martedì 23 ottobre 2018

Russia, Corea del Nord e non solo. L’attribuzione dei cyber attacchi oltre ogni ragionevole dubbio

L’analisi di Cristina Posa - magistrato di collegamento del DoJ presso l’ambasciata degli Stati Uniti in Italia - pubblicata da Cyber Affairs


Durante la conferenza sulla cybersicurezza dell’Osce tenuta il 28 settembre 2018 a Roma, nell’ambito della presidenza dell’Italia all’Osce, il rappresentante della Russia ha criticato ciò che lui aveva avvertito come un approccio eccessivamente aggressivo nell’attribuzione alla Russia di cyberattacchi, affermando che alcune nazioni sembravano “ignorare la presunzione di innocenza, e hanno designato una parte colpevole sulla base del principio del molto probabile”. Ma le sue affermazioni risultano essere fuori luogo quando si guarda alle recenti accuse penali dagli Stati Uniti contro alcuni cyberactor maligni di nazionalità russa o sponsorizzati da altri Stati. Sebbene il cybercrime, per sua natura, è velato da segretezza e anonimità, il Dipartimento di Giustizia statunitense è riuscito a portare avanti pesanti ed evidenti accuse penali sia contro privati che contro attori sponsorizzati da Stati, contando su prove concrete per analisi e considerazioni rigorose, con l’eventuale scopo di provare la colpevolezza dei singoli imputati oltre ogni ragionevole dubbio in un processo pubblico.
In questa sede esaminerò alcune tecniche investigative usate in alcune recenti indagini avute negli Stati Uniti. Queste informazioni vengono direttamente dagli atti di accusa disponibili pubblicamente, ciò sta a significare che le prove sono state valutate da una gran giuria oppure da un giudice federale per dimostrare la probable cause di colpevolezza. “Probable cause” significa un elevato onere di prova, benché non tanto rigoroso quanto l’onere di “prove oltre ogni ragionevole dubbio” necessario per provare la colpevolezza dell’imputato nel contesto del processo penale. Nonostante ciò, il manuale del Dipartimento di Giustizia prevede che i prosecutor federali non dovrebbero contestare i reati se non credono ragionevolmente di essere in grado di provare i reati contestati oltre ogni ragionevole dubbio, usando prove legalmente sufficienti e utilizzabili nella fase dibattimentale del processo. “Prova oltre ogni ragionevole dubbio” non è la stessa cosa che dire “100% di certezza”, ma va molto oltre il “molto probabile”. Negli Stati Uniti, le giurie sono istruite nel senso che la pubblica accusa deve porre alla base della condanna le prove che escludano qualsiasi ragionevole dubbio riguardo la colpevolezza dell’accusato, sebbene la pubblica accusa non ha l’onere di provare la colpevolezza dell’imputato oltre qualsiasi possibile dubbio.
Questi processi penali americani dimostrano che l’attribuzione di cybercrimini ad individui, con lo scopo dell’inizio dell’azione penale contro gli stessi, richiede molto più che analisi tecniche su malware o analisi forensi sui network delle vittime. Sebbene queste analisi siano fondamentali, raramente sono sufficienti di per sé per provare la responsabilità degli individui. Nel puzzle dell’attribuzione della responsabilità penale, un altro tassello è rappresentato quasi sempre da ulteriori categorie di prove, come le informazioni da account online, comprese le email o i profili dei social media: o la traccia di transazioni finanziarie, compresa la criptovaluta, usata per pagare l’infrastruttura utilizzata per condurre attacchi; o anche l’utilizzo tradizionale di fonti confidenziali umane. In altre parole, l’attribuzione oltre ogni ragionevole dubbio è possibile, ma richiede un approccio investigativo altamente sofisticato e multidimensionale per scovare questi cyberattacchi altrettanto sofisticati e multidimensionale, i quali hanno creato tanta distruzione su scala globale nell’ultimo decennio.

Prove ottenute dai Social Media nel caso della Corea del Nord

Nel giugno 2018, il procuratore federale del Distretto Centrale della California ha ottenuto un mandato di arresto nei confronti del programmatore informatico nordcoreano Park Jin Hyok per aver partecipato in una pluriennale associazione a delinquere su scala mondiale, col fine di condurre intrusioni telematiche e commettere frodi telematiche per conto del governo della Corea del Nord. La conspiracy includeva cyberattacchi contro la Sony Pictures Entertainment nel novembre 2014 e un cyberfurto di ben 81 milioni di dollari dalla Bangladesh Bank nel febbraio 2016, come anche altri cyberattacchi che hanno dato luogo a perdite per oltre un miliardo di dollari. Gli stessi soggetti sono stati gli autori del ransomware “WannaCry 2.0” che è stato diffuso nel maggio 2017.
L’atto accusatorio di 179 pagine è straordinario per il suo livello di dettaglio e fornisce una guida per tecniche investigative e tecniche di attribuzione di colpevolezza ben riuscite. Esso spiega come, nonostante la varietà dei bersagli, gli attacchi contenevano diverse firme che alla fine hanno permesso gli investigatori statunitensi di attribuire gli attacchi alla Corea del Nord in generale e poi nello specifico a Park. Le intrusioni sono state eseguite usando sempre gli stessi computer o dispositivi digitali, usando gli stessi account o serie di email sovrapposte o di account di social media, pseudonimi, e cyberinfrastrutture, compresi gli stessi indirizzi IP e servizi proxy. Rilevare queste firme, comunque, non è stato semplice; la prova ha incluso non soltanto le analisi forensi delle reti dei computer vittime delle intrusioni e i malware, ma ha riguardato anche informazioni ottenute eseguendo all’incirca 100 perquisizioni su circa 1000 account email o di social media, controllate dai soggetti dell’indagine, come circa 85 rogatorie internazionali formulate verso Paesi esteri.
L’atto di accusa nei confronti di Park ha dimostrato che l’analisi sugli account internet è fondamentale per l’attribuzione di responsabilità con lo scopo del perseguimento dell’azione penale. Per esempio, l’atto di accusa spiega come il “worm” (verme) “Brambul” usato dagli hacker nordcoreani ha avanzato da computer a computer, cercando di infettare altri computer e poi, una volta affermatosi, ha trasmesso le credenziali e le informazioni sugli host necessarie per accedere ai network delle vittime a certi “collector” di account email codificati in malware – molti dei quali erano account Gmail. Gli investigatori hanno anche analizzato i profili Facebook usati per propagare i malware negli attacchi contro Sony così come gli hyperlink usati per connettersi ai malware, che sono stati creati usando un servizio di accorciamento di URL come il servizio di Google goo.gl. Le connessioni fra i vari account Gmail, Microsoft, Facebook, LinkedIn ed altri servizi Internet e i vari attacchi individuati dal Dipartimento di Giustizia crea una rete di prove complicatissima, quasi da far girare la testa, ma potente. Infatti, un account email usato con scopi illeciti conteneva anche un’email con allegato il curriculum di Park, compresa la sua data di nascita e la sua fotografia. Senza giri di parole, le analisi sui social media non possono essere separate dalle cyber analisi forensi quando l’obiettivo è l’attribuzione della responsabilità penale individuale che vada oltre ogni ragionevole dubbio.

Cooperazione Internazionale e Analisi Finanziaria nei casi del GRU russo

Nell’ottobre 2018, il procuratore federale del Distretto Occidentale della Pennsylvania ha accusato sette hacker militari russi del Direttorato Generale dell’Intelligence (GRU) per una campagna criminale di attacchi informatici che ha incluso il furto e la divulgazione di archivi medici privati appartenenti a 250 atleti, inclusi atleti olimpici americani. Come si evince dagli atti dell’accusa, gli hacker russi hanno puntato gli atleti e le maggiori organizzazioni anti-doping per vendicarsi di un divieto contro degli atleti russi dovuto ad un programma di doping sponsorizzato dallo stato russo. Questi hackers hanno anche bersagliato alcuni impiegati della Westinghouse Electic Corporation nella Pennsylvania occidentale, un’azienda di energia nucleare che fornisce l’Ucraina con il combustibile nucleare, come anche un’organizzazione e un laboratorio che indagava la Russia sugli usi di armi chimiche. Hanno poi divulgato i dati pubblicamente, spesso in maniera fuorviante, mascherandosi come “Fancy Bears’ Hack Team” sui siti fancybear.net e fancybear.org, che sono stati sequestrati dal Dipartimento di Giustizia, ed utilizzando anche account sui social media, nel contesto di una campagna di misinformazione.
Ma i procuratori di Pittsburgh e l’FBI come hanno potuto attribuire queste intrusioni ai membri di un’agenzia di intelligence militare russa altamente sofisticata? L’accusa di 41 pagine ancora una volta dimostra che solo un’indagine condotta su scala globale può combattere questa minaccia mondiale. Gli investigatori americani hanno lavorato con i colleghi delle forze dell’ordine all’estero e con le vittime in tutto il mondo per dimostrare come gli imputati hanno condotto l’operazione sia tramite tecniche di accesso remoto, compresi attacchi di spear-phishing, da un’unità identificata del GRU a Mosca, sia con operazioni di “close access” condotte da membri del GRU che hanno viaggiato in tutto il mondo per attaccare i computer nelle vicinanze. L’accusa descrive in dettaglio diverse operazioni “on-site”: come l’operazione di Rio De Janiero durante gli scorsi Giochi Olimpici del 2016, che ha compromesso l’account di email di un ufficiale americano dell’Agenzia Anti-Doping USA, o l’operazione di Losanna in Svizzera che ha visto il furto delle credenziali di login di un ufficiale antidoping canadese, o l’operazione a L’Aja nell’aprile 2018, con un attacco tentato ai network dell’Organizzazione per la proibizione delle armi chimiche (OPCW), la quale stava indagando sull’uso delle armi chimiche in Siria nel marzo 2018 e sull’avvelenamento di un ex ufficiale del GRU nel Regno Unito con un agente chimico del gas nervino. Queste operazioni on-site hanno spesso avuto come bersaglio i network del Wi-Fi usati dalle organizzazioni delle vittime o del loro personale, comprendendo il Wi-Fi di hotel, nel tentativo di ottenere l’accesso non autorizzato ai network dei computer delle vittime.
Le categorie di prove descritte nell’accusa sono diverse e onnicomprensive, e considerate nell’insieme, risultano essere molto più che un solo “molto probabile” grado di attribuzione della responsabilità. Oltre alle analisi sugli account sui social media per smascherare profili falsi creati dagli imputati, le tecniche usate in questo caso includono un lavoro insieme a collaboratori internazionali per ottenere informazioni che identificano gli imputati che viaggiano con passaporti diplomatici russi e includono anche la sorveglianza fisica di uno degli imputati mentre conduceva un’operazione di hacking on-site all’OPCW. Gli investigatori americani hanno anche seguito le tracce delle transazioni di criptovalute usate per pagare l’infrastruttura usata negli attacchi e l’hanno esaminata attentamente, comprendendo l’identificazione di 38 comuni indirizzi IP usati per attaccare sia l’Agenzia Antidoping Americana (USADA), che l’Agenzia Mondiale Antidoping (WADA), e vari falsi nomi di domini. Sebbene, normalmente tutti i pagamenti effettuati in bitcoin sono resi pubblici attraverso il registro Blockchain, i cospiratori hanno provato a nascondere la cronologia delle loro transazioni acquistando infrastrutture tramite l’uso di centinaia di account email. In alcuni casi hanno anche usato un nuovo account per ogni acquisto. Ma l’accusa spiega come i cospiratori hanno usato specifici account email destinati a ricevere centinaia di richieste di pagamenti in bitcoin da parte di circa 100 diversi account email. La prova riguardo a questi specifici account email destinati a questo scopo è stata cruciale per dipanare la complicata rete di transazioni.
E, come descritto sopra per quanto riguarda il caso della Corea del Nord, l’indagine ha coinvolto l’esaminazione di hyperlink usati in email spear-phishing che sono stati accorciati utilizzando il servizio di riduzione di URL come Bit.ly. Bit.ly richiede che, per usufruire dei servizi offerti, gli utenti debbano crearsi un account, e gli investigatori hanno notato che uno stesso account Bit.ly è stato utilizzato per accorciare alcuni URL che sono stati poi allegati alle email di spear-phishing inviate ad impiegati sia dell’USADA, che della WADA. Inoltre, sul riscontro dell’invio di cinque diversi link malvagi tutti creati con lo stesso account Bit.ly ad impiegati della Westinghouse Electric nella Pennsylvania occidentale, i procuratori americani hanno contestato cinque capi d’accusa per frode informatica ad un individuo. Gli investigatori americani hanno usato simili tecniche investigative, comprendendo analisi sui link con URL accorciato inviati da email spear-phishing nella campagna elettorale di Hillary Clinton. Nel luglio 2018 dodici ufficiali del GRU sono stati accusati per aver attaccato i computer di americani ed enti coinvolti nelle elezioni presidenziali statunitensi del 2016 e per aver rilasciato informazioni confidenziali con lo scopo di interferire nelle elezioni.

Nessun commento: