Lo scorso dicembre il presidente degli Stati Uniti Donald Trump ha firmato un decreto che vieta l’uso del software Kaspersky Lab all’interno delle agenzie governative degli Stati Uniti. Quest’ultima iterazione delle sanzioni anti-russe richiedeva a tutti gli impiegati di Washington di cancellare il software anti-virus di fama mondiale dai loro computer entro 90 giorni dalla firma del decreto.

Tuttavia, come dimostrano le ultime notizie in ambito informatico, Kaspersky Lab — che ha ricevuto riconoscimenti per i suoi successi nella lotta contro tutti i tipi di malware — non è stato escluso sulla base di preoccupazioni per la sicurezza, ma come parte degli attuali sforzi di propaganda anti-Russia di cui siamo stati testimoni recentemente in tutto l’Occidente. È pure chiaro che a Washington non potrebbe importare di meno degli sforzi che Kaspersky Lab ha intrapreso per contrastare il cyber-spionaggio di alto livello e le attività maligne su internet sponsorizzate dai governi, i cui legami con le agenzie di controspionaggio americane sono stati esposti.

Tali conclusioni possono essere fatte sulla base dei risultati ottenuti durante il recente Kaspersky Security Analyst Summit (SAS) [in inglese] in cui gli esperti di Kaspersky Lab hanno scoperto le carte sul programma spyware [in italiano] chiamato “Slingshot[“Fionda”, in inglese]. Si è scoperto che questo malware è operativo dal 2012, ma ci sono voluti anni perché le aziende di sicurezza informatica lo individuassero. È stata la società russa Kaspersky Lab che ha rivelato questo spyware, disegnato dal controspionaggio USA ed utilizzato per istituire una sorveglianza totale su Internet, come è stato rimarcato dal giornale The Times.

Secondo questa pubblicazione [in inglese] britannica, Kaspersky Lab — ora escluso dai mercati statunitensi — ha scoperto il software dannoso che consente alle agenzie statunitensi di accedere ai router per monitorare le attività degli utenti sul web.

In origine Slingshot è stato creato dai militari statunitensi per tracciare i sospetti terroristi che usano gli Internet Café in tutto il Medio Oriente e il Nord Africa per coordinare le proprie attività. Questo malware è stato distribuito in Afghanistan, Iraq, Kenya, Sudan, Somalia, Turchia e Yemen e, secondo alcuni esperti, in soli sei anni di attività, Slingshot ha colpito un gran numero di individui e agenzie governative in tutto il Medio Oriente e l’Africa.

Lo spyware Slingshot è simili al programma creato dalla NSA per istituire la sorveglianza totale nel segmento occidentale di Internet. Gli esperti di CyberScoop, citando [in inglese] anonimi agenti del controspionaggio statunitense (sia in pensione che in attività), riferiscono che Slingshot è un’operazione speciale lanciata dal Joint Special Operations Command (JSOC) [in italiano], una parte dell’United States Special Operations Command (USSOCOM) [in italiano]. I ricercatori concordano anche sul fatto che gli algoritmi utilizzati da Slingshot sono simili a quelli utilizzati da gruppi di hacker affiliati alla CIA e alla NSA, quali Longhorn [in inglese] e The Lamberts, e sono stati sviluppati con gli strumenti dei due gruppi menzionati sopra, come ha svelato WikiLeaks.

Gli esperti di CyberScoop e le loro fonti credono che Kaspersky Lab non potesse saperlo con certezza, ma sospettasse che uno dei paesi dell’alleanza di controspionaggio dei “Cinque Occhi[in inglese], che comprende Australia, Canada, Nuova Zelanda, Regno Unito e Stati Uniti, fosse dietro allo sviluppo di Slingshot.

Secondo gli esperti di sicurezza cibernetica, Slingshot è una piattaforma per attacchi estremamente complessa, che non sarebbe sviluppabile senza investire enormi quantità di sforzi, di tempo e di denaro. Secondo gli stessi analisti, la complessità di Slingshot fa impallidire, al confronto, anche Project Sauron e Regin [in inglese], il che significa che soltanto gli hacker sponsorizzati del governo potrebbero aver sviluppato qualcosa di simile.

Secondo la dichiarazione [in inglese] rilasciata da Kaspersky Lab:

Durante l’analisi di un incidente che ha coinvolto un presunto keylogger [in italiano], abbiamo identificato una libreria maligna in grado di interagire con un file system virtuale, che di solito è indizio di un attore APT avanzato [in inglese]. Questo si è rivelato essere un’applicazione interna che si carica autonomamente, chiamata “Slingshot”, parte di una nuova e sofisticata piattaforma di attacco che rivaleggia in complessità con Project Sauron e Regin.

Il caricamento iniziale sostituisce l’autentica libreria Windows della vittima ‘scesrv.dll’ con una maligna esattamente della stessa dimensione. Non solo, interagisce con molti altri moduli tra cui un caricatore ring-0 [in inglese], uno sniffer di rete [in italiano] in modalità kernel, un proprio packer indipendente dalla base e un file system virtuale, tra gli altri.

Mentre per la maggior parte delle vittime il vettore di infezione per Slingshot rimane sconosciuto, siamo stati in grado di trovare diversi casi in cui gli hacker hanno avuto accesso ai router Mikrotik e hanno riconosciuto un componente scaricato da Winbox Loader, una suite di gestione per i router Mikrotik. A sua volta, questo ha infettato l’amministratore del router.

È chiaro che questo malware mira a dirottare ogni tipo di informazione sensibile, incluso il traffico di rete, le istantanee dello schermo e le password, mentre monitora la propria invisibilità. Il firmware di re-flashing non aiuta l’utente a sbarazzarsi di questo malware, dal momento che Slingshot è in grado di eseguire copie autonome e utilizza tutti i tipi di trucchi per rimanere operativo, alcuni dei quali non sono stati completamente spiegati. Per distogliere l’attenzione del software anti-virus, Slingshot avvia autonomamente i controlli di sicurezza, che gli hanno consentito di mascherare la sua presenza dal 2012 in poi.

Negli ultimi anni, Slingshot è stato utilizzato attivamente dalle agenzie di controspionaggio statunitensi per stabilire il controllo totale su Internet spiando cittadini statunitensi e stranieri, compresi gli “alleati” di Washington.

Dato che Kaspersky Lab era in grado di rintracciare lo spyware sul cui sviluppo Washington ha investito così tante risorse, non c’è da meravigliarsi se Trump ha deciso di mettere fine alle operazioni di questa compagnia russa negli Stati Uniti, cercando di portare avanti le sue bugie sugli “hacker russi” che nessuno ha mai visto o tracciato, mentre continua con le attività criminali di spionaggio informatico americane di più alto livello.

*****

Articolo di Vladimir Platov apparso su New Eastern Outlook il 26 marzo 2018
Traduzione in italiano di Northern Lights per SakerItalia

[le note in questo formato sono del traduttore]

Condivisione: