Dagli attacchi informatici olimpici russi al malware nordcoreano da miliardi di dollari, il gigante tecnologico “spia” le mosse degli hacker sponsorizzati da nazioni straniere.
di Patrick Howell O’Neill
Di recente, il Pentagono ha assegnato a Microsoft un contratto da 10 miliardi di dollariper trasformare e ospitare i sistemi di cloud computing dell’esercito americano. “E’ in grado Microsoft di garantire la sicurezza dei sistemi del Pentagono contro alcuni dei più dotati hacker sulla terra, calcolando che gli attacchi si susseguono h24?”, si chiede James Lewis, vice presidente del Center for Strategic and International Studies.
La vittoria di Microsoft sul rivale del cloud Amazon per il contatto militare ultra-redditizio significa che un apparato di raccolta di informazioni tra le più importanti al mondo ha sede nei boschi fuori Seattle. Questa responsabilità in materia di sicurezza nazionale una volta aveva sede esclusivamente a Washington, DC. Ora in questo angolo dello stato di Washington, dozzine di ingegneri ed esperti d’intelligence sono intenti a combattere gli hacker sponsorizzati dai governi di tutto il mondo.
I membri del cosiddetto MSTIC (Microsoft Threat Intelligence Center) sono focalizzati sulle minacce: un gruppo è responsabile per gli hacker russi, nome in codice Strontium, un altro segue gli hacker nordcoreani, nome in codice Zinc, e ancora un altro monitora gli hacker iraniani, nome in codice olmio. MSTIC si occupa di oltre 70 gruppi sponsorizzati da governi sia con nome in codice sia senza.
Il quartier generale di Microsoft è vasto e labirintico con centinaia di edifici e migliaia di dipendenti. Dovevo incontrare il team di Microsoft che segue le tracce degli hacker più pericolosi del mondo.
Un gioco di attacco e difesa
John Lambert è alla Microsoft dal Duemila, quando una nuova realtà di cybersecurity stava per essere dislocata per la prima volta a Washington, DC, nella sede centrale di Microsoft, che allora era esclusivamente un’azienda di software per PC e si stava solo avvicinando a comprendere l’importanza di Internet.
Con Windows XP il team ha assistito a una serie di seri e imbarazzanti problemi di sicurezza, inclusi worm auto-replicanti come Code Red e Nimda. Gli insuccessi hanno interessato molti clienti governativi e privati ??di Microsoft, mettendo in pericolo il suo core business. Solo nel 2002, quando Bill Gates inviò il suo famoso promemoria soffermandosi soprattutto sul “calcolo affidabile”, Redmond iniziò finalmente a prendere di petto il nodo della sicurezza informatica.
“Attacco e difesa richiedono un equilibrio perfetto”, mi ha detto Lambert. “Per difendere bene, devi essere in grado di attaccare. Devi avere anche una mentalità offensiva; non puoi semplicemente pensare alla difesa se non sai essere creativo quando attacchi”.
Dopo aver visto aumentare il numero di campagne di hacking sponsorizzate dal governo, Lambert ha sfruttato questa mentalità offensiva per guidare i cambiamenti nel modo in cui Microsoft ha affrontato il problema. L’obiettivo era passare da un “mondo oscuro” inconoscibile – dove i team di difesa guardano, frustrati, mentre gli hacker sofisticati penetrano nelle reti con falle nella protezione del software – in un dominio in cui Microsoft può vedere quasi tutto.
“Quali sono i superpoteri di Microsoft?”, si chiede Lambert.
La risposta è che il suo sistema operativo Windows e altri software sono quasi ovunque, offrendo a Microsoft gli strumenti per rilevare ciò che accade su vaste aree di Internet. Ciò solleva domande sulla privacy che non abbiamo ancora del tutto risolto, ma è un enorme vantaggio quando si parla di sicurezza.
Nei prodotti Microsoft erano già integrati sistemi di segnalazione di errori Windows per cercare di comprendere bug e malfunzionamenti generali mediante telemetria o la raccolta di dati da qualsiasi hardware o software dell’azienda in uso. Ma sono stati Lambert e i team di sicurezza a trasformare i sistemi di telemetria in potenti strumenti di sicurezza, velocizzandone i processi.
In precedenza, i team dedicati alla sicurezza dovevano spesso andare fisicamente in tutto il mondo, trovare macchine specifiche mirate, copiare i loro dischi rigidi e cercare di ricostruire quanto successo. Ora quelle macchine semplicemente raggiungono Microsoft. Praticamente ogni incidente e comportamento imprevisto viene segnalato all’azienda, che si concentra sulla massa di dati e, spesso, trova malware prima di chiunque altro.
Il malware noto come Bad Rabbit, che nel 2017 si è presentato sotto forma di un aggiornamento Adobe Flash e ha cancellato il disco rigido di un utente, esemplifica il modo in cui Microsoft ha cambiato i punti di debolezza in punti di forza. Entro 14 minuti dall’introduzione del ransomware, gli algoritmi di apprendimento automatico analizzano i dati e mettono a fuoco di che tipo di minaccia si tratta. Windows Defender lo ha bloccato automaticamente, ben prima che qualsiasi essere umano sapesse cosa stava succedendo.
“Questo è ciò che nessun altro ha: visibilità e dati. Le informazioni esclusive sono relative a arresti anomali dell’applicazione nel sistema operativo e a livello del software ”, afferma Jake Williams, ex membro della National Security Agency. “Anche per gli arresti anomali di terze parti, hanno dei dati di telemetria su quanto accaduto. “La telemetria ha trasformato ogni macchina e prodotto Windows in una fonte che fornisce dati e registri di Microsoft, istantaneamente e in tutto il mondo, registrando l’eventuale presenza di qualcosa di insolito.
“Microsoft vede cose che agli altri sfuggono”, afferma Williams, che ha fondato Rendition Infosec, una società che si occupa di sicurezza informatica. “Troviamo regolarmente cose come, per esempio, flag per IP dannosi in Office 365 che Microsoft contrassegna, ma non vediamo nessun altro in grado di farlo”.
Unisci i punti
L’intelligence sulle minacce informatiche permette di monitorare gli avversari, raccogliendo informazioni per rendere la vita più dura a chi sta portando avanti un attacco. Per raggiungere questo obiettivo, il team MSTIC, nato 5 anni fa, comprende ex spie e operatori di intelligence del governo la cui esperienza in luoghi come Fort Meade, sede della National Security Agency e degli Stati Uniti Cyber Command, si traduce immediatamente in ruoli chiave in Microsoft.
MSTIC nomina dozzine di minacce, ma la geopolitica è complicata: la Cina e gli Stati Uniti, due dei principali attori del cyberspazio e le due maggiori economie del mondo, non sono praticamente mai chiamati in causa, a differenza di paesi come l’Iran, la Russia e la Corea del Nord.
“Il nostro team utilizza i dati, collega i punti, racconta la storia, tiene traccia di chi agisce e dei suoi comportamenti”, afferma Jeremy Dallman, direttore dei programmi strategici e delle collaborazioni presso MSTIC. Tanmay Ganacharya conduce ricerche avanzate sulla protezione dalle minacce nel team Microsoft Defender, che sta applicando la scienza dei dati alla massa di segnali in arrivo nel tentativo di creare nuovi livelli di difesa. “Poiché disponiamo di prodotti in campi diversi, abbiamo sensori che ci stanno fornendo il giusto tipo di segnali”, egli afferma. “Il problema è: come gestire efficacemente tutti questi dati?”.
Microsoft, come altri giganti della tecnologia, tra cui Google e Facebook, avvisa regolarmente le persone prese di mira dagli hacker governativi, offrendo agli obiettivi la possibilità di difendersi. Nell’ultimo anno, MSTIC ha notificato a circa 10.000 clienti Microsoft che sono stati presi di mira da hacker governativi.
I nuovi obiettivi
A partire da agosto, MSTIC ha individuato la cosiddetta password spraying campaign, vale a dire il tentativo di colpire una larga base di username con qualche password nota o comunemente utilizzata. Gli hacker hanno preso in considerazione circa 2.700 possibili password per account associati alla campagna presidenziale americana, a funzionari governativi, a giornalisti e a iraniani di alto profilo che vivono fuori dall’Iran. Quattro account sono stati compromessi in questo attacco.
Gli analisti di MSTIC hanno identificato in parte gli account compromessi, ricostruendo i passaggi infrastrutturali che Microsoft sostiene siano controllati esclusivamente dal gruppo di hacking iraniano Fosforo.
“Una volta che abbiamo capito la loro infrastruttura, conosciamo il loro indirizzo IP che usano per scopi dannosi, e possiamo iniziare a guardare i record DNS, i domini creati, il traffico della piattaforma”, afferma Dallman. “Quando iniziano a utilizzare quell’infrastruttura in questo tipo di attacco, lo vediamo subito e lo monitoriamo come indicatore noto del comportamento di quell’attore”.
Dopo aver svolto un lungo lavoro di ricognizione, Fosforo ha cercato di sfruttare il processo di recupero dell’account utilizzando i numeri di telefono reali degli obiettivi. MSTIC ha individuato Fosforo e altri hacker sponsorizzati dal governo, incluso il russo Fancy Bear, per l’uso ripetuto del phishing di codici di autenticazione a due fattori per obiettivi di alto valore.
Ciò che ha messo in allarme Microsoft è stato il fatto che Fosforo ha variato la sua procedura operativa standard di stare dietro a ONG e alle organizzazioni che si occupano di sanzioni. Il mirino si è spostato, le tattiche sono cambiate e la portata dell’attacco era più vasta.
“Non è un fenomeno raro, ma la differenza qui è che si stava muovendo su una scala significativamente più ampia di quanto avessimo visto prima”, afferma Dallman. “Si rivolgono frequentemente a questi obiettivi, ma il lavoro di ricognizione che avevano svolto per questa campagna era eccessivo. Alla fine hanno colpito quelli che stavano prendendo di mira, inclusa la persona coinvolta nella campagna presidenziale”.
L’indagine di Microsoft alla fine ha puntato il dito sugli hacker iraniani per aver preso di mira campagne presidenziali tra cui, secondo quanto riferito da “Reuters”, l’operazione di rielezione di Donald Trump per il 2020.
“Abbiamo capito gli schemi“
“La proliferazione delle tecniche di hackeraggio significa una gamma molto più ampia di vittime”, afferma Lambert. “Altri attori da seguire”.
La conferma arriva dagli attacchi al mondo politico. Una conseguenza delle elezioni americane del 2016 è la lotta serrata per hackerare partiti politici, campagne elettorali e think tank, per non parlare del governo stesso. L’hacking relativo alle elezioni è stato in genere terreno dei “big four”: Russia, Cina, Iran e Corea del Nord. Ma si sta diffondendo in altri paesi.
“Stanno entrando in gioco altri paesi che prima non erano presenti”, afferma Jason Norton, uno dei project manager di MSTIC. “I due grandi [Russia e Cina] interferiscono già da prima delle elezioni del 2016. “Ma ora il campo si sta affollando”, concorda Dallman. “Gli attori stanno imparando l’uno dall’altro.
Le prossime elezioni saranno diverse, in quanto tutti si aspettano di vedere all’opera attività di disinformazione. All’inizio del 2016, gli attacchi informatici russi sono stati sottovalutati, contribuendo alla paralisi e una risposta incerta. Non questa volta.
“La differenza è che sappiamo che sta per accadere”, spiega Dallman.
“Adesso sappiamo che faranno. Abbiamo capito gli schemi. Prima nel 2016, poi in Germania e in Francia, seguendo sempre lo stesso modello. Anche alle elezioni di midterm del 2018, anche se in misura minore, si sono ripetute le stesse modalità di attacco. Ora sappiamo, nel 2020, succederà di nuovo”.
La normalità, ora, è che le aziende di cyberintelligence del settore tendono ad aprire la strada a questo tipo di attività di pubblica sicurezza mentre il governo segue a ruota.
Nel 2016, è stata CrowdStrike a indagare per prima e a puntare il dito sull’attività russa di interferenza con le elezioni americane. Le forze dell’ordine e la comunità dell’intelligence degli Stati Uniti hanno successivamente confermato le scoperte dell’azienda e alla fine, dopo l’indagine di Robert Mueller, hanno incriminato gli hacker russi.
Con una dimensione totale di oltre 1 trilione di dollari, Microsoft è un ordine di grandezza più grande e può portare enormi risorse alla sfida della sicurezza. E il gigante della tecnologia ha un altro grande vantaggio: ha occhi, orecchie e software ovunque. Questo, come direbbe Lambert, è la sua superpotenza.