• Paolo Benanti

Cybersec e presidenziali: Drovorub vs FBI e NSA

La scorsa settimana è stato rilasciato un report da FBI e NSA su un nuovo malware per Linux sviluppato dai militari russi. Perché questa diffusione di notizie? E perché c'entrano le presidenziali in USA? Guardiamone i dettagli.

Così leggiamo nell'executive summary:

Il Main Intelligence Directorate (GRU) nella sezione 85th Main Special Service Center (GTsSS) dello Stato Maggiore russo, nello specifico l'unità militare 26165, sta distribuendo malware precedentemente non divulgato per sistemi Linux, chiamato Drovorub, come parte delle sue operazioni di spionaggio informatico.


L'attività cibernetica dannosa di GTsSS è stata precedentemente attribuita dal settore privato utilizzando i nomi Fancy Bear, APT28, Strontium, e una varietà di altri identificatori.



Questa pubblicazione fornisce informazioni di base su Drovorub, l'attribuzione del suo utilizzo alla GTsSS, informazioni tecniche dettagliate sul malware di Drovorub, indicazioni su come rilevare Drovorub sui sistemi infetti e raccomandazioni per la mitigazione.


Le informazioni contenute in questo Cybersecurity Advisory vengono divulgate pubblicamente per aiutare i proprietari del National Security System e il pubblico a contrastare le capacità del GRU, un'organizzazione che continua a minacciare gli Stati Uniti e gli alleati statunitensi come parte del suo comportamento illecito, compresa l'interferenza nelle elezioni presidenziali del 2016 come descritto nel report del 2017: Intelligence Community Assessment, Assessing Russian Activities and Intentions in Recent US Elections (Office of the Director of National Intelligence, 2017).


Drovorub è un set di strumenti per malware Linux composto da un impianto accoppiato con un rootkit del modulo del kernel, uno strumento per il trasferimento di file e il port forwarding e un server Command and Control (C2).



Quando viene distribuito su una macchina vittima, l'impianto Drovorub (client) fornisce la capacità di comunicazioni dirette con l'infrastruttura C2 controllata dall'attore; capacità di scaricare e caricare file; esecuzione di comandi arbitrari come "root"; e port forwarding del traffico di rete verso altri host sulla rete.


Una serie di tecniche di rilevamento complementari identificano efficacemente l'attività del malware di Drovorub. Tuttavia, il modulo del kernel di Drovorub pone una sfida al rilevamento su larga scala sull'host perché nasconde gli artefatti di Drovorub da strumenti comunemente usati per la risposta in tempo reale su scala.


Mentre l'ispezione dei pacchetti ai confini della rete può essere utilizzata per rilevare Drovorub sulle reti, i metodi basati sull'host includono il probe, i prodotti di sicurezza, la risposta in tempo reale, l'analisi della memoria e l'analisi dei supporti (immagine del disco).



Una guida specifica per l'esecuzione di Volatility, il probe per il comportamento di occultamento dei file, le regole di Snort e le regole Yara sono tutte incluse nella sezione Rilevamento di questo rapporto.


Per evitare che un sistema sia suscettibile al nascondimento e alla persistenza di Drovorub, gli amministratori di sistema dovrebbero aggiornarsi al Kernel Linux 3.7 o successivo per sfruttare appieno l'applicazione della firma del kernel. Inoltre, ai proprietari di sistemi si consiglia di configurare i sistemi per caricare solo moduli con una firma digitale valida, rendendo più difficile per un attore introdurre un modulo del kernel dannoso nel sistema.


Perché è interessante leggere il report?

Le informazioni e le opinioni contenute nel documento sono dichiarate fornite "così come sono" e senza alcuna garanzia. Tuttavia le agenzie fanno esplicito riferimento a specifici prodotti commerciali, pur sottolineando che questo non implica necessariamente la sua approvazione, raccomandazione o favoreggiamento da parte del governo degli Stati Uniti. Il sogno del software open o le soluzione che questo consente sono tuttavia fragili se prese di mira da potenze altamente competenti e aggressive. Il report ci mostra come alcuni servizi chiave della democrazia, tra questi anche tutto il meccanismo di campagna elettorale, devono essere tutelati dagli stessi funzionari del governo: le iniziative dei cittadini e dei partiti sono fondamentalmente atti liberi che possono, però, essere oggetto di sharp power.


“Una nuova forma di potere: affilato, silenzioso e pericoloso”. Il concetto di sharp power si è fatto strada nella teoria delle relazioni internazionali, occupando uno spazio tra le più conosciute categorie di soft e hard power. Ma cosa si intende esattamente con questo termine? Un interessante volume di Paolo Messa si inserisce in questo dibattito, partito dal mondo accademico ma arrivato a quello politico.


Paolo Messa è fondatore della rivista Formiche, dirige il Centro Studi Americani ed è Nonresident Senior Fellow dell’Atlantic Council a Washington DC. Studi e analisi pubblicati negli anni su Formiche sono stati elementi essenziali per la stesura del saggio, che, muovendo da un’analisi dei tratti distintivi dello sharp power, giunge a trattare il fenomeno sulla base degli esempi concreti della politica internazionale e delle relazioni tra gli Stati degli ultimi anni.


Il concetto di sharp power è in effetti piuttosto nuovo. Viene espresso per la prima volta nel 2017 dal National endowment for democracy (Ned), una fondazione no-profit statunitense che nel suo lungo rapporto “Sharp Power . Rising Authoritarian Infuence” denunciava l’azione di Stati come Russia e Cina volta promuovere una silenziosa ma efficace opera di propaganda all’estero per aumentare la propria influenza. Secondo il rapporto, i regimi illiberali tenterebbero a interferire nella vita dei Paesi democratici sfruttando a proprio favore i nuovi strumenti offerti dalla globalizzazione: manipolazione di notizie, pressioni sugli attori politici ed economici, attacchi cyber.



Insomma – per usare le parole dell’autore – siamo di fronte a una “rivoluzione nella scienza delle relazioni internazionali”. Una rivoluzione informatica che porta il conflitto politico in una dimensione digitale, che agisce sul terreno dell’opinione pubblica, della politica e dell’economia. E che soprattutto, come sottolinea l’autore, non riguarda soltanto Cina e Russia, ma investe tutte le grandi potenze, comprese quelle emergenti (il libro fa l’esempio dell’Iran) e quelle democratiche, assumendo quindi natura globale.


Tornando al nostro rapporto è interessante anche notare che NSA e FBI utilizzano una varietà di fonti, metodi e partnership per acquisire informazioni sulle minacce informatiche straniere. La guida su Drovorub contiene le informazioni che la NSA e l'FBI hanno concluso che possono essere divulgate pubblicamente, in linea con la protezione delle fonti e dei metodi e con l'interesse pubblico. In altri termini possiamo prendere la guida come un esempio di OSINT cyber (la Open Source INTelligence, acronimo OSINT - in italiano: "Intelligence delle fonti libere" -, è l'attività di raccolta d'informazioni mediante la consultazione di fonti di pubblico accesso).



Infine ci sembra interessante il seguente disclaimer:

Questo advisory è stato sviluppato come uno sforzo congiunto tra NSA e FBI a sostegno delle rispettive missioni di ciascuna agenzia. Il rilascio di questa consulenza promuove le missioni di sicurezza informatica della NSA, comprese le sue responsabilità di identificare e diffondere le minacce ai sistemi di sicurezza nazionale, ai sistemi informativi del Dipartimento della Difesa e alla Base Industriale della Difesa, e di sviluppare ed emettere specifiche e attenuanti per la sicurezza informatica. Queste informazioni possono essere ampiamente condivise per raggiungere tutti i soggetti interessati.


Che il report sia pubblicato per aiutare Democratici e Repubblicani a svolgere in maggiore sicurezza le loro campagne elettorali lo dimostrano anche le fonti citate in coda al report:


  • Office of the Director of National Intelligence. (2017, January 6). Intelligence Community Assessment: Assessing Russian Activities and Intentions in Recent US Elections. Retrieved from dni.gov: https://www.dni.gov/files/documents/ICA_2017_01.pdf Washington Post. (2018, July 13).

  • Timeline: How Russian agents allegedly hacked the DNC and Clinton's campaign. Retrieved from https://www.washingtonpost.com/news/politics/wp/2018/07/13/timeline-how-russianagents-allegedly-hacked-the-dnc-and-clintons-campaign



Da notare che il report si basa anche sul lavoro che Microsoft sta compiendo per la cybersicurezza e per l'uso sicuro del software open negli ultimi anni come mostrano altre fonti utilizzate nel report:


  • Microsoft. (2019). The Enemy Within Modern Supply Chain Attacks. Retrieved from https://i.blackhat.com/USA-19/Thursday/us-19-Doerr-The-Enemy-Within-ModernSupply-Chain-Attacks.pdf

  • Microsoft Security Response Center. (2019). "Corporate IoT - a path to intrusion". Microsoft Blog. Retrieved from https://msrc-blog.microsoft.com/2019/08/05/corporate-iot-a-path-tointrusion/


Di fatto ci troviamo di fronte a una nuova sfida per la sussistenza dell'ordinamento democratico e per le relazioni internazionali. Vedere come il cyber sia lo spazio di aggressione tra diverse filosofie politiche ci porta sulla frontiera di questo nuovo millennio in cui la libertà e la democrazia sembrano dover essere difese con bit e codice - anche dalle grandi aziende che in US hanno prosperato in forza di questa democrazia e della democratizzazione dell'informatica - prima ancora che con idee e coraggio.

185 visualizzazioni