CIA Leaks: ecco come gli 007 coprono le loro tracce

Mar 09, 2017 Marco Schiaffino Hacking, Leaks, News, RSS 0

Il programma Umbrage sfrutta una collezione di componenti malware usati da pirati informatici comuni per depistare gli esperti di sicurezza.

Non solo malware e strumenti per portare attacchi informatici: dai documenti pubblicati da WikiLeaks riguardanti gli strumenti di hacking della CIA emergono anche le strategie usate dagli 007 americani per creare i malware che usano e per coprire le loro tracce.

I documenti più “istruttivi” in questo ambito sono quelli relativi al gruppo Umbrage, che si occupa di raccogliere tecniche “prese in prestito” dai comuni malware in circolazione.

Stando a quanto scrivono gli stessi tecnici della CIA, il progetto parte dall’idea che l’uso di tecniche già conosciute sia meno dispendioso che svilupparle da zero.

Una logica che, nel corso del 2015, ha portato gli hacker di Langley a prestare particolare attenzione agli sviluppi della vicenda legata al leak dei dati rubati all’azienda milanese Hacking Team (ironia della sorte, divulgati proprio da WikiLeaks) per cercare di raccogliere materiale utile per le loro attività.

La funzione di Umbrage, però, non è solo quella di rendere più facile il lavoro di chi crea i tool di spionaggio, ma anche di fornire un servizio di copertura alle operazioni.

Nella logica della Central Intelligence Agency, infatti, uno degli obiettivi fondamentali è quello di fare in modo che nessuno possa collegare gli attacchi e l’attacco all’azione del governo USA.

Il gruppo Umbrage gestisce una collezione di tool raccattati qui e là da malware in circolazione che possono essere utilizzati dagli hacker al soldo della CIA.

Quando si utilizzano strumenti “fatti in casa”, però, il rischio di essere scoperti diventa piuttosto elevato. Gli esperti di forensica, infatti, hanno la cattiva abitudine di analizzare i malware individuati e classificarli in base ai moduli e agli strumenti che utilizzano, creando una sorta di profilo che viene usato per individuare gli autori degli attacchi.

Umbrage, in questa prospettiva, agisce come un vero “ufficio depistaggio” che raccoglie porzioni di codice e strumenti usati da altri gruppi e che vengono inseriti nei malware della CIA per confondere le acque.

“Individuare chi si nasconde dietro un attacco è, di per sé, un’attività piuttosto complicata” spiega Tim Berghoff, Security Evangelist di G Data. “Questo perché i ricercatori spesso indagano su attacchi che sono stati portati dallo stesso gruppo di pirati, ma non lo possono sapere”.

Tramite Umbrage, in pratica, la Central Intelligence Agency complica ulteriormente le cose, inserendo indizi che portano i ricercatori su una falsa pista. “Il fatto che la CIA abbia una collezione di strumenti di questo genere significa che nelle loro operazioni possono fare in modo che i ricercatori siano indotti ad attribuire l’attacco a qualcun altro”.

Non è la prima volta che si assiste a qualcosa del genere. In passato, per esempio, gli esperti di sicurezza si sono trovati spesso di fronte a tentativi di depistaggio messi in atto da semplici cyber-criminali che hanno cercato di dissimulare la loro identità.

Le tecniche, di solito, sono piuttosto rozze e prevedono, per esempio, di inserire commenti nel codice o messaggi scritti in una lingua diversa da quella dell’autore.

Nel caso di Umbrage, però, si va ben oltre. “L’uso di componenti normalmente utilizzati da gruppi ben conosciuti è uno stratagemma terribilmente efficace” conferma Berghoff. “Di solito quando emergono elementi come questi nel corso dell’analisi forensica, siamo portati ad attribuire quasi automaticamente l’attacco a questo o quel gruppo. Ora sappiamo che potrebbe essere un depistaggio”.