A inizio marzo Qihoo 360, una delle società di antivirus più grandi al mondo, ha pubblicato un breve post dove collega, sebbene in maniera circostanziale, un threat actor identificato da loro come APT-C-39 con la CIA, l’agenzia di intelligence statunitense.
Di per sé l’annuncio non ha nulla di sorprendente, era scontato che la CIA avesse uno o più team di attacco per le proprie operazioni cyber; più interessante è invece la dinamica attorno all’annuncio, e le possibili ragioni per cui è stato pubblicato. Ma andiamo con ordine.
Indice degli argomenti
APT-C-39: tutti i retroscena
Qihoo 360 è un’azienda di sicurezza cinese che sviluppa antivirus per computer e smartphone, probabilmente poco conosciuta in Europa da chi non si occupa di cyber security, ma che comunque protegge 1 telefono su 2 in Cina e ha un bacino complessivo di 500 milioni di utenti che utilizzano il suo antivirus per PC.
Insomma, si tratta di un gigante che opera in regime di quasi monopolio (testa a testa con Tencent e Baidu), con una visibilità capillare sul territorio cinese, grazie al numero di dispositivi sotto controllo, che li pongono nell’invidiabile posizione di poter identificare e tracciare un’ingente quantità di cyber attacchi ai danni della Cina.
Qihoo 360 ha un team di ricerca di grande competenza e molto produttivo, tuttavia solo una parte delle loro analisi vengono pubblicate in inglese. Internamente Qihoo 360 usa una propria nomenclatura, come molte aziende del settore (purtroppo), per identificare i vari gruppi di attacco internazionali ed uno di questi, ovvero APT-C-39, è stato da loro pubblicamente collegato alla CIA.
L’analisi fatta da Qihoo 360 si basa su due elementi: uno interno, non condiviso nel loro post “per ragioni di sicurezza nazionale” e uno esterno basato su elementi più circostanziali raccolti dai documenti di VAULT 7, un leak di strumenti di cyber-attacco della CIA.
Il primo elemento riguarda certamente i dati di Threat Intelligence in loro possesso, vale a dire la cosiddetta telemetria degli attacchi e i relativi indicatori (comportamenti dell’attaccante, indirizzi IP, strumenti utilizzati) così come le entità colpite, che in questo momento non sono state identificate pubblicamente. L’azienda ne menziona soltanto i settori di appartenenza con focus verso l’aviazione civile.
Ma il post è interessante per altre ragioni, principalmente il fatto stesso che Qihoo 360 abbia deciso di rendere pubblica l’identificazione di un threat actor governativo, in un post breve ed essenzialmente non tecnico, in controtendenza con quella che è l’attività tipica del loro blog. La vera domanda è: perché?
VAULT 7 è stato un leak, pubblicato nel 2017 da WikiLeaks, che ha reso pubblici strumenti e documenti della CIA, causato, presumibilmente, da un insider attualmente sotto processo. Il leak rivelò una quantità impressionante di informazioni riguardo le capacità di attacco dell’agenzia, mettendo a nudo una serie di tecnologie che chiaramente erano destinate a rimanere segrete, come strumenti di attacco per tutti i maggiori browser: Chrome, Edge, Firefox e tutti i sistemi operativi: Windows, Linux, MacOS, Android, iOS.
La CIA dietro l’APT-C-39: le prove
Qihoo 360 ha utilizzato quindi questi elementi per tracciare una serie di somiglianze e collegamenti tra gli attacchi identificati in Cina e le informazioni pubblicate nell’archivio di VAULT 7.
Per tracciare tale collegamento tra APT-C-39 e la CIA, l’azienda presenta una lista di 5 “prove”:
- I malware identificati da Qihoo 360 sulle proprie vittime sono gli stessi che si trovano nell’archivio di VAULT 7.
- L’attività dei malware e degli attaccanti è coerente con le metodologie ed i processi descritti nei documenti di VAULT 7.
- A scanso di equivoci, Qihoo 360 puntualizza che i malware identificati erano stati ottenuti ben prima del leak di VAULT 7, questo servirebbe a dimostrare che non si tratta di un gruppo che ha riutilizzato gli strumenti dopo il leak, ma che ne era in possesso già da prima.
- Uno degli strumenti identificati nel 2011 è lo stesso strumento – chiamato WISTFULTOLL, un plugin di un trojan sofisticato usato per estrarre informazioni – rivelato nei leak di Snowden del 2014 e sviluppato dall’NSA, l’Agenzia di sicurezza nazionale americana. Come viene collegato alla CIA? Sempre tramite i documenti di Snowden che rivelarono una collaborazione tra NSA e CIA per lo sviluppo di strumenti di attacco.
- Tutti i malware identificati negli attacchi sono stati generati (compilati per esser precisi) in orari compatibili con gli orari di business negli USA.
Nessuna di queste “prove” rappresenta la pistola fumante perché Qihoo 360 non condivide alcun dettaglio operativo, ma questo non importa. Il punto del loro blogpost non è tanto quello di identificare inequivocabilmente la provenienza del threat actor – cosa che evidentemente hanno già fatto internamente, dal momento che sembrano in possesso di dati che vanno indietro di oltre un decennio – quanto piuttosto quello di rendere pubblico il messaggio: la Cina sa benissimo che gli Stati Uniti attaccano il loro territorio e le loro aziende, a fini di intelligence, da almeno 11 anni.
Five Eyes: l’alleanza occidentale per il cyber spionaggio
L’identificativo APT-C-39 è con ogni probabilità sconosciuto ai più, anche a molti che si occupano di Threat Intelligence. Altri identificativi come ad esempio CozyBear (intelligence Russa), APT10 (Cina) o MuddyWater (Iran) sono invece ben noti e apparsi sui media in svariate occasioni. Perché questa discrepanza e perché Qihoo 360 ha deciso di puntare il dito sulla CIA? La risposta ha probabilmente a che fare con l’immagine, tratteggiata dai media, del panorama delle operazioni di cyber intelligence.
La maggior parte delle grandi aziende di sicurezza opera o risiede principalmente negli Stati Uniti che fanno parte di un’alleanza denominata Five Eyes insieme a Regno Unito, Canada, Nuova Zelanda e Australia.
Quest’alleanza è stata creata con lo scopo di condividere intelligence, e infatti non poche sono state le operazioni congiunte tra NSA e GCHQ (il suo equivalente britannico).
Per questo c’è chi si domanda: le aziende, presenti sui territori dell’alleanza, quanto realmente fanno reporting sulle attività dei Threat Actor dei Five Eyes? Un esempio sono stati gli attacchi da parte di GCHQ e NSA ai danni della telco belga Belgacom nel 2013. L’attacco utilizzava un malware oggi noto come Regin (lo stesso poi utilizzato per colpire lo staff di Angela Merkel) che era ben noto alle aziende americane, e del quale non fu mai diffuso alcun dettaglio fino alla rivelazione dell’attacco da parte della stampa.
La risposta arrivò nel 2018 dal CEO di FireEye che dichiarò (screenshot più in basso) che i threat intelligence report dell’azienda venivano coordinati con l’intelligence dei Five Eyes. E che nel caso della scoperta di un malware alleato nell’infrastruttura, il malware veniva rimosso silenziosamente, senza allertare il cliente.
L’impressione generale è che pochi attori statali (essenzialmente Cina e Russia) siano la causa della maggior parte delle operazioni cyber, mentre non si parla praticamente mai delle loro controparti.
Tuttavia, come abbiamo visto prima anche Stati membri dei Five Eyes hanno attaccato a fini di spionaggio, e presumibilmente continueranno ad attaccare, l’Unione Europea. Se le aziende di sicurezza, a cui molti si affidano per proteggere le loro infrastrutture, dovessero continuare ad aderire alla linea di condotta di cui abbiamo parlato, si aprirebbe un enorme conflitto di interessi.
Il cliente europeo pagherebbe per un servizio che, in determinate condizioni, non verrebbe erogato come ci si aspetta per via di interessi interni del fornitore.
Conclusioni
Questo problema ha ramificazioni in ogni settore: abbiamo visto cosa è successo con Crypto AG, che per decenni ha venduto (anche all’Italia) macchine cifranti volutamente compromesse, per consentire alla CIA di intercettare e decifrare messaggi diplomatici.
Lo stesso discorso può farsi per l’infrastruttura 5G proposta da Huawei: gli Stati Uniti hanno iniziato una guerra commerciale e mediatica, mirata ad influenzare l’opinione pubblica con l’intento di far apparire inaffidabile Huawei.
Ma se Huawei può inserire delle backdoor nelle infrastrutture di comunicazione, perché lo stesso non può valere per gli USA? Del resto, i documenti di Snowden rivelarono nel 2013 che l’NSA era attiva sul territorio europeo (ed in Italia), da anni, per svariate ragioni.
Il post di Qihoo 360 forse vuole ricordare a un pubblico globale che anche gli Stati Uniti giocano in attacco. E come loro anche altri Stati, oltre alla Cina e alla Russia. E il fatto che di questi attacchi si parli pochissimo, per ragioni appena discusse, non li rende di certo meno concreti o di impatto.
