Spionaggio 3.0

M Butterfly e lo spionaggio 3.0

Funzionario presso l’Ambasciata di Francia a Pechino nel 1964, René Gallimard, assistendo alla rappresentazione in teatro della “Madama Butterfly” si innamora dell’interprete dell’opera, Song Liling, della quale diviene l’amante.

Così inizia il film ‘M Butterfly’ diretto da David Cronenberg e interpretato da Jeremy Irons. Non voglio spoilerare il drammatico finale, ma si tratta di un film che ci offre una visione molto romantica dell’attività di spionaggio, con al centro – tanto per cambiare – la Cina.

Lo spionaggio – nei miei ricordi – è sempre stato associato a vicende dove il protagonista, buono o cattivo che fosse, era sempre l’essere umano con le sue capacità, il suo sangue freddo e anche con le sue debolezze, specialmente per le belle donne.

Alzi la mano chi non ha sognato, almeno una volta, di fare l’agente segreto? Chi non ha desiderato, come un novello 007, di salvare il mondo tra una coppa di champagne e l’abbraccio di una delle tante Bond Girls?

Tuttavia il progresso avanza e anche il lato romantico della professione della spia comincia ad evaporare sotto i colpi di un’arida ma sempre più efficace tecnologia.

Lo scorso settembre Facebook ha subìto un attacco massivo di furti di dati personali che ha riguardato 30 milioni di account. Di questi è stato possibile accedere a ogni minimo dettaglio. Significa che foto, status, amici, storico e informazioni sui contatti sono finiti nelle mani di hacker non meglio identificati.

Nonostante il fatto che ci si stia abituando a tali vicende, vale la pena ricordare che il fantomatico hacker ha rubato i dati di un numero di persone pari a metà della popolazione italiana!

Ma anche questo “fuoriclasse” sta impallidendo rispetto alla vicenda portata alla luce recentemente da Bloomberg.
Occorre tornare un po’ indietro nel tempo.

Nel 2015, Amazon.com Inc. ha iniziato la valutazione di una startup chiamata Elemental Technologies, una potenziale acquisizione per espandere il proprio servizio di streaming video, noto oggi come Amazon Prime Video. Il software realizzato da Elemental serviva per la compressione di file video di grandi dimensioni e per la relativa formattazione su diversi dispositivi. La sua tecnologia aveva aiutato a far circolare online i giochi olimpici, a comunicare con la Stazione Spaziale Internazionale e a trasmettere i filmati dei droni alla CIA. I contratti di sicurezza nazionale di Elemental non costituivano la ragione principale dell’acquisizione, ma si adattavano bene alle attività governative di Amazon, come il cloud altamente sicuro che Amazon Web Services stava creando proprio per la CIA.

Per farsi aiutare con la due diligence, Amazon ha incaricato una società esterna per esaminare attentamente la sicurezza di Elemental. La prima fase di analisi ha sollevato problemi preoccupanti, spingendo Amazon a dare un’occhiata più da vicino al prodotto principale di Elemental, i costosi server forniti ai clienti per gestire la compressione video. Questi server sono stati assemblati per Elemental da Super Micro Computer Inc (comunemente conosciuta come Supermicro) che è uno dei maggiori fornitori al mondo di schede madri server, che fungono da cuore dei data center grandi e piccoli.

Nascosti sulle schede madri dei server, i tester hanno trovato un minuscolo microchip, non molto più grande di un chicco di riso, che non faceva parte del design originale delle schede. Amazon ha riferito la scoperta alle autorità degli Stati Uniti, raggelando la comunità dei servizi segreti. I server di Elemental si potevano trovare infatti nei data center del Dipartimento della Difesa, nelle operazioni di droni della CIA e nelle reti di bordo delle navi da guerra della Marina. Ed Elemental era solo una delle centinaia di clienti di Supermicro.

Questo attacco è stato qualcosa di più grave degli incidenti basati sulle violazioni software che il mondo si è abituato a vedere. Gli hackeraggi via hardware sono più difficili da realizzare e potenzialmente molto più devastanti.

Ci sono due modi in cui le spie possono alterare le apparecchiature informatiche. Uno, noto come interdizione, consiste nel manipolare i dispositivi mentre sono in transito dal produttore al cliente. Questo approccio è favorito dalle agenzie di spionaggio statunitensi, secondo i documenti trapelati dall’ex contractor della sicurezza nazionale Edward Snowden. L’altro metodo implica la realizzazione delle modifiche fin dall’inizio. Avere un impianto hardware ben fatto a livello nazionale sarebbe come “riuscire a vedere un unicorno che salta sopra un arcobaleno”.

Un paese in particolare ha un vantaggio nell’eseguire questo tipo di attacco: la Cina, che secondo alcune stime produce il 75% dei telefoni cellulari del mondo e il 90% dei PC.

Ma questo è proprio quello che hanno scoperto gli investigatori statunitensi: chip aggiunti alla scheda madre direttamente durante il processo di produzione, ad opera di agenti di un’unità dell’Esercito Popolare di Liberazione Cinese.

Si tratterebbe dell’attacco più significativo che sia mai stato condotto contro compagnie americane.

Supermicro vende infatti più schede madri server di quasi chiunque altro. Domina anche il mercato da $ 1 miliardo di schede utilizzate nei computer per scopi speciali, dalle macchine per risonanza magnetica ai sistemi d’arma. Le sue schede madri possono essere trovate presso banche, hedge fund, fornitori di cloud computing e servizi di hosting web, tra le altre cose.

Con oltre 900 clienti in 100 paesi entro il 2015, Supermicro ha offerto l’opportunità di accedere ad un’incredibile gamma di obiettivi sensibili. “Pensate a Supermicro come a una Microsoft del mondo dell’hardware”, afferma un ex funzionario dei servizi segreti degli Stati. “Attaccare le schede madri di Supermicro è come attaccare Windows. È come attaccare il mondo intero“.

Ben prima che le prove dell’attacco emergessero, fonti di intelligence americane riferivano che le spie della Cina avevano in programma di introdurre microchip dannosi nella catena di approvvigionamento. Le fonti non erano specifiche e purtroppo milioni di schede madri vengono spedite ogni anno negli Stati Uniti. Ma nella prima metà del 2014, una persona informata su discussioni ad alto livello dice che i funzionari dell’intelligence si sono recati alla Casa Bianca con qualcosa di più concreto: l’esercito cinese si stava preparando ad inserire i chip nelle schede madri Supermicro destinate alle compagnie statunitensi.

La specificità delle informazioni era notevole, ma lo erano anche le sfide che poneva. Rilasciare un ampio avvertimento ai clienti di Supermicro avrebbe potuto paralizzare tutto il settore tecnologico ed in aggiunta non era chiaro dall’intelligence a cosa l’operazione stesse mirando o quali fossero i suoi obiettivi finali.

Secondo una persona che ha familiarità con la vicenda, Apple avrebbe comunque scoperto i chip sospetti all’interno dei server Supermicro intorno a maggio 2015, dopo aver rilevato problemi di attività e della rete.

Successivamente Amazon scopre i chip ed informa gli investigatori del governo – che ancora stavano inseguendo gli indizi da soli – fornendo pieno accesso all’hardware sabotato.

Ciò ha creato un’opportunità inestimabile per le agenzie di intelligence e l’FBI, che svolsero un’indagine completa condotta dai team cyber e controspionaggio per vedere come erano i chip e come funzionavano.

Poiché gli impianti erano piccoli, anche la quantità di codice contenuta era piccola. Ma era in grado di fare due cose molto importanti: 1) dire al dispositivo di comunicare con uno dei vari computer anonimi altrove su Internet che erano caricati con un codice più complesso 2) preparare il sistema operativo del dispositivo per accettare questo nuovo codice.

A differenza degli hack basati su software, la manipolazione dell’hardware crea un percorso e tracce reali. I componenti lasciano una scia di documenti di spedizione e fatture. Le schede hanno numeri di serie che si riferiscono a fabbriche specifiche. Per rintracciare i chip corrotti alla loro fonte, le agenzie di intelligence degli Stati Uniti hanno iniziato a seguire la catena di forniture di Supermicro al contrario.

Mentre gli agenti monitoravano le interazioni tra funzionari cinesi, produttori di schede madri e intermediari, hanno intravisto come funzionava il “processo”. In alcuni casi, i responsabili degli impianti venivano avvicinati da persone che affermavano di rappresentare Supermicro o che detenevano posizioni che suggerivano una connessione con il governo. Gli intermediari avrebbero richiesto modifiche ai progetti originali delle schede madri, offrendo inizialmente bustarelle in combinazione con le loro richieste insolite. Se ciò non funzionava, minacciavano i dirigenti delle fabbriche con ispezioni che potevano chiudere i loro impianti.

Gli investigatori hanno concluso che questo intricato schema era opera di un’unità dell’esercito popolare di liberazione specializzata in attacchi hardware. L’esistenza di questo gruppo non è mai stata rivelata prima.

Il Ministero degli Affari Esteri cinese ha rilasciato una dichiarazione in cui si afferma che “la Cina è un risoluto difensore della sicurezza informatica”.

C’è un nuovo scottante capitolo nell’inchiesta firmata da Bloomberg su quello che sarebbe il più grave caso di spionaggio tecnologico da parte del governo cinese nei confronti di quello americano e delle sue principali aziende tecnologiche. Dopo la notizia del microchip nascosto, installato sulle schede madri usate nei data center dei colossi californiani al fine di spiarli, arriva quella riguardante una manipolazione simile ai danni di una grossa azienda di telecomunicazioni statunitense.

Un impianto hardware, rimosso lo scorso agosto, che avrebbe consentito a soggetti terzi di estrarre file contenenti segreti aziendali o governativi. La manipolazione è stata trovata su una porta Ethernet (di una scheda madre sviluppata da Supermicro e utilizzata nel data center della Telco colpita).

Questa seconda storia di Bloomberg è diversa dalla prima. E in qualche modo fornisce più dettagli e meno punti interrogativi.

Come avevamo scritto nello scorso numero di What’s Up, ‘It’s the technology, stupid!

Stay tuned, non è ancora finita.

Iscriviti a What's UP

Ricevi in anteprima tutti gli aggiornamenti