(Riflessioni strategiche) Ottobre Rosso, il virus che ha rubato segreti di Stato per 5 anni (Leonardo Parigi, Meridiani, 15 febbraio 2013)
In un’era dominata dall’interconnessione globale anche lo spionaggio ha superato i vecchi metodi della guerra fredda. La “guerra globale” è già in atto, e i protagonisti di questo scontro non sono riconoscibili dal colore delle bandiere o dalle mostrine sulle divise, perché il conflitto è informatico. Il 13 gennaio scorso Kaspersky Lab, società russa leader nel settore anti-virus, ha lanciato l’allarme su un’operazione di hackeraggio di enorme portata contro le principali istituzioni pubbliche di sessantanove paesi diversi.
Ribattezzata “Ottobre Rosso”, in onore del celebre sottomarino comandato da Sean Connery nel film del 1990, l’operazione di cyber-crime ha interessato, per citare alcuni paesi, Stati Uniti, Irlanda, Svizzera, Brasile, Giappone, Sudafrica. Il virus sarebbe stato in grado di copiare e leggere mail personali, sms, documenti secretati e tutto ciò che era stato registrato all’interno dei pc infettati. Il virus avrebbe agito per cinque lunghi anni, collezionando una mole impressionante di dati.
Il team di ricercatori che ha scoperto l’intrusione informatica è guidato da Eugene Kaspersky. Diplomato all’accademia di criptologia del Kgb, Kaspersky è direttore dell’omonimo laboratorio, ha una grande passione per i vulcani della Kamchatka, un debole per il Chivas, ed è un cacciatore di virus. Ha amici e nemici, e fra questi c’è chi sostiene che sia troppo vicino ai servizi del suo paese, la Russia. Il 31 gennaio del 2008 il The Guardian aveva definito Kaspersky un “Kgb man”, ma poco dopo, nel febbraio, il quotidiano aveva rettificato. L’equivoco era nato per via di una specializzazione in crittografia che Kaspersky ottenne in un istituto finanziato dall’allora servizio segreto sovietico.
Gli esperti del colosso guidato da Kaspersky chiamano “vittime di alto profilo” tutti quelli che finiscono nel botnet (una rete di computer infettati dal web e controllati da un’unica entità remota, detta botmaster), quando l’obiettivo principale del virus sono agenzie governative, ambasciate, istituzioni pubbliche sulla ricerca nucleare e aziende chiave nella gestione energetica.
Non si conoscono le intenzioni del network di criminali informatici autori dell’hackeraggio, ma è stato accertato che la struttura avrebbe contato su un server centrale, successivamente decentralizzato dall’utilizzo di altri server utilizzati come “proxy” (ovvero come programmi di mediazione tra il server e il client), che hanno reso estremamente complicato il riconoscimento della base operativa. Una struttura enorme, data la mole di dati immagazzinata. Alcuni dei comandi base del virus erano scritti in cirillico altri in lingua cinese, quindi è impossibile determinare l’origine geografica degli hacker. Quanto al mandato, gli hacker potrebbero aver agito per un’organizzazione specifica, oppure come free-lance pagati da un singolo governo o da un’agenzia di sicurezza.
“Rocra” (altro nome dato alla botnet “Ottobre Rosso”) è stato progettato per svolgere diverse attività, dall’estrazione delle password al furto della cronologia del browser, fino alla possibilità di fare screen-shot di programmi o installazioni. Un modulo particolare del virus sarebbe anche stato in grado di rilevare il collegamento della vittima al proprio smartphone, indicandone località e messaggi, telefonate e contatti.
Il Kaspersky Lab è fra le voci più autorevoli nel mondo degli anti-virus. I tecnici del laboratorio hanno riconosciuto e combattuto virus del calibro di Duqu, Mahdi e Flame, che si erano introdotti negli impianti di ricerca nucleare di Teheran. E sono riusciti a risalire all’origine dei virus più distruttivi mai intercettati, come Flame o Stuxnet (svariate ricostruzioni attribuiscono l’origine di questo virus ai servizi segreti americani o al Mossad israeliano). “Ottobre Rosso”, però, resta ancora senza un mandante effettivo.
Il settimanale francese L’Express riporta i dettagli dell’attacco da parte di “Ottobre Rosso” subito dall’Eliseo nello scorso maggio, a pochi giorni dalle elezioni presidenziali. Il virus sarebbe riuscito ad accedere al “cuore stesso del potere politico francese”, afferma il giornalista Charles Haquet, “arrivando fino ai computer personali dei più stretti consiglieri di Nicolas Sarkozy”.
L’attacco viene fatto risalire al 2007, giorno in cui venne registrato uno dei domini da cui sono partite le prime mail infette. Considerando il numero dei computer infettati, i tecnici della Kaspersky affermano che la complessità dell’operazione deve ormai aver fruttato centinaia di terabyte, e che probabilmente esiste una struttura con circa 60 server per contenere tutte le informazioni. Dalle ricerche condotte, sono riusciti a risalire a 55.000 collegamenti da parte di 250 indirizzi IP univoci a partire solo da novembre scorso.
Non esistono dettagli più precisi sui singoli attacchi che il virus ha messo a segno nei paesi colpiti. Secondo i tecnici della Kaspersky, “Rocra” sarebbe stato fermato da sistemi di sicurezza aggiornati e multipli, quindi quando il virus ha trovato terreno fertile è perché c’è stata una sottovalutazione del rischio informatico. I computer che possediamo stentano a tenere il ritmo dell’innovazione, quindi i virus devono essere in grado di modificarsi e di “adattarsi all’ambiente” in maniera estremamente efficace. Darwin sarebbe soddisfatto, perché “a vincere non è il più forte, ma colui che si adatta meglio”.