NSA, da Snowden trapelano i piani per infettare di malware milioni di PC

Erano già venuti alla luce i dettagli di come alcune operazioni dell'NSA avessero compromesso vasti network di PC - decine di migliaia di terminali. Quello che è emerso oggi è che i piani del controspionaggio per il futuro sono su una scala molto maggiore

Un paio di mesi fa era filtrata la notizia di cui si parla nel video qui sopra: l’NSA ha infettato più di 50.000 terminali, formando quello che nel gergo della sicurezza informatica si chiama botnet.

Secondo una serie di file emersi dal grande dossier che Edward Snowden ha trafugato al controspionaggio americano, quelle del passato sono solo giochetti se confrontati alle reali capacità, un'operazione gigantesca in cui l’NSA risulta capace di infiltrare milioni di computer attraverso sistemi automatizzati, in cui gli esseri umani fanno solo da supervisori, ma non mettono mano al processo.

Come lavorano gli hacker dell’NSA


Questa iniziativa clandestina si basa su un sistema chiamato “Turbine”, che è presente nell’arsenale dell’agenzia dal 2010 assieme ad altri elementi dal nome altisonante come Turbulence e Turmoil. Questa arma informatica si basa sulla capacità che ha lo stato americano di infilarsi come “man in the middle” grazie agli accordi con le telecom.

Siccome l’NSA ha l’accesso garantito a un network più veloce di quello normale e ha infiltrato apertamente o in modo clandestino snodi e centri dati, può di fatto presentare a un utente un sito o servizio fasullo, ma indistinguibile dall’originale, con tempi di risposta migliori di qualche attimo. Con questo sistema - che di fatto è un attacco hacker disponibile solo a uno stato-nazione e che avevamo esaminato qualche tempo fa - il terminale di una vittima è quasi certamente ingannato. Il bersaglio pensa di aver fatto il suo accesso a Facebook, per esempio, e invece le sue informazioni di login sono state rubate e magari un malware ha infettato il suo browser.

Questo sistema è così facile e potente che può essere automatizzato. Con un pulsante, l’NSA può ottenere un botnet o penetrare in milioni di PC disseminando malware tramite le sue finte pagine.

Nel gergo di queste spie, questi malware vengono definiti “Impianti”. Gli ingegneri software dell’agenzia, dicono i documenti, hanno studiato una maniera per fare in modo che gli analisti debbano semplicemente richiedere un dato, e la sua collezione di sistemi di guerra informatica glieli procurano senza bisogno che un tecnico studi altri dettagli. Turbine è così avanzato che è sufficiente inserire dei “selector”, ovverosia dei filtri, per “prendere la mira” sulle informazioni - tutto merito del suo network di sorveglianza “Turmoil”.

selectors-1024x768-640x480




Turmoil è in grado di identificare i cookie di servizi come Google, Facebook, Twitter, Mail.ru e così via, ma anche di vedere i numeri di serie di un software, gli identificativi di Windows Update, gli IMEI dei telefonini, gli indirizzi MAC di router e modem. Con queste informazioni si può installare “l’impianto” e iniziare la raccolta di dati.

Neanche i VPN sono al sicuro


Non c’è pace neppure nei network privati virtuali, o VPN, creati apposta per trasferire dati senza usare la Grande Rete. Grazie a una sequenza di attacchi chiamata Hammerstein e Hammerchant l’NSA viola anche lo standard IPSec, finora ritenuto sicuro, ma anche i servizi di VoIP che usano i protocolli SIP e H.323 sono vittime delle stesse procedure.

Gli ultimi documenti pubblicati, insomma ci offrono tutti i dettagli che ci mancavano di quella “Unità TAO” già nominata da Der Spiegel in dicembre. E ci rivela che al momento non è molto facile fuggire dalle maglie dell’NSA senza usare misure di sicurezza davvero straordinarie.

  • shares
  • Mail