più clamoroso è il furto delle credenziali Gmail di John Podesta che porterà al leak di 50mila email. Podesta è stato attaccato a partire da marzo con l’invio di una mail con mittente alterato (spoofed) travestita da notifica di sicurezza di Gmail, che conteneva un link in cui lo si invitava a cambiare la password. Dentro la mail c’era dunque un link abbreviato con un sistema di Url-shortening che portava in realtà al sito (finto Gmail) controllato dagli attaccanti. Che così si sono presi tutte le mail di Podesta.
Su questo dettaglio (la vicenda era in buona parte già nota, ma l’atto d’accusa conferma vari punti) si è aperto un dibattito fra esperti di cybersicurezza in merito al mancato uso dell’autenticazione a due fattori da parte di Podesta, che aveva un ruolo di spicco, così come da parte di molti altri della campagna democratica. Come sottolineato da altri esperti, l’autenticazione a due fattori non avrebbe reso immuni le vittime; ma gli attaccanti avrebbero dovuto faticare di più di sicuro.
Altra tecnica d’attacco utilizzata: ad aprile gli hacker creano un account email quasi identico — tranne che per una lettera — a quello di un noto membro della campagna di Clinton. E da quello inviano email a una trentina di altri dipendenti della campagna. Nelle mail c’è un link che sembra dirigere i destinatari a un documento sui sondaggi a favore di Hillary. Invece il link porta a un sito creato da GRU.
Dentro le reti DCCC e DNC
Gli attaccanti hanno usato le credenziali di un dipendente del DCCC per entrare nel network dell’organizzazione democratica. Tra aprile e giugno hanno poi installato multiple versioni del loro malware X-Agent, che registra i tasti battuti e fa screenshot dello schermo, su almeno dieci computer DCCC con cui hanno monitorato le attività di vari dipendenti; e con cui hanno trasmesso le informazioni rubate a un server affittato in Arizona, che chiamavano il pannello AMS. Hanno poi aggiunto un server intermedio per rimbalzare le informazioni tra il malware e il pannello AMS.
Una volta dentro il network DCCC, gli attaccanti hanno ottenuto le credenziali anche della rete del DNC da un dipendente che aveva accesso a entrambi. A giugno avevano infiltrato 33 computer del DNC. Per rubare senza essere notati grandi quantità di documenti — tra cui tutte le ricerche dei democratici sugli avversari politici — gli hacker hanno usato un software disponibile a tutti per comprimerli e poi li hanno fatti uscire attraverso dei canali cifrati usando un loro strumento, X-Tunnel, fino a un altro computer affittato in Illinois.
Persistenti
A partire da giugno, gli attaccanti hanno iniziato il rilascio dei documenti e delle email attraverso diversi canali. In particolare hanno creato — come ormai si sospettava da tempo — due identità online, DcLeaks e Guccifer 2.0. Attraverso Guccifer 2.0 — che si spacciava come un solitario hacker rumeno, anche se da subito aveva suscitato molti dubbi — i documenti sarebbero stati passati a una organizzazione che li ha poi pubblicati (il riferimento dell’atto d’accusa qui è a Wikileaks anche se viene chiamata Organizzazione 1). A quanto pare, anche gli hacker russi e Wikileaks hanno avuto problemi a passarsi documenti usando la cifratura via mail. Tutto ciò ha pure portato all’ennesima diatriba su PGP.
Love that Wikileaks had a bunch of completely plaintext conversations with GRU to coordinate the delivery of stolen emails — and yet wasted a bunch of time trying to PGP encrypt the emails themselves. That is: the stuff they were planning to publish. ♀️
— Matthew Green (@matthew_d_green) July 14, 2018
A maggio il DNC e il DCCC si sono resi conto che qualcosa non andava e a giugno è intervenuta un’azienda di cybersicurezza (non è nominata ma presumibilmente è Crowdstrike) che ha iniziato a estromettere gli intrusi. “Malgrado gli sforzi, una versione Linux di X-Agent, programmata per comunicare con un dominio registrato da GRU, linuxkrnl(.)net, rimaneva nel network DNC fino a ottobre 2016”, scrivono gli inquirenti. (Questo aspetto è approfondito nell’articolo di Kevin Poulsen su Daily Beast). E a settembre entravano nei computer DNC che stavano su un servizio cloud.
The DNC was still harboring GRU malware four months after @Crowdstrike gave them a clean bill of health, Mueller's new indictment reveals. @DNC says it was in quarantine. https://t.co/SK6B8DgMvY
— Kevin Poulsen (@kpoulsen) July 14, 2018
Analisi pagamenti
Per finanziare l’acquisto di varie infrastrutture alla base degli attacchi — domini, hosting, server, VPN ecc — gli attaccanti hanno smosso l’equivalente di 95mila dollari attraverso una rete di transazioni in criptovalute, in particolare bitcoin. Hanno anche aperto centinaia di diversi account email, in alcuni casi uno nuovo per ogni acquisto.
Una parte delle spese sono state finanziate attraverso bitcoin minati direttamente dagli attaccanti. Da questa riserva di criptovaluta, ad esempio, gli hacker hanno pagato un’azienda rumena per registrare il dominio Dcleaks.com attraverso una società di pagamenti americana. Oltre al mining, gli aggressori hanno usato bitcoin scambiati su exchange peer-to-peer o ricavati da carte prepagate. Secondo l’accusa, gli hacker hanno usato la stessa struttura di finanziamento per comprare diversi server e domini relativi all’attacco; gli investigatori hanno così tracciato varie connessioni, ad esempio tra Guccifer 2.0 e Dcleaks.
Il controattacco?
Dall’atto di accusa si capisce che gli americani hanno ricostruito in dettaglio le identità e le operazioni degli attaccanti, comprese le ricerche fatte online o sui social media. Come ci siano riusciti, resta da chiarire. Anche se va ricordato che già gli olandesi avevano penetrato i computer e i network degli hacker russi, come emerso alcuni mesi fa (anche se nello specifico gli olandesi avevano violato gli hacker dell’FSB, altro servizio segreto russo, e non quelli di GRU. Sul ruolo e la sovrapposizione dei due gruppi nell’attacco al DNC restano molti punti interrogativi).