Datagate, spie inglesi attaccano gli utenti su LinkedIn e Slashdot

L'agenzia di controspionaggio e intelligence informatica britannica GCHQ è responsabile di attività simili a quelle dell'NSA, rivela Der Spiegel. Ecco come.

Non c’è solo l’NSA a “lavorarsi” i nostri dati, là fuori. Sono tanti i paesi che si nascondono nelle tenebre per intercettare le comunicazioni diplomatiche, inseguire i terroristi o semplicemente crearsi un database utile per il dossieraggio futuro. La differenza è che conosciamo le attività dell’NSA grazie ai leak di Edward Snowden, e in effetti sappiamo qualcosa anche dei loro strettissimi alleati inglesi GCHQ, Government Communication Headquarters. E lo Spiegel tedesco ha pubblicato ieri un rapporto su come l’agenzia britannica usi un procedimento chiamato Quantum Insert Attack per bersagliare alcune persone speciali tramite pagine di LinkedIn e Slashdot.

Queste persone speciali sono gli impiegati di due compagnie che si occupano di GRX, che è un acronimo per Global Roaming Exchange. In poche parole, si tratta di coloro che gestiscono la complessa e fitta rete di accordi che consentono a un utente di godere del roaming internazionale per il proprio traffico Internet via cellulare. Le entità che si occupano di questo lavoro sono meno di due dozzine al mondo, e mettere un piede in esse vuol dire godere di una interessante porta di accesso a dati utilissimi.

Il metodo: ecco il potere dei server “Quantum”


Secondo il giornale tedesco l’agenzia di intelligence britannica ha bersagliato ingegneri e amministratori di MACH/Syniverse e Comfone, due provider GRX. Il primo è una multinazionale statunitense con interessi globali, mentre il secondo è basato in Svizzera ma fornisce servizi a più di 350 operatori nel mondo.

Il metodo usato per compromettere gli impiegati delle due aziende è puro malware, molto simile a quello sfruttato dagli hacker al soldo dei cybercriminali. Sono state presentate ai bersagli delle finte pagine di LinkedIn e Slashdot (nota community di “notizie per nerd”) corrotte da malware.

La procedura viene molto facilitata da alcuni accordi con le Telecom internazionali, che hanno consentito a NSA e GCHQ di allestire dei server speciali chiamati “Quantum”, che in virtù di tale rapporto di preferenza sono capaci di velocità superiori. Se si può far reagire una pagina web qualche istante prima del normale, in questo spazio di tempo si può presentare una pagina fasulla prima della risposta del sito reale. Il tipo di attacco è definito dagli esperti “Man in the middle”, o anche “Man on the side”, in cui il server Quantum fa come i prestigiatori e sostituisce la pagina. I browser sono ingannati molto più facilmente da questo trucco, che è considerato difficile da portare a termine per chi non ha una posizione privilegiata nell’infrastruttura della Grande Rete.

Lo stesso tipo di attacco è stato usato contro 9 impiegati dell’OPEC e Belgacom, il gigante della telefonia belga, in particolare il suo ramo BICS, un altro provider GRX. Nelle slide dell’NSA si è anche visto un piano per sostituirsi a Google tramite uno di questi server Quantum, ma non si sa se si tratti di una possibilità teorica o se sia stato davvero fatto in passato.

Foto | Intel@Flickr
Via | Ars Technica

  • shares
  • +1
  • Mail