Virus contro spie

Il volo Malaysia Airlines, guerra tra bande di hacker del sud-est asiatico, un'azienda russa che produce antivirus: benvenuti nell’età d'oro del cyberspionaggio.

«Posso fare più danni mentre siedo in pigiama davanti al mio laptop con la prima tazza di Earl Grey della mattinata di quanti non ne faccia lei in un anno di missioni sul campo».

Nel 2012 il responsabile tecnologico dell’MI6, nome in codice Q, è diventato uno stronzetto 30enne con occhialetti alla Snowden che vuole rottamare James Bond e il suo lavoro demodé. Uscito tre anni fa, l’ultimo film del franchise, Skyfall, deve vedersela con un pubblico troppo smaliziato per credere ad agenti segreti muniti di penne-pistola, sigarette esplosive e altri gadget assurdi: dopo Wikileaks e lo scandalo NSA tutti abbiamo assimilato l’idea che l ’intelligence agisca soprattutto in Rete e – per quanto il realismo non sia mai stato l’ingrediente principale delle avventure di Bond –  un aggiornamento era diventato obbligatorio. E in effetti le operazioni cibernetiche nel mondo reale, a volte, rivelano ambientazioni, personaggi e brandelli di trame che non hanno niente da invidiare alla migliore fiction spionistica, un John Le Carré improvvisamente precipitato in quella che ormai gli esperti definiscono “l’età dell’oro del cyberspionaggio”.

È il caso della battaglia a colpi di virus tra Hellsing e Naikon, due gruppi di hacker del sud-est asiatico.

L’8 marzo 2014 il volo MH370 della Malaysia Airlines in servizio da Kuala Lumpur a Pechino sparisce completamente dai radar. Un mistero tragico che coinvolge centinaia di famiglie, i governi della zona e migliaia di persone, tutti impegnati nelle ricerche di un aereo con a bordo 239 tra passeggeri e personale dell’equipaggio, 239 persone di cui, tuttora, ignoriamo il destino.

Ma mentre cittadini e media seguono minuto per minuto l’evolversi della situazione, ci sono altre forze all’opera: nelle ore successive alla sparizione dell’aereo i sistemi informatici di Malaysia, Cina, Singapore, Indonesia, Cambogia, Filippine, Myanmar, Vietnam, Laos, Thailandia e Nepal diventano il bersaglio di un esteso attacco cyber che prende di mira uffici presidenziali, governativi, basi militari, agenzie di coordinamento intelligence, autorità per l’aviazione civile, ministeri della Giustizia, forze di polizia.

L’attacco viene raccontato in  un report pubblicato a metà maggio da Kaspersky Lab, una delle aziende leader nel settore dei sistemi di sicurezza informatici. Gli analisti riconoscono una stringa precisa, ormai diventata una firma: nascosta nella backdoor dei virus c’è la parola Nokian, identificata fin dal 2010 dagli informatici della società russa con un gruppo di hacker chiamato Naikon, che conduce attacchi in tutto il sud-est asiatico a caccia di informazioni geostrategiche.  Ma l’11 marzo 2014, a 72 ore dalla scomparsa del volo MH370, succede qualcosa di nuovo, che non ha precedenti nelle scorribande di Naikon: qualcuno reagisce con una rappresaglia.

Il  cyberspionaggio è diventato la principale minaccia alla sicurezza e alla competitività delle nazioni a partire dal 2004-2005

In campo è sceso un gruppo rivale,  che Kaspersky Lab battezza Hellsing, come il manga, capace di ritorcere contro Naikon i suoi stessi virus. Hellsing conduce attacchi contro Malaysia, Indonesia, Filippine, India e Stati Uniti utilizzando le stesse stringhe di Naikon, leggermente modificate per ottenere obiettivi diversi.

«Questa è una classica storia di spia contro spia, ma si svolge sul piano cyber», dice Igor Soumenkov di Kaspersky Lab in un video che illustra lo scontro. Quello a cui gli analisti alludono, senza dirlo esplicitamente, è che siamo di fronte a due gruppi di hacker al servizio di almeno due governi, che per qualche ragione ingaggiano un duello proprio mentre infuriano le ricerche del volo sparito.  Una battaglia che prosegue in varie forme da oltre un anno.

«Il  cyberspionaggio è diventato la principale minaccia alla sicurezza e alla competitività delle nazioni a partire dal 2004-2005», dice Stefano Mele. Avvocato, esperto di cyber warfare e cyber intelligence, è il direttore di ricerca su questi temi per il Centro Militare di Studi Strategici e, secondo Forbes, uno dei 20 migliori esperti di cyber policy al mondo.

Le ragioni per cui viviamo nell’età dell’oro della cyberintelligence, spiega Mele, sono essenzialmente quattro:«Si utilizza sempre meno carta, anche in ambiti critici tutte le informazioni vengono digitalizzate. Poi queste informazioni vengono accentrate in sistemi, hard disk, e adesso addirittura in cloud, di cui non abbiamo alcun controllo. Dove si trovano fisicamente questi dati? In quale parte del mondo? Chi vi ha accesso? Inoltre c’è una notevole ignoranza dei pericoli derivanti dall’utilizzo non oculato della digitalizzazione. E, infine, c’è il fatto che, nel 90% dei casi, se ci sa fare, l’hacker resta completamente anonimo».

Proprio come Haikon ed Hellsing, due brigate hacker probabilmente inquadrate negli eserciti di due Stati della regione, ma alle quali nessuno al momento può attribuire con certezza una bandiera. Anche perché il teatro della loro guerra segreta è uno dei quadranti potenzialmente più a rischio del pianeta: quasi tutte le nazioni coinvolte si affacciano sul Mar Cinese Meridionale, dove da almeno cinque anni gli eserciti di Cina, Vietnam, Filippine e , in misura minore, Malaysia e Indonesia, digrignano i denti per disputarsi un pugno di isole disabitate che nascondono immensi giacimenti di gas e petrolio, mettendo in scena “incidenti” a colpi di navi che tranciano cavi di esplorazione rivali, violente “cacce al cinese” sul suolo vietnamita e, da ultimo, isole artificiali costruite da Pechino per rivendicare la propria supremazia. Basarsi esclusivamente sull’origine degli attacchi per stabilire con sicurezza chi abbia sparato la prima raffica di malware è impossibile, dato che il primo stratagemma impiegato in questo gioco consiste nel nascondersi dietro server piazzati lontani dal proprio territorio, ma i rapporti di Kaspersky alludono maliziosamente all’uso della lingua cinese da parte di almeno uno degli hacker della prima ondata di attacchi Naikon. È un indizio?

«La Cina ha si muove seguendo tre necessità principali», spiega Stefano Mele, «la prima è quella del controllo del territorio interno, quindi parliamo del controllo del dissenso, e in questo rientra ovviamente la censura sul web. La seconda è quella di uno scenario di conflitto con gli Usa; Pechino investe moltissimo in signal intelligence, electronic intelligence e attività satellitari per accecare le capabilities americane. Il terzo aspetto deriva dal fatto che la Cina non è una potenza globale, come dicono alcuni, ma una grande potenza regionale in forte ascesa, che cerca di consolidare questa posizione con attività di spionaggio sugli Stati dell’area. Non è nulla che non farebbe un’altra potenza nella sua situazione. Detto questo, la Cina ha una bulimia di informazioni, e i suoi attacchi cyber spesso si riconoscono perché massicci, ma disordinati. Le sue capacità di spionaggio elettronico non sono così raffinate come pensiamo».

Per mettere in piedi una brigata cyber con le capacità di Naikon o Hellsing, dice Mele, ci vuole il lavoro ragionato di 10-20 persone di alto profilo. Quando si utilizza un software per attaccare un bersaglio, di fatto si regala quel software all’avversario, che poi potrà modificarlo e rivolgertelo contro, proprio come Hellsing ha fatto con Naikon.

Forse la verità sul destino del volo MH370 non sarà mai svelata, così come un suo presunto collegamento con lo scontro cibernetico in atto nel sud-est asiatico, ma viene naturale almeno farsi qualche domanda. Se il volo Kuala Lumpur-Pechino è stato dirottato da un gruppo terroristico, perché nessuno ha mai rivendicato l’attacco? Uno degli eserciti schierati nelle acque del Mar Cinese Meridionale ha abbattuto l’aereo per errore, insabbiando poi l’accaduto? E se fosse possibile addirittura controllare un aereo a distanza, come suggerisce non un sito web complottista, ma un rapporto pubblicato ad aprile dal GAO (United States Government Accountability Office), l’ufficio governativo che svolge il compito di fare le pulci agli uffici della pubblica amministrazione americana?

Ma anche interrogarsi sulle proprie fonti è sempre un esercizio sano: perché Kaspersky Lab, produttore di antivirus, pubblica un report di questo tipo sul proprio sito? Può succedere che queste aziende smettano il ruolo di osservatore e scendano in campo come giocatori? La risposta è allo stesso tempo semplice ed elusiva:«Kaspersky pubblica rapporti del genere perché promuove i suoi servizi, e qualsiasi soluzione di sicurezza elettronica in vendita oggi deve dimostrare di non essere un semplice antivirus, ma un vero e proprio pacchetto per proteggere il cliente da qualsiasi tipo di minaccia. Lo fa qualsiasi azienda globale e stiamo parlando di un oligopolio composto da 4-5 società. Ma a un certo livello avere un’azienda di antivirus leader mondiale in casa significa anche dotarsi di un asset strategico, esattamente come avere in casa un’agenzia di rating internazionale», dice Mele.

Nel 2011 il figlio di Eugene Kaspersky, il fondatore di Kaspersky Lab, venne rapito a Mosca per tre giorni in circostanze mai chiarite completamente. Forse Le Carré ci avrebbe costruito una  storia a base di KGB e Zar Vladimir. Ma se Edward Snowden, il caso NSA e la scomparsa del volo Kuala Lumpur-Pechino ci dicono qualcosa, è che la realtà potrebbe essere ancora più complicata.

Nell’immagine in evidenza una scena di WarGames – Giochi di guerra di John Badham (Usa 1983)