CIA Leaks: Symantec trova i primi riscontri

Apr 11, 2017 Marco Schiaffino Hacking, Leaks, News, RSS 0

Analogie tra gli strumenti usati dagli 007 e quelli individuati in una serie di attacchi mirati del gruppo Longhorn tra il 2011 e il 2015.

La pubblicazione dei documenti riguardanti i tool di hacking della CIA a opera di WikiLeaks non offrono solo uno spaccato del tipo di strumenti a disposizione degli 007 americani: permettono anche di fare luce sul coinvolgimento dei servizi segreti USA nelle operazioni passate.

La prima operazione di questo genere l’ha fatta Symantec, che ha confrontato le informazioni contenute nelle migliaia di documenti pubblicati dall’organizzazione di Julian Assange con quelle raccolte durante le analisi di attacchi informatici degli scorsi anni.

Come spiegano i ricercatori della società di sicurezza in un report estremamente dettagliato, il confronto ha permesso di creare un collegamento tra la CIA e il gruppo Longhorn, attivo tra il 2011 e il 2015 in una campagna di spionaggio che ha colpito 40 obiettivi in 16 nazioni diverse.

Rileggendone l’attività alla luce di quanto emerso dai CIA Leaks, però, i ricercatori hanno individuato numerose analogie, a partire dalle tecniche di offuscamento utilizzate e dai sistemi di crittografia impiegati per le comunicazioni, che prevedevano per esempio l’uso di SSL e AES 32 bit.

La vera “pistola fumante”, però, è rappresentata da un particolare malware che Symantec aveva battezzato al momento della sua scoperta con il nome di Corentry.

Si tratta di un classico trojan, di cui gli analisti hanno individuato diverse versioni nel corso degli anni. Un’evoluzione che appare essere identica a quella di uno dei tool descritti nei documenti del Center for Cyber Intelligence (CCI) di Langley e che nei documenti della CIA pubblicati da WikiLeaks viene chiamato Fluxwire.

Nella tabella pubblicata da Symantec si può notare come le date delle diverse versioni del malware individuate dalla società di sicurezza coincidano esattamente con lo sviluppo di Fluxwire come è stato registrato nei documenti pubblicati (Vault 7) da WikiLeaks.

In particolare, oltre alla versione del malware, coincidono anche altri aspetti tecnici, come i compilatori utilizzati di volta in volta.

Non che dalle parti di Symantec avessero qualche dubbio sul carattere “governativo” di Longhorn: il gruppo, infatti, utilizzava vulnerabilità zero-day e trojan decisamente sofisticati, prendendo di mira invariabilmente obiettivi istituzionali collegati a governi e organizzazioni internazionali.

Gli stessi malware utilizzati avevano caratteristiche particolari, opportunamente tarate per sfruttare al massimo le vulnerabilità dei sistemi che intendevano colpire. Insomma: si trattava di software “cuciti su misura” per una specifica vittima.

Ora, alla luce delle rivelazioni di WikiLeaks, i (pochi) dubbi si sono dissolti e il collegamento tra Longhorn e i servizi segreti americani sono evidenti. È probabile, però, che questo non rimanga un caso isolato e che in un prossimo futuro scopriremo quali altre azioni portano la firma (nascosta) degli 007 americani.

Condividi l'articolo