La rivoluzione
«Nel 1998 proteste anti Pechino in Indonesia provocarono la reazione degli hacker cinesi che violarono molti siti internet indonesiani. Nel 2001 un EP3 statunitense provocò la morte del pilota di un F8 cinese, con una conseguente reazione degli hacker cinesi. Questi due eventi hanno portato alla nascita del movimento in Cina. Per anni i suoi protagonisti sono stati considerati degli eroi. Anche se l’attitudine sta cambiando, esiste ancora oggi una forte associazione tra hacker cinesi e patriottismo. Lo spirito nazionalista degli hacker cinesi è qualcosa di unico, perché in altri paesi il movimento hacker non può certo essere considerato centrato sul nazionalismo».
Jumper è un esperto di hacking cinese: da anni analizza software maligni che arrivano nelle caselle mail di attivisti e dissidenti cinesi, concentrando la sua attenzione sulle più moderne tecniche di attacco dei geek cinesi. E’ il nostro Caronte nell’universo hacker cinese, un mondo fatto di gruppi, network, eroi, attacchi. Un sistema che si è rinnovato, giungendo a diventare una sorta di appoggio esterno ai balletti diplomatici internazionali. Spesso considerati al soldo del governo, gli hacker cinesi costituiscono una sorta di esercito talvolta usato, talvolta negato dalle autorità, che si è consumato nel corso di anni, creando scissioni, straordinari exploit, scuole di hacking, mito.
Secondo Jumper e il gruppo di osservatori di thedarkvisitor.com ci sarebbe vari tipi di hacker in Cina: «la prima tipologia è quella di hacker patriottici che attaccano siti stranieri in occasione di eventi che credono possano ledere l’immagine internazonale della Cina, come ad esempio nei momenti caldi delle relazioni tra Cina e Tibet o Taiwan. La seconda tipologia sono gli hacker motivati economicamente a scrivere virus o trojan in grado di accapparrare denaro per giochi on line, da rivendere poi in mercati on line clandestini. Questa attività viene chiamata gold farming, procacciatori di monete virtuali, spesso rivendute agli stranieri, un tempo addirittura su ebay, prima che si passasse ad altri sistemi meno intercettabili. Infine ci sono gli hackers che lavorano specificamente per collezionare informazioni che potrebbero essere utili per gli apparati di sicurezza nazionale del paese: questo gruppo è il più difficile da definire».
Dal 1998 ad oggi molto è cambiato, ma l’ultimo attacco massiccio che ha visto come protagonista il colosso Usa Google, è qualcosa di più di un semplice attacco, seppur sofisticato, a migliaia di aziende straniere. E’ il ritorno del più vasto network cinese riguardo l’hacking: l’ormai mitica Red Hacker Alliance. Non un gruppo, bensì un network, composto da vari nuclei, con regole precise: ogni sito internet appartenente all’alleanza avrebbe dovuto provvedere all’insegnamento di tecniche di hacking ai propri membri, essere disponibile a condividere materiale informativo, essere connesso con uno o più gruppi dell’alleanza.
Gli hacker con caratteristiche cinesi
L’inizio della cultura hacker in Cina viene comunemente fatta risalire al 1998, in occasione di un’azione di difesa del proprio paese contro una nazione esterna. Molti siti indonesiani vennero violati. Spesso le home page contenevano bandiera e innno cinese, accuse al governo indonesiano e, in pieno stile hacker gentiluomo, anche le istruzione per fare ritornare il sito alla normalità. Nel 2005, quello che è considerato il padrino del movimento cinese, ad un quotidiano di Hong Kong spiegava la genesi dell’universo hacker del Celeste Impero: «tempo fa essere un hacker era buono, poi si è cominciato a considerare l’hacker qualcosa di negativo. Allora abbiamo coniato il termine di hacker rosso, per specificare il nostro patriottismo, rispetto agli occidentali che spesso sono anarchici o individualisti. Noi cinesi invece siamo motivati dalla difesa del nostro paese contro le interferenze esterne». Anche per questo, oggi contrariamente a tempo fa, gli hacker cinesi sono ben nascosti.
L’aria che tira dopo l’ultimo sgarbo a Google, non è delle migliori. Il termine con il quale si definiscono gli hackers è heike, letteralmente il visitatore nero. Per questo gli hacker cinesi hanno coniato un nuovo termine: hongke, ovvero, il visitatore rosso.
Il primo gruppo hacker di cui si ha notizia in Cina presenta un colore ulteriore: si tratta della Green Army, fondata a Shanghai da un cinese che usava come nickname Goodwill. Con 3mila membri tra Shanghai, dove venne fondato il gruppo, e Pechino la Green Army è stata la culla dei più famosi hacker cinesi.
Il grande balzo in avanti del movimento avviene tra il 1999 e il 2001: vengono attaccati siti governativi taiwanesi in occasione della teoria dei “due stati” espressa dal presidente dell’isola ribelle. Vengono attaccati i siti del governo giapponese in occasione di scontri diplomatici sul mancato riconoscimento nipponico del massacro di Nanchino, ancora attacchi ai giapponesi in occasione di una disputa territoriale di alcune isole. Non solo, perché il mondo hacker cinese muta: la Green Army si perde in liti interne dovute al nascente business della sicurezza, ma altri gruppi nascono: China Eagle Union, Javaphile e la potente Honker Union of China, che diventerà il gruppo di riferimento fino alla sua riforma, nel 2005 e che oggi rappresenta ancora il network più vasto in Cina, sempre pronto a colpire.
L’allarme
A margine degli scontri diplomatici tra Cina e Giappone, in seguito all’arresto da parte dei giapponesi del capitano di un peschereccio cinese, in relazione alla contesa internazionale circa le isole Diaoyu, o Senkaku secondo la versione giapponese, in Cina è cominciata a girare insistentemente una voce allarmista. Insieme alle proteste anti giapponesi per le strade di molte città cinesi, sul web si è sviluppata l’idea che gli hackers locali fossero pronti a fare fuoco e fiamme, come già successo in passato, contro i siti web giapponesi, anche quelli governativi. Qualcuno lo ha detto chiaro e tondo: l’Honker Union of China – una delle più vaste reti di hackers cinesi – sarebbe pronta a sferrare attacchi informatici contro i giapponesi. La notizia aveva allarmato non poco la rete e sono stati proprio gli hackers cinesi a rispondere alle voci, con un comunicato dai toni piuttosto accesi, che caratterizza il proprio approccio all’hacking, patriottico e determinato: «pubblicizzare un paventato attacco da parte nostra, significa semplicemente spingere per una più ampia difesa informatica: non è forse quello che hanno sempre fatto gli Stati Uniti? Con la scusa degli attacchi cinesi, hanno potuto potenziare il proprio arsenale informatico». Una sorta di negazione del rumor di attacchi in vista, dal finale inquietante: «se ci sarà una guerra nei prossimi vent’anni, cosa possiamo fare? La domanda è: siete pronti?»
Allarme rientrato, apparentemente. Eppure gli hackers cinesi negli ultimi tempi si sono mossi e non poco. Il caso di Google, di appena un anno fa, è ancora caldo e aiuta a comprendere le dinamiche interne di un movimento variegato, che si è distinto per originalità e novità nel panorama degli attacchi informatici degli ultimi anni, ponendosi però ad anni luce di distanza dalle caratteristiche degli hackers occidentali.
APT: il virus sulla riva del fiume
Li chiamano Advanced Persistent Threats, ovvero minacce avanzate e persistenti: un nome coniato per definire gli attacchi effettuati da hackers cinesi ad aziende e persone. Scoperti nel 2010, il caso più eclatante si è concentrato sulla battaglia Google-Cina. L’azienda Usa denunciò gli attacchi provenienti dalla Cina e partì la nota diatriba tra Google e Pechino, che finì per irretire governo statunitense e cinese. Google spostò il proprio motore di ricerca a Hong Kong, nel mezzo di polemiche infinite sulla censura cinese. In realtà, secondo un rapporto della Mandiant, una società di sicurezza informatica statunitense, a finire sotto gli attacchi cinesi furono migliaia di aziende, non solo il colosso di Mountain View. Violazioni in corso da anni: perché le intrusioni cinesi si caratterizzano per alcune novità e per la loro infinita pazienza. Anche Bruce Sterling, noto scrittore di fantascienza, si è interrogato sugli APT, finendo per evidenziarne alcune caratteristiche: gli hacker cinesi attaccano le macchine (i server) partendo da dati pubblici.
Un caso classico: la mail fittiziamente inviata da un collega di lavoro, con un documento da scaricare. Effettuare il download significa aprire una black door, un porta di accesso nel pc preso di mira. A quel punto gli hackers cinesi, invece di cercare l’exploit, ovvero manifestare l’hacking riuscito attraverso un cambio della home page di un sito o un semplice messaggio sul desktop, piazzano sui loro obiettivi una sorta di fotocopiatrice virtuale, entrando nel sistema altrui in modo diversificato. E soprattutto: persistente, continuo, nel tempo. L’obiettivo è non farsi vedere e succhiare più informazioni possibili. Le analisi della Mandiant hanno evidenziato la continua ricerca di documenti in pdf, in word, simbolo evidente di una ricerca mirata, su materiali sensibili. Google è stato il caso più eclatante, ma sarebbero moltissime le aziende spiate dagli hackers cinesi: da anni, non mesi o giorni. Questi attacchi, dicono dalla Mandiant, «coinvolgono migliaia di aziende, si tratta di attività fuori dal comune».
Ghostnet, ovvero la preparazione
Un caso celebre, divenuto ormai scolastico, è quello di GhostNet, scoperto nel 2009. Si tratta di una sorta di preparazione degli hackers cinesi agli attacchi degli ultimi tempi. L’azione venne scoperta perché un membro di una organizzazione era stato prelevato e interrogato dalla polizia cinese, messo a confronto con i log delle proprie chat on line.
Quell’organizzazione era il governo in esilio del Dalai Lama: dopo questo fatto venne interpellata una società specializzata in attachi informatici. Il risultato fu un report su intrusioni continue e scandite nel tempo, la cui origine era piuttosto evidente: tutto convergeva su indirizzi cinesi. Il rapporto dell’Information Warfare Monitor non poteva provare direttamente la connessione tra attacchi e governo cinese, del resto si tratta di un collegamento pressoché impossibile da dimostrare, ma nei media mondiali il link venne effettato ben presto.
Eppure qualcuno, attraverso tracciamenti di mail e collegamenti a blog nel web cinese, arrivò a toccare da vicino uno dei responsabili di GhostNet, cominciando a dare una piccola voce occidentale alle caratteristiche nazionalistiche e patriottiche di un movimento complesso e così distante dai canoni nostrani, come è l’universo hacker cinese, un esercito di centinaia di migliaia di smanettoni, pronti a correre in difesa del proprio paese. Chiamati o meno direttamente dal governo.
Poco dopo il report dell’Information Warfare Monitor Jumper e Scott Handerson, due studiosi dell’hacking cinese, si mettono al lavoro: «sicuramente la storia migliore che abbiamo affrontato in questi anni di ricerca», sostengono. Tracciano, cercano, scandagliano il web cinese, le chat, le BBS più freak, quelle frequentate da hackers e aspiranti tali. Uniscono i puntini forniti dall’IWM e scovano un cinese, lost33, sempre presente. Creano essi stesso una piccola Echelon, alla ricerca di qualsiasi traccia di lost33 connesso a GhostNet. Lo trovano, ma poi l’hacker si vaporizza. Proprio come i virus persistenti: leggeri, fluttuanti e invisibili.
p>[Pubblicato su Alias il 6 novembre 2010]
[Immagine da http://www.randomwire.com]