Pochi giorni fa, il Dipartimento di sicurezza interna degli Stati Uniti aveva imposto a tutte le organizzazioni governative di rimuovere l’antivirus Kaspersky da ogni sistema governativo (Russiagate, Kaspersky rimosso da Agenzie Federali ).
Nei giorni successivi sono emerse delle informazioni aggiuntive che vanno a chiarire, o complicare, la posizione della famosa software house russa fondata da Eugene Kaspersky, in riferimento a come sarebbe avvenuto l’attacco e sugli attori effettivamente coinvolti. Il preambolo sarebbe una violazione, effettivamente avvenuta, sul pc personale di un dipendente NSA (probabilmente appartenente al team d’élite TAO, dedito ad operazioni di attacco), che incautamente si sarebbe portato del materiale a casa. Questi files, sarebbero stati rilevati dall’antivirus Kaspersky installato sulla macchina, rilevata la pericolosità e, affermano alcuni, la “firma”del team TAO. A questo punto, degli hacker filogovernativi russi, informati della possibilità grazie ad un infiltrazione nell’infrastruttura di Kaspersky, avrebbero attaccato il PC contenente il materiale scottante e derubandone il contenuto.
‘Equation Group, hacker israeliani e punti interrogativi…
Degli hacker israeliani hanno violato la rete di Kaspersky, tra il 2014 ed il 2015, scovando gli hacker russi occupati nella ricerca di obbiettivi sensibili, come PC contenenti materiale riservato americano, e probabilmente assistendo anche all’attacco che ha portato al furto di dati e codice riservato NSA. Non è chiaro se le informazioni rubate siano le stesse pubblicate nel 2016 dal misterioso gruppo detto “The Shadow Brokers”.(Shadow Brokers vendono nuovi ciberattacchi NSA).
La società russa si sarebbe accorta della violazione subita, pubblicando anche un report di giugno 2015, chiamando il pericolo con l’acronimo di Duqu 2.0; non citando direttamente fonti israeliane ma le somiglianze con una precedente minaccia, la Duqu, accomunato con un famosissimo malware, il Stuxnet, un malware utilizzato contro l’Iran e di produzione comune USA/Israele.
Secondo Kaspersky, gli autori di Duqu 2.0, ovvero israeliani, erano molto interessati alle notizie riguardanti quello che i russi chiamavano Equation Group, ovvero un team specializzato in attacchi cibernetici di alto profilo tecnologico, facendo chiara allusione al team TAO di NSA, ed alle operazioni di Regin, nome in codice per identificare delle attività di hacking svolte dal governo britannico.
A rendere più complicata l’analisi, vi è il report di Kaspersky di febbraio 2015, nel quale vengono descritte le operazioni dell’ Equation Group (Kaspersky – Equation Group), delineandone la supremazia tecnologica, le elevate conoscenze specifiche nel mondo della cybersicurezza e la portata tecnologica degli strumenti da essa creati; in quel periodo erano probabilmente già stati violati ma parlavano del gruppo in maniera staccata e senza alcun riferimento ad attacchi subiti.
La posizione di Kaspersky e gli ultimi aggiornamenti
Kaspersky ed il suo fondatore hanno sempre negato il loro coinvolgimento, tuttavia, dopo le ultime news, la situazione pare essersi leggermente chiarita.
Il software antivirus Kaspersky veniva utilizzato effettivamente come un cavallo di troia, progettato per avviarsi automaticamente ad intervalli regolari, allo scopo di di rilevare/rimuovere virus, bastava una piccola modifica per cercare nei programmi rilevati alcune parole chiave, come “top secret”, portando via i documenti che li contenevano. Ecco come sono stati sottratti efficacemente ed “auomaticamente” i dati dal computer personale dell’operatore NSA.
I servizi israeliani, per conto loro, per anni hanno spiato il Kaspersky Lab, nel desiderio di ottenere informazioni da America e Russia sulle trattative in corso per l’accordo nucleare con l’Iran, che si era accorta dell’attacco, definendo il malware utilizzato come “Duqu 2.0” , in segno di continuità da “Duqu”, usato da americani e israeliani per il sabotaggio del programma nucleare iraniano.
La novità degli ultimi giorni è che i Servizi di Sicurezza USA, allertati da Israele, hanno svolto dei test, come pubblicare informazioni false per controllare se finissero negli archivi di Mosca, e concluso senza dubbio vi sia stato un attacco di Kaspersky.
Questo episodio, come altri del recente passato riguardanti fuga di notizie e software riservati, impongono un’attenta riflessione sulla vastità e sulla profondità di eventi di cyber intelligence. Bisogna valutare attentamente come mantenere una propria linea di sicurezza, considerando attentamente ogni strumento di difesa e non dimenticare la possibilità che, per portare a termine attacchi informatici di ogni tipo. vengano sfruttati software e sistemi apparentemente innocui, come antivirus, browser web o dispositivi.