Shadow Brokers: “ecco i sistemi compromessi dall’NSA”

Nov 02, 2016 Marco Schiaffino Hacking, Leaks, News, Privacy, RSS 1

---

Un nuovo messaggio del gruppo hacker che ha reso pubblici gli strumenti usati dall’NSA elenca le organizzazioni compromesse dagli 007 americani. Molte anche in Italia.

Il misterioso gruppo Shadow Brokers torna a far parlare di sé e lo fa con un messaggio in cui rendono pubblico un elenco di indirizzi IP che dovrebbero corrispondere a sistemi compromessi dal famigerato Equation Group, il team di hacker che fanno riferimento all’NSA.

Il gruppo Shadow Brokers si è fatto conoscere 3 mesi fa, quando ha pubblicato una parte dei tool che Equation Group avrebbe usato nelle sue azioni di spionaggio e su cui gli hacker sostenevano di avere messo le mani.

In quell’occasione il leak riguardava software che, come hanno potuto verificare gli esperti, sfruttava effettivamente delle vulnerabilità zero-day e aveva tutta l’aria di essere autentico.

In seguito il gruppo aveva anche cercato di vendere al miglior offerente altri strumenti di spionaggio provenienti dalla stessa fonte. L’asta però non era andata a buon fine e gli hacker hanno quindi optato per una raccolta di fondi online che aveva come obiettivo la “modesta” cifra di 6 milioni di dollari.

Ora questa nuova uscita confonde ulteriormente le acque. Le uniche certezze che si hanno, infatti, è che il messaggio proviene dallo stesso gruppo (hanno usato la stessa firma digitale) autore del primo leak.

Per il resto, estrarre informazioni certe è piuttosto difficile. Prima di tutto perché il testo che accompagna il rilascio del materiale, pubblicato il 31 ottobre, è decisamente sconclusionato.

Si tratta di un’accozzaglia di dichiarazioni e invettive senza né capo né coda, scritte on uno stile che sembra studiato a tavolino per far pensare che il messaggio sia opera di una persona di lingua russa, ma talmente macchiettistico da far dubitare della sua veridicità.

In secondo luogo perché l’elenco di indirizzi IP farebbe riferimento a sistemi compromessi da Equation Group tra il 2000 e il 2010, anche se il ricercatore Kevin Beaumont ha datato l’elenco al 2007.

Un periodo abbastanza lontano perché risulti difficile (se non impossibile) trovare qualsiasi riscontro fisico della presenza di un software spia dell’NSA nei sistemi indicati.

Al di là dei tanti dubbi sull’attendibilità (e rilevanza) del leak, i dati pubblicati dagli Shadow Brokers delineano uno scenario piuttosto inquietante. Nell’elenco ci sono più di 300 domini e altrettanti indirizzi IP che sarebbero stati compromessi dagli 007 statunitensi, la maggior parte dei quali in Cina, Giappone e Corea.

Non manca, però, l’Italia, che rientrerebbe tra i 10 paesi più colpiti dopo Cina, Giappone, Corea del Sud, Germania, Spagna, Taiwan, India, Russia e Messico. Per quanto riguarda il nostro paese, come per molti altri, sarebbero state presa di mira principalmente università (tra cui l’Università dell’Aquila e di Reggio Calabria) e centri di ricerca come il CNR.

I server compromessi nel nostro paese sarebbero dieci:

mailer.ing.unirc.it

bambero1.cs.tin.it

giada.ing.unirc.it

mail.irtemp.na.cnr.it

matematica.univaq.it

ns.ing.unirc.it

ns.univaq.it

sparc20mc.ing.unirc.it

dns2.net1.it

gambero3.cs.tin.it

Sotto il profilo tecnico, invece, il dato più interessante è che la maggior parte delle macchine compromesse sono basate su sistemi Solaris.

Il fatto che nel documento rilasciato da Shadow Brokers venga indicato come “Sun Solaris” e non come “Oracle Solaris” (Oracle ha acquisito Sun Microsystems nel 2009) confermerebbe, tra l’altro, la datazione suggerita da Beaumont.

Quello che è certo, piuttosto, è che per verificare se esistano riscontri effettivi della presenza di backdoor riconducibili ai servizi segreti USA (per esempio nei backup dei sistemi colpiti) sarà necessario parecchio tempo. E non è escluso che eventuali conferme arrivino dopo che il tutto sia già finito nel dimenticatoio.

---

• NSA, Shadow Brokers

---

---