Fabio Ruini's blog

BusinessInsider.com ha pubblicato ieri un bell’articolo, dal titolo How North Korea Became a Hacking Superpower, che riprende i contenuti espressi in un altro pezzo, North Korea: How the least-wired country became a hacking superpower, apparso di recente su GlobalPost. Come si puo’ facilmente evincere dal titolo dei due pezzi, cio’ di cui si parla sono le capacita’ offensive in termini di cyber warfare sviluppate negli ultimi anni dalla Corea del Nord.

Tra i mesi di marzo ed aprile 2013, la Corea del Sud e’ stata colpita da un attacco cibernetico su larga scala, la cui origine (seppur camuffata, secondo gli esperti, per fingere un coinvolgimento cinese) e’ stata attribuita ad attori nord coreani. Seppur primitivo nelle modalita’, l’attacco, basato su un malware identificato come Mal/EncPk-ACE e prontamente ribattezzato DarkSeoul, ha causato danni ingenti. Tra i settori piu’ colpiti quello bancario, con i servizi ATM e di home banking di alcuni istituti fuori servizio per giorni. Circa 30,000 computer che hanno subito una brutale formattazione dei loro hard disk. Un po’ come successo con l’ormai celebre Stuxnet, anche in questo caso ci sono segnali che suggeriscono come il malware fosse stato predisposto per colpire un bersaglio specifico. I ricercatori di Sophos hanno infatti scoperto come il malware utilizzato includesse istruzioni specifiche per disattivare due prodotti antivirus diffusi soprattutto nella penisola coreana, quali AhnLab ed HAURI.

Questo attacco costituisce comunque solo l’ultimo episodio di una serie di azioni di cyber warfare di presunta origine nordcoreana e mirate al sud. Una campagna iniziata sul finire degli anni ’90 e poi cresciuta in intensita’ e sofisticazione con il passare del tempo, con due picchi raggiunti con gli attacchi DDOS del 2009 (quando ad essere colpiti furono anche interessi statunitensi) e del 2011. Oltre a descrivere a grandi linee gli eventi succitati, l’articolo si spinge poi oltre, riportando le voci di alcuni dissidenti nord coreani sul come il padroneggiare strumenti di cyber warfare venga perseguito a Pyongyang, parlando della Unit 121 (una presunta unita’ di cyber warfare, simile alla PLA 61398 cinese, gia’ descritta nel 2007 su DefenseTech.com e piu’ dettagliatamente, due anni piu’ tardi, in un paper di Steve Sin), dell’accesso alla rete in Corea del Nord e di Red Star OS, il sistema operativo di derivazione Linux sviluppato appositamente a Pyongyang.

I piu’ curiosi tra voi possono trovare su YouTube molti video dove le funzionalita’ offerte da Red Star OS vengono sviscerate. Tra questi segnalo le demo preparate da Arakmatzu e da Adam Safford. Sempre in tema Nord Corea, invece, chi dovesse avere un po’ di tempo a disposizione puo’ sicuramente trovare interessante un documentario di circa 45 minuti pubblicato alcuni anni fa da Alun Hill, che ha generato diverse controversie ma che puo’ sicuramente aiutare a formarsi una propria opinione sullo “strano” Paese asiatico.

Comments(0)

Ha fatto e sta ancora facendo molto discutere un report redatto dal Pentagono e presentato lo scorso 6 maggio al Congresso statunitense. Per la prima volta, infatti, gli americani puntano il dito, in un documento ufficiale, contro il governo di Pechino. Il tema e’ sempre il solito, quello che ci accompagna (perlomeno alla luce del sole) da diversi mesi a questa parte, il cyber-espionage.

Gia’ lo scorso 11 marzo, in seguito alla pubblicazione da parte del Mandiant Intelligence Center di un report sull’ormai famigerata Unit 61398 dell’esercito cinese, Tom Donilon, US National Security Adviser, aveva rilasciato dichiarazioni pesanti. Ben riassunto dal Time, Donilon aveva accusato il governo cinese di essere impegnato in una cyber-campagna su larga scala, mirata a rubare segreti commerciali e proprieta’ intellettuali dalle mani (o, meglio, dai computer) delle imprese statunitensi.

Ora, fedeli al principio secondo cui verba volant scripta manent (e ben consapevoli delle conseguenze, sul piano politico, della decisione), gli americani affidano le loro accuse ad un documento scritto. E’ in particolare a pagina 44 del documento, in un paragrafo intitolato Cyber Activities Directed Against the Department of Defense che gli analisti USA ci vanno giu’ pesanti senza lasciare spazio a dubbi o adito a possibili interpretazioni errate:

In 2012, numerous computer systems around the world, including those owned by the U.S. government, continued to be targeted for intrusions, some of which appear to be attributable directly to the Chinese government and military. These intrusions were focused on exfiltrating information. China is using its computer network exploitation (CNE) capability to support intelligence collection against the U.S. diplomatic, economic, and defense industrial base sectors that support U.S. national defense programs. The information targeted could potentially be used to benefit China’s defense industry, high technology industries, policymaker interest in US leadership thinking on key China issues, and military planners building a picture of U.S. network defense networks, logistics, and related military capabilities that could be exploited during a crisis. Although this alone is a serious concern, the accesses and skills required for these intrusions are similar to those necessary to conduct computer network attacks. China’s 2010 Defense White Paper notes China’s own concern over foreign cyberwarfare efforts and highlighted the importance of cyber-security in China’s national defense.

Chi fosse curioso di dare un’occhiata in prima persona all’intero documento, puo’ trovarlo sul sito del DoD americano (per la precisione a questo indirizzo), oppure scaricarlo direttamente dal link qui sotto.

Comments(0)

E’ di ieri la notizia degli attacchi subiti da QinetiQ, importante azienda di sicurezza basata in UK il cui branch statunitense lavora da anni in svariati progetti commissionati dall’esercito dello zio Sam. Per un periodo di almeno tre anni, dal 2007 al 2010, pare infatti che QinetiQ sia stata sistematicamente svuotata dei contenuti “interessanti” presenti sui propri sistemi informatici. Inclusa, ovviamente, tutta la documentazione piu’ o meno riservata sulla quale la compagnia stava lavorando su commissione del Pentagono. Autori del misfatto, a quanto pare, hacker legati all’apparato militare cinese. In quella che pare solo l’ultima, non in ordine cronologico ma di pubblica divulgazione, delle operazioni di questo genere condotte ai danni di una realta’ industriale occidentale.

La notizia e’ stata riportata con dovizia di dettagli da diverse testate giornalistiche. Tra i vari articoli apparsi on line mi preme segnalare quelli pubblicati da Bloomberg, Techworld ed eWEEK.

Se gli articoli appena citati aiutano ad inquadrare il caso specifico di QinetiQ, ormai da anni esiste un’abbondante letteratura sulle operazioni di hacking attribuite a gruppi cinesi piu’ o meno ufficialmente legati al governo di Pechino. A tal proposito molto interessante lo speciale apparso sul The Economist dello scorso 6 aprile, i cui contenuti sono ora disponibili on line. Per comodita’ li ho raccolti tutti qui di seguito.

• China’s internet: A giant cage;
• The machinery of control: Cat and mouse;
• Microblogs: Small beginnings;
• The Great Firewall: The art of concealment;
• E-commerce: Ours, all ours;
• Cyber-hacking: Masters of the cyber-universe;
• Internet controls in other countries: To each their own;
• Assessing the effects: A curse disguised as a blessing?;
• Shutting down the internet: Thou shalt not kill.

Comments(0)

Piuttosto inquietante quanto accaduto ieri a Wall Street. Verso le 13 ora locale l’indice Dow Jones Industrial Average (secondo Wikipedia, “along with the NASDAQ Composite, the S&P 500 Index, and the Russell 2000 Index, the Dow is among the most closely watched U.S. benchmark indices tracking targeted stock market activity“) e’ crollato di oltre 100 punti (pari a circa l’1%) bruciando diverse centinaia di milioni di dollari di capitalizzazione. Nel giro di sette lunghi, interminabili, minuti l’indice e’ poi riuscito a risalire fino a riassestarsi su valori simili a quelli precedenti il tracollo.

Che cos’e’ successo? La causa e’ tutta tecnologica. Pochi istanti prima del crollo, su Twitter compariva infatti, postato dall’account ufficiale della Associated Press, un tweet secondo il quale due esplosioni avevano colpito la Casa Bianca ferendo il presidente Obama.

Una notizia falsa, inventata di sana pianta. Che pero’, essendo trasmessa da una fonte ritenuta seria ed affidabile, e’ stata sufficiente per mandare immediatamente in tilt in mercati con un pressoche’ istantaneo crollo dei maggiori indici di Wall Street. Successive investigazioni hanno poi portato a ricostruire nei dettagli la vicenda. Molto semplicemente, il controllo dell’account Twitter della AP e’ stato “conquistato” da uno o piu’ individui (responsabilita’ dell’attacco e’ stata assunta dal Syrian Electronic Army, gia’ fautore di precedenti attacchi a testate giornalistiche occidentali) tramite quella che sembra essere stata un’operazione piuttosto classica di phishing. L’account, prima di essere sospeso in via cautelativa, e’ stato utilizzato per postare il messaggio di cui sopra. Causando quegli effetti che appaiono oltremodo evidenti guardando il grafico in apertura di post.

Chi volesse saperne un po’ di piu’ a riguardo puo’ leggere gli articoli pubblicati in merito da Forbes, TechCrunch ed arstechnica.

Comments(0)

Classico. Non faccio in tempo, non solo a parlare su questo blog dei Data Breach Investigation Report di Verizon, ma anche a scaricare, stampare e rilegare tutte le edizioni pubblicate fino ad ora, che ecco, puntuale, esce la versione 2013 del report.

Sul mio computer ho, al momento, problemi nel riuscire a leggere la press release ufficiale rilasciata da Verizon. Vi rimando pertanto a quanto pubblicato da mondaq.com nonche’ ad una bella analisi redatta a tempo di record da parte di Alfonso Barreiro. Di seguito, invece, il link per scaricare direttamente il report.

Comments(0)