Il New York Times racconta quattro mesi di attacchi informatici continui e prolungati contro i propri server. L’attacco sarebbe partito alcuni giorni prima dell’uscita della sua inchiesta sulle ricchezze della famiglia del premier cinese. Il gruppo di hacker è noto con il nome collettivo di “A.P.T. Number 12”, una lunga storia.
Il New York Times denuncia in prima pagina: “negli ultimi 4 mesi, hacker cinesi hanno persistentemente attaccato il NYT infiltrandosi nei suoi computer e appropriandosi delle password di giornalisti e impiegati”.
Gli attacchi possono essere fatti risalire al 13 settembre, quando il lavoro sulla famiglia del premier Wen Jiabao stava per essere ultimato. Lo scoop, una bomba che è detonata dalle pagine dello stesso giornale il 25 ottobre poco prima dell’apertura del XVIII Congresso del Partito comunista, consisteva nell’aver accumulato i dati sufficienti a provare che la famiglia di Wen aveva accumulato quasi tre miliardi di dollari mentre il premier Jiabao, il “chinese best actor”, recitava la parte del leader vicino al popolo.
Gli esperti di sicurezza informatica assunti dal NYT che fanno capo all’azienda Mandiant hanno bloccato gli attacchi ai computer e li hanno ripuliti, arrivando a convincersi che erano hacker cinesi già associati all’Esercito di liberazione popolare. L’obiettivo finale sembrerebbero essere state le mail dei giornalisti David Barboza e Jim Yardley, rispettivamente a capo dell’ufficio del NYT a Shanghai e in India. Gli esperti pensano fossero in cerca di nomi delle gole profonde dietro l’inchiesta piuttosto che dei dati.
Il ministro della difesa cinese chiamato in causa dallo stesso NYT ha negato l’origine cinese degli attacchi. “La legge cinese proibisce qualsiasi azione che possa danneggiare la sicurezza informatica, inclusi gli hackeraggi” ha detto. E ha aggiunto: “accusare i militari cinesi degli attacchi informatici senza solide prove è infondato e manca di professionalità”.
Ma gli esperti di sicurezza informatica citati dal NYT sono sicuri che gli hacker cinesi hanno cominciato ad attaccare i giornalisti occidentali già nel 2008 per identificare ed intimidire eventuali fonti o anticipare storie che avrebbero potuto danneggiare la propria classe dirigente. L’azienda Mandiant ha identificato almeno 30 gruppi editoriali occidentali che sono stati attaccati solo a dicembre scorso e ha stilato una breve lista con i giornalisti ripetutamente oggetto di attacchi cibernetici.
D’altronde, non manca i notare onestamente il NYT, non è solo la Cina ad usare lo spionaggio e gli attacchi informatici per questioni legate interessi nazionali. Al suo fianco gli Stati Uniti, Israele, la Russia e l’Iran sono fortemente sospettati di aver sviluppato e usato “armi informatiche”.
Come hanno fatto?
Da quando si è accorto degli attacchi, il NYT ha monitorato la situazione per provare a capire come si erano mossi e come si stavano muovendo gli hacker. Nella maggioranza dei casi sembrava veramente un lavoro da ufficio. Gli hacker entravano in azione ogni mattina alle 8:00 (BJ time) e continuavano per l’intera giornata lavorativa. Solo raramente sarebbero rimasti attivi fino a notte fonda. Per motivi che non sono riusciti a spiegare qualche volta gli attacchi si sono fermati per un paio di settimane (sarebbe utile sapere quali a nostro avviso).
Gli hacker sarebbero prima entrati nei pc di diverse università statunitensi per poi sferrare gli attacchi di lì. Una modalità molto comune ai cinesi, secondo la Mandant. Così il gruppo sarebbe entrato in possesso delle password degli account personali di ogni singolo impiegato del NYT sarebbe entrato in 53 computer del personale del NYT, nella maggior parte dei casi fuori dalla redazione vera e propria.
Le indagini non hanno portato a definire con certezza come siano riusciti ad entrare nel sistema del NYT, probabilmente attraverso un tentativo di phishing andato a buon fine. Forse una mail personale a qualche impiegato con un link o un allegato “malicious”. In questi casi basta un click perché l’hacker abbia modo di installare il cosiddetto rat, ovvero lo strumento di accesso remoto che permettere di succhiare tutte le informazioni utili che sono in quel computer e di spedirle direttamente sul server utilizzato dagli hacker.
In tre mesi gli hacker avrebbero allestito nei computer degli impiegati almeno tre “back door” da usare come campo base e avrebbero installato almeno 45 malware. L’antivirus usato dal NYT, Symantec, ne avrebbe individuato solo uno. Ma alla richiesta di spiegazioni del NYT si sarebbe trincerata dietro un vergognoso no comment.
Gli hacker cambiavano continuamente l’ip, l’indirizzo informatico, da cui si collegavano; una pratica comune per rendere più difficile tracciare l’origine della connessione. “Se si prende ogni attacco singolarmente – ha dichiarato il direttore dell’Ufficio sicurezza della Mandiant – non si può affermare ‘questi sono i militari cinesi’”. Ma se le tecniche e i modelli usati dagli hacker sono simili, si può cominciare a pensare che questi agiscano in gruppo. E “quando ti accorgi che lo stesso gruppo ruba i dati dei dissidenti cinesi, degli attivisti tibetani e e delle aziende aereospaziali cominci a pensare di essere sulla buona strada”. Secondo Mandiant è lo stesso gruppo che ha attacato il NYT, lo chiamano con il nome collettivo di “A.P.T. Number 12”.
[Scritto per il Fatto Quotidiano]
Articoli collegati:
Gli attacchi possono essere fatti risalire al 13 settembre, quando il lavoro sulla famiglia del premier Wen Jiabao stava per essere ultimato. Lo scoop, una bomba che è detonata dalle pagine dello stesso giornale il 25 ottobre poco prima dell’apertura del XVIII Congresso del Partito comunista, consisteva nell’aver accumulato i dati sufficienti a provare che la famiglia di Wen aveva accumulato quasi tre miliardi di dollari mentre il premier Jiabao, il “chinese best actor”, recitava la parte del leader vicino al popolo.
Gli esperti di sicurezza informatica assunti dal NYT che fanno capo all’azienda Mandiant hanno bloccato gli attacchi ai computer e li hanno ripuliti, arrivando a convincersi che erano hacker cinesi già associati all’Esercito di liberazione popolare. L’obiettivo finale sembrerebbero essere state le mail dei giornalisti David Barboza e Jim Yardley, rispettivamente a capo dell’ufficio del NYT a Shanghai e in India. Gli esperti pensano fossero in cerca di nomi delle gole profonde dietro l’inchiesta piuttosto che dei dati.
Il ministro della difesa cinese chiamato in causa dallo stesso NYT ha negato l’origine cinese degli attacchi. “La legge cinese proibisce qualsiasi azione che possa danneggiare la sicurezza informatica, inclusi gli hackeraggi” ha detto. E ha aggiunto: “accusare i militari cinesi degli attacchi informatici senza solide prove è infondato e manca di professionalità”.
Ma gli esperti di sicurezza informatica citati dal NYT sono sicuri che gli hacker cinesi hanno cominciato ad attaccare i giornalisti occidentali già nel 2008 per identificare ed intimidire eventuali fonti o anticipare storie che avrebbero potuto danneggiare la propria classe dirigente. L’azienda Mandiant ha identificato almeno 30 gruppi editoriali occidentali che sono stati attaccati solo a dicembre scorso e ha stilato una breve lista con i giornalisti ripetutamente oggetto di attacchi cibernetici.
D’altronde, non manca i notare onestamente il NYT, non è solo la Cina ad usare lo spionaggio e gli attacchi informatici per questioni legate interessi nazionali. Al suo fianco gli Stati Uniti, Israele, la Russia e l’Iran sono fortemente sospettati di aver sviluppato e usato “armi informatiche”.
Come hanno fatto?
Da quando si è accorto degli attacchi, il NYT ha monitorato la situazione per provare a capire come si erano mossi e come si stavano muovendo gli hacker. Nella maggioranza dei casi sembrava veramente un lavoro da ufficio. Gli hacker entravano in azione ogni mattina alle 8:00 (BJ time) e continuavano per l’intera giornata lavorativa. Solo raramente sarebbero rimasti attivi fino a notte fonda. Per motivi che non sono riusciti a spiegare qualche volta gli attacchi si sono fermati per un paio di settimane (sarebbe utile sapere quali a nostro avviso).
Gli hacker sarebbero prima entrati nei pc di diverse università statunitensi per poi sferrare gli attacchi di lì. Una modalità molto comune ai cinesi, secondo la Mandant. Così il gruppo sarebbe entrato in possesso delle password degli account personali di ogni singolo impiegato del NYT sarebbe entrato in 53 computer del personale del NYT, nella maggior parte dei casi fuori dalla redazione vera e propria.
Le indagini non hanno portato a definire con certezza come siano riusciti ad entrare nel sistema del NYT, probabilmente attraverso un tentativo di phishing andato a buon fine. Forse una mail personale a qualche impiegato con un link o un allegato “malicious”. In questi casi basta un click perché l’hacker abbia modo di installare il cosiddetto rat, ovvero lo strumento di accesso remoto che permettere di succhiare tutte le informazioni utili che sono in quel computer e di spedirle direttamente sul server utilizzato dagli hacker.
In tre mesi gli hacker avrebbero allestito nei computer degli impiegati almeno tre “back door” da usare come campo base e avrebbero installato almeno 45 malware. L’antivirus usato dal NYT, Symantec, ne avrebbe individuato solo uno. Ma alla richiesta di spiegazioni del NYT si sarebbe trincerata dietro un vergognoso no comment.
Gli hacker cambiavano continuamente l’ip, l’indirizzo informatico, da cui si collegavano; una pratica comune per rendere più difficile tracciare l’origine della connessione. “Se si prende ogni attacco singolarmente – ha dichiarato il direttore dell’Ufficio sicurezza della Mandiant – non si può affermare ‘questi sono i militari cinesi’”. Ma se le tecniche e i modelli usati dagli hacker sono simili, si può cominciare a pensare che questi agiscano in gruppo. E “quando ti accorgi che lo stesso gruppo ruba i dati dei dissidenti cinesi, degli attivisti tibetani e e delle aziende aereospaziali cominci a pensare di essere sulla buona strada”. Secondo Mandiant è lo stesso gruppo che ha attacato il NYT, lo chiamano con il nome collettivo di “A.P.T. Number 12”.
[Scritto per il Fatto Quotidiano]
Articoli collegati:
– Per una storia dell’hacking cinese
– Come attaccare gmail
– Attacchi a siti governativi
– Hacker marziali