Anonymous ha aiutato ad intercettare due hacker militari cinesi, ma senza saperlo

Abbiamo parlato la settimana scorsa del dossier che il contractor americano Mandiant, un’agenzia privata specializzata nella sicurezza elettronica, ha compilato sull’Unità 61398 e sul suo legame con i cosiddetti hacker cinesi. Il suo top team, sovvenzionato munificamente dalla Repubblica Popolare Cinese, saccheggiando i database statunitensi di dati sensibili e segreti industriali, mettendo in pericolo la sicurezza nazionale e le infrastrutture.

Manca ancora un pezzo molto interessante di questo puzzle: Mandiant ha isolato e riconosciuto l’operato di due persone specifiche, entrambe parte di questo gruppo di elite che viene definito Comment Crew oppure APT1. E c’è dell’altro: sono stati riconosciuti grazie all’aiuto accidentale di Anonymous.

Questa spy story ha davvero risvolti affascinanti, perché Mandiant è riuscita a collegare dettagli impensabili alle operazioni degli APT1. Un esempio? Nel dossier è citato un documento che ordina ad una telecom locale di aumentare il numero di collegamenti a fibre ottiche nel nome della sicurezza nazionale, come ci fa sapere Ars Technica.

Ma non basta. Veniamo alle identità dei due hacker su menzionati. Il primo si fa chiamare con il nick UglyGorilla, un nome che compare molto frequentemente nei codici dei malware dell’unità. Il soprannome che gli è stato affibbiato dalle autorità governative americane, “Comment Crew”, deriva proprio dall’abitudine di lasciare questi commenti nel codice, una preziosa miniera di informazioni e “impronte digitali”.

UglyGorilla è un programmatore di malware, quindi, ed ha lasciato questa firma fin dal 2007 quando la Comment Crew non esisteva ancora. Qui entra in gioco Anonymous, perché un collegamento alla sua persona fisica è stato reso pubblico da Anonymous quando ha fatto il leak dei database di HBGary nel 2011. Al suo interno qualcuno aveva usato il nick “uglygorilla” ed anche una password, poi riutilizzata da un individuo per registrarsi ad una conferenza dell’esercito cinese e ad un sito usato per varie operazioni dal team di hacker cinesi.

Da lì è stato possibile vedere come l’uomo abbia riutilizzato nick ed identità per operare dal famoso edificio di 12 piani di Shangai [nella foto in cima all'articolo], e che il suo nome dopo un controllo incrociato potrebbe essere Wang Dong.

Nella stessa maniera è stato “fregato” anche SuperHard_M, SH per gli amici. Dal leak di HBGary questo nick è riemerso, e con esso un collegamento diretto con gli IP di quel quartiere. Pensate che si è registrato con l’indirizzo mei_qiang_82@sohu.com e che un tale Mei Qiang ha scritto anni fa post su vari forum su come “scrivesse Trojan per soldi” e addirittura di come si fosse trasferito a Shangai, Pudong New Area - avete già indovinato, il quartiere dell’Unità 61398. Potrebbe ovviamente essere un nome falso, ma resta il SUO nome falso.

L’idea che i cinesi reclutino e paghino hacker estranei all’esercito come contractor è in giro da anni. Se Mandiant ha davvero assicurato una simile mole di dati ed indizi in merito, allora questa teoria è accurata al 100%. D'altro canto sarebbe meglio prepararsi a dei colpi di scena - finora a Mandiant sembra essere andato tutto troppo liscio.

Foto | Gizmodo

  • shares
  • Mail