Secondo i ricercatori informatici ed ex agenti, la National Security Agency statunitense ha trovato il modo di nascondere un software all'interno degli hard disk prodotti da Western Digital, Seagate, Toshiba e altri principali produttori, dando all'agenzia i mezzi per spiare potenzialmente la maggior parte dei computer al mondo.
Questa capacità cercata a lungo e gelosamente custodita, appartiene ad un gruppo di programmi di spionaggio scoperti da Kaspersky Lab, produttore di software di sicurezza con base a Mosca che ha già scoperto in passato diverse operazioni di spionaggio informatico occidentali.
Kaspersky ha dichiarato di aver trovato computer infetti da uno o più di questi software di spionaggio in oltre 30 paesi al mondo con il numero più alto di infezioni in Iran, seguito da Russia, Pakistan, Afghanistan, Cina, Mali, Siria, Yemen e Algeria. Gli obbiettivi comprendono istituzioni militari e governative, società di telecomunicazioni, banche, aziende energetiche, ricercatori nucleari, media e attivisti islamici.
La società russa, si è rifiutata di nominare pubblicamente il nome del paese responsabile di questa campagna di spionaggio, limitandosi ad affermare che è strettamente legato a Stuxnet, il virus utilizzato dall' NSA americana per attaccare gli impianti di arricchimento dell'uranio iraniani.
Un ex dipendente dell'NSA ha dichiarato alla Reuters che l'analisi di Kaspersky è corretta e che all'interno dell'agenzia questi software di spionaggio godono di un'alta valutazione proprio come Stuxnet. Un altro ex agente dell'agenzia ha confermato che l'NSA ha sviluppato una tecnica per nascondere spyware negli hard disk aggiungendo poi di non sapere fino a che punto l'intelligence faccia affidamento su questi strumenti per lo spionaggio.
Il portavoce dell'NSA Vanee Vines ha rifiutato di commentare.
Kaspersky ha pubblicato i dettagli tecnici della sua ricerca Lunedì, che dovrebbero aiutare le istituzioni colpite a identificare i software dannosi, alcuni dei quali tracciati nelle loro attività fino dal 2001.
La divulgazione di tale notizia potrebbe danneggiare ulteriormente la capacità di sorveglianza dell'NSA già deteriorata dalle massiccie rivelazioni di Edward Snowden. Rivelazioni che hanno incrinato i rapporti diplomatici degli Stati Uniti con diversi paesi alleati e rallentato le vendite di prodotti tecnologici verso l'estero.
L'esposizione di questi nuovi strumenti di spionaggio potrebbe portare a ulteriori reazioni negative nei confronti della tecnologia occidentale, in particolar modo in paesi come la Cina che sta già elaborando norme che richiederebbero, per esempio, ai fornitori di tecnologie bancarie una copia dei propri codici software in modo da poter essere ispezionati.
Peter Swire, uno dei cinque membri del gruppo di revisione su intelligence e communications technology del presidente Obama, ha dichiarato come il rapporto di Kaspersky abbia dimostrato l'importanza per gli Stati Uniti di prendere in considerazione i possibili impatti diplomatici e commerciali prima di decidere di utilizzare il proprio know how su eventuali falle nei software allo scopo di raccogliere informazioni sensibili.
"Potrebbero esserci gravi effetti negativi su altri interessi americani", ha detto Swire.
LA SVOLTA TECNOLOGICA
Secondo Kaspersky le spie hanno effettuato una svolta tecnologica nel trovare il modo di inserire software dannoso in quella parte oscura di codice chiamato firmware che viene lanciato automaticamente, ogni volta che si accende un computer.
Il firmware degli hard disk è visto, da spie ed esperti di sicurezza, come la seconda più valida dimora presente in un computer per un hacker, seconda solo al codice del BIOS.
"L'hardware sarà in grado di infettare il computer più e più volte", ha detto in un intervista Costin Raiu, ricercatore di Kaspersky.
Nonostante i promotori della campagna di spionaggio, per altro ancora attiva, avrebbero potuto prendere il controllo di migliaia di pc rubando o intercettando ciò che volevano, sono invece stati selettivi. Il pieno controllo remoto è stato abilitato sui più desiderabili obbiettivi stranieri secondo Raiu. Il quale ha poi aggiunto che Kaspersky ha scoperto solo pochi computers con hard disks infetti, ma comunque tutti ad alto valore strategico.
Le ricostruzioni di Kaspersky sui programmi di spionaggio, dimostrano che tali programmi sarebbero in grado di funzionare sui dischi venduti da più di una dozzina di aziende, praticamente coprendo l'intero mercato attuale.
Sono comprese Western Digital, Seagate Technology Plc, Toshiba Corp, IBM, Micron Technology Inc e Samsung Electronics Co Ltd.
Western Digital, Seagate e Micron hanno dichiarato di non essere a conoscenza di tali programmi di spionaggio. Toshiba e Samsung si sono rifiutate di commentare. IBM non ha risposto alle richieste di commento.
OTTENERE IL CODICE SORGENTE
Raiu ha dichiarato che gli autori di questi programmi di spionaggio devono aver avuto accesso al codice sorgente proprietario che gestisce il funzionamento degli hard disk. Tale codice può servire come tabella di marcia per le vulnerabilità, permettendo a chi lo conosce di pianificare gli attacchi molto più facilmente.
"Non c'è alcuna possibilità che qualcuno potesse riscrivere il sistema operativo degli hard disks basandosi su informazioni pubbliche" riferisce Raiu.
Le preoccupazioni riguardo l'accesso a codici sorgenti si sono palesate dopo una serie di attacchi informatici di alto profilo verso Google Inc e altre società statunitensi attribuiti alla Cina. Gli investigatori hanno riferito di aver trovato prove di come gli hackers abbiano avuto accesso ai codici sorgenti appartenenti a diverse aziende americane del campo tecnologico e della difesa.
Non è chiaro come la NSA possa aver ottenuto il codice sorgente degli hard disks. Il portavoce di Western Digital, Steve Shattuck ha dichiarato che la società "non ha fornito il suo codice sorgente ad agenzie governative". Gli altri produttori potrebbero non voler dichiarare di aver condiviso il proprio codice con l'NSA.
Il portavoce di Seagate Clive Over dichiara la presenza di "misure di sicurezza atte a prevenire la manomissione o il reverse engineering dei propri firmware e di altre tecnologie". Daniel Francisco, portavoce di Micron ha affermato che la sua società considera seriamente la sicurezza dei propri prodotti e che "non siamo a conoscenza di nessuna istanza di codice estraneo".
Secondo alcuni ex agenti dei servizi segreti, l'NSA ha vari modi per ottenere i codici sorgenti dalle aziende tecnologiche, come ad esempio chiederlo direttamente fingendosi uno sviluppatore di software. Se un'azienda vuole vendere i propri prodotti al Pentagono o ad altre agenzie sensibili degli Stati Uniti, il governo può richiedere una verifica di sicurezza per assicurarsi che il codice sorgente sia sicuro.
"Loro non lo ammettono, ma chiedono, 'Faremo una valutazione, abbiamo bisogno del codice sorgente'", riferisce il partner della società di consulenza in sicurezza Bishop Fox ed ex analista dell'NSA, Vincent Liu. "E' la norma che l'NSA faccia queste valutazioni, da li a dire che si terranno il codice sorgente il passo è breve".
Kaspersky ha rinominato gli autori del programma di spionaggio "the Equation group", dopo aver avuto a che fare con le loro complesse formule di crittografia.
Il gruppo ha utilizzato molti mezzi per diffondere altri programmi di spionaggio, come ad esempio compromettere siti web jihadisti, infettare memorie usb e compact disks e sviluppando uno specifico worm con la capacità di auto diffondersi tra i computer chiamato Fanny, riporta Kaspersky.
Analogie tra Fanny e Stuxnet, i quali hanno sfruttato entrambi due delle vulnerabilità software conosciute come "zero days" tenute segrete, suggeriscono la collaborazione tra gli autori dei virus, commenta Raiu. Egli aggiunge che è "molto probabile" che l'Equation Group abbia usato Fanny per scovare gli obbiettivi di Stuxnet in Iran e diffondere il virus.
Fonte: Reuters