Per prendere di mira Israele, i protagonisti delle operazioni di spionaggio hanno fatto credere di essere iraniani, ma hanno lasciato alcuni indizi che li hanno traditi.
di Patrick Howell O’Neill
Quando gli hacker hanno fatto irruzione nei computer del governo e delle aziende tecnologiche israeliane, gli investigatori hanno cercato indizi per scoprire chi fosse il responsabile. La prima prova puntava direttamente sull’Iran, il rivale geopolitico più controverso di Israele. Gli hacker hanno utilizzato strumenti normalmente associati agli iraniani e hanno scritto in lingua farsi.
Ma dopo un ulteriore esame delle prove e delle informazioni raccolte da altri casi di spionaggio informatico in tutto il Medio Oriente, gli esperti si sono resi conto che non si trattava di un’operazione iraniana. Invece, è stato condotto da agenti cinesi che si spacciavano per una squadra di hacker di Teheran.
Gli hacker hanno preso di mira con successo il governo israeliano, le aziende tecnologiche e di telecomunicazioni e, a quanto pare, speravano di indurre in errore gli analisti a credere che gli aggressori provenissero dalla sfera geografica israeliana. Una nuova ricerca della società americana di sicurezza informatica FireEye, in collaborazione con l’esercito israeliano, svela l’inganno fallito e descrive le tecniche utilizzate dagli hacker nel tentativo di attribuire la colpa ad altri.
Secondo il documento di ricerca, molte delle loro tattiche erano tentativi abbastanza evidenti di simulare che fossero spie iraniane, come l’utilizzo di percorsi di file contenenti la parola “Iran”. Ma gli aggressori si sono anche preoccupati di proteggere le loro vere identità riducendo al minimo le prove forensi che hanno lasciato sui computer compromessi e nascondendo l’infrastruttura che hanno usato per entrare nelle macchine israeliane.
Ma il loro stratagemma di puntare il dito contro l’Iran è fallito. Gli hacker, a cui FireEye si riferisce come UNC215, hanno commesso diversi errori tecnici chiave che hanno fatto saltare la loro copertura e li hanno fatti collegare al loro lavoro precedente. Per esempio, hanno utilizzato file, infrastrutture e tattiche simili in più operazioni in Medio Oriente. “Ci sono elementi che distinguono l’operatore o il suo sponsor”, afferma John Hultquist, vicepresidente dell’intelligence sulle minacce di FireEye.
Un altro indizio importante è il tipo di informazioni o vittime che gli hacker hanno preso di mira. L’UNC215 attacca ripetutamente lo stesso tipo di obiettivi in Medio Oriente e in Asia, tutti direttamente collegati agli interessi politici e finanziari della Cina. Gli obiettivi del gruppo si sovrappongono a quelli di altri gruppi di hacker cinesi, che non sempre coincidono con gli interessi di noti hacker iraniani. “Si può cercare di ingannare, ma alla fine si deve prendere di mira ciò che interessa”, afferma Hultquist. “Ciò fornirà informazioni in base a quali sono i veri interessi”.
L’unica ovvia contromossa è mettere fuori pista gli investigatori perseguendo obiettivi che non sono realmente di interesse. Ma questo modo di agire causa i suoi problemi: aumentare il volume di attività incrementa notevolmente le possibilità di essere scoperti. Le impronte digitali lasciate dagli aggressori sono state sufficienti per convincere alla fine gli investigatori israeliani e americani che il responsabile era il gruppo cinese, non l’Iran. Lo stesso gruppo di hacker ha già utilizzato tattiche ingannevoli simili. In effetti, potrebbe anche aver hackerato lo stesso governo iraniano nel 2019, aggiungendo un ulteriore livello all’inganno.
È il primo esempio di un attacco cinese su larga scala contro Israele e arriva sulla scia di una serie di investimenti cinesi multimiliardari nell’industria tecnologica israeliana. Sono stati realizzati come parte della Belt and Road Initiative di Pechino, una strategia economica intesa a espandere rapidamente l’influenza cinese e raggiungere l’Eurasia fino all’Oceano Atlantico. Gli Stati Uniti hanno messo in guardia da questi investimenti sulla base del fatto che sarebbero stati una minaccia alla sicurezza.
Il depistaggio e la falsa attribuzione
L’attacco dell’UNC215 a Israele non è stato particolarmente sofisticato o di successo, ma mostra quanto sia importante l’attribuzione delle responsabilità nelle campagne di spionaggio informatico. Non solo fornisce un potenziale capro espiatorio per l’attacco, ma offre anche una copertura diplomatica agli aggressori: di fronte a prove di spionaggio, i funzionari cinesi sostengono regolarmente che è difficile o addirittura impossibile rintracciare gli hacker.
Il tentativo di sviare gli investigatori solleva una domanda ancora più grande: quanto spesso le false attribuzioni ingannano gli investigatori e le vittime? Non così spesso, spiega Hultquist. “Anche se un singolo attacco viene attribuito erroneamente, nel corso di molti attacchi diventa sempre più difficile mantenere credibile l’inganno. È il caso degli hacker cinesi che hanno preso di mira Israele nel 2019 e nel 2020.
Il tentativo più noto di attribuzione errata nel cyberspazio è stato un attacco informatico russo contro la cerimonia di apertura delle Olimpiadi invernali del 2018 in Corea del Sud, soprannominato Olympic Destroyer. I russi hanno tentato di lasciare indizi che indicassero hacker nordcoreani e cinesi, con prove contraddittorie apparentemente progettate per impedire agli investigatori di arrivare a una conclusione chiara.
“Olympic Destroyer è un incredibile collage di indizi falsi”, ha twittato all’epoca Costin Raiu, direttore del team di ricerca e analisi globale di Kaspersky Lab . Alla fine, ricercatori e governi hanno dato la colpa di quell’incidente al governo russo, e l’anno scorso gli Stati Uniti hanno incriminato sei ufficiali dell’intelligence russa per l’attacco. Quegli hacker nordcoreani che erano stati inizialmente sospettati alla fine sono stati identificati sia dai ricercatori del settore privato che dal governo degli Stati Uniti, che all’inizio di quest’anno ne ha incriminato tre.
(rp)
Foto: Ng Han Guan