Tool dell’NSA sul Web. Ecco gli strumenti degli 007 USA

Apr 18, 2017 Marco Schiaffino Hacking, In evidenza, Leaks, News, RSS, Vulnerabilità 1

Il gruppo degli Shadow Brokers ha rilasciato tutti gli strumenti in loro possesso, tra cui tool per attaccare sistemi Windows e il circuito bancario SWIFT.

Quello consumatosi nel corso del weekend di Pasqua potrebbe essere davvero l’ultimo capitolo della vicenda legata agli Shadow Brokers.

Il gruppo di hacker (o supposti tali) ha cominciato a far parlare di sé la scorsa estate, quando ha annunciato all’universo mondo di aver messo le mani sull’arsenale informatico dell’NSA, diffondendo alcuni degli exploit utilizzati dall’Equation Group (il team di hacker dell’NSA) per le loro azioni.

Il tentativo di vendere al miglior offerente il pacchetto di strumenti di hacking, però, non è andato a buon fine, tanto che gli Shadow Broker avevano annunciato di volersi “ritirare dalle scene”, salvo poi pubblicare spontaneamente alcuni dei tool che avevano cercato di vendere.

Qualche giorno fa, però, il colpo di scena: con l’ennesimo messaggio su Internet, il fantomatico gruppo ha reso disponibile a tutti l’accesso ai rimanenti strumenti di attacco in loro possesso.

E non si tratta di poca roba: la lista comprende 23 software battezzati con nomi piuttosto “evocativi” come OddJob, EasyBee, EducatedScholar, EnglishmanDentist, EskimoRoll, EclipsedWing, EmphasiseMine, EmeraldThread, EternalRomance, EternalSynergy, EwokFrenzy, ExplodingCan, ErraticGopher, EsteemAudit, DoublePulsar, MofConfig e FuzzBunch.

L’archivio è suddiviso in tre cartelle (Windows, Swift, e OddJob) e al loro interno i file sono organizzati secondo la loro funzione. La prima (Windows) contiene una serie di tool che sfruttano vulnerabilità dei sistemi Microsoft, la seconda (Swift) informazioni relative all’omonimo circuito bancario mentre la terza (OddJob) un impianto di spionaggio sempre per sistemi Windows.

La fantasia degli agenti segreti Usa nell’assegnare i nomi agli strumenti di hacking è davvero ammirevole. OddJob richiama un celebre personaggio dei film di James Bond comparso in Goldfinger.

La vera sorpresa, in realtà, è rappresentata dal contenuto della cartella “Swift”, in base al quale si deduce che l’NSA si sarebbe infiltrata nel circuito di pagamenti interbancari SWIFT, presumibilmente per spiare le transazioni a livello internazionale o tenere sotto controllo specifici soggetti.

Gli hacker del governo USA avrebbero quindi violato i sistemi informatici di numerose banche in Qatar, Palestina, Yemen, Emirati Arabi Uniti e Kuwait.

Un discorso a parte meritano invece gli strumenti di hacking per i sistemi Windows. Le buone notizie sono che la maggior parte di essi sembrano fare riferimento a vecchie versioni del sistema operativo (principalmente a Windows XP) anche se in un caso viene fatto esplicito riferimento a Windows 8.

Stando a quanto riportato da Microsoft, inoltre, buona parte degli exploit sfruttano vulnerabilità che sono state corrette negli ultimi anni.

Le cattive notizie sono che gli 007 statunitensi hanno avuto la possibilità di utilizzarli liberamente per i loro scopi per un bel po’ di tempo.

In molti casi, infatti, le patch sono arrivate con aggiornamenti piuttosto recenti, mentre gli archivi pubblicati dagli Shadow Brokers sembrano risalire a metà del 2013. Qualche esempio chiarisce meglio il concetto: EternalBlue, un exploit che prende di mira il protocollo SMBv2 è stato corretto solo quest’anno attraverso l’aggiornamento MS17-010.

Stesso destino per EternalRomance, che secondo I ricercatori è uno degli exploit più pericolosi tra quelli compresi nel pacchetto e che permette di sfruttare una falla di SMBv1 attraverso la porta TCP 445. L’expolit funzionerebbe con Windows XP, 2003, Vista, 7, Windows 8, 2008, 2008 R2 e consentirebbe agli hacker di ottenere privilegi di sistema in remoto. Ebbene la patch relativa (MS17-010) è stata resa disponibile solo lo scorso marzo.

Un discorso simile vale per EternalChampion, un exploit che sfrutta due falle del protocollo SMBv1 (CVE-2017-0146 e CVE-2017-0147) e che sono state corrette proprio con l’ultima tornata di aggiornamenti rilasciati dall’azienda di Nadella nell’aprile 2017.

Nel post, però, i ricercatori di Microsoft spiegano che le loro indagini si sono limitate a quegli exploit che funzionano sui sistemi operativi attualmente supportati dall’azienda (da Windows 7 in su) e che gli altri (EnglishmanDentist, EsteemAudit ed ExplodingCan) non sono stati nemmeno considerati.

Coerente con la logica di Microsoft, meno con la realtà dei fatti che parla di milioni di computer (soprattutto nelle aziende) che utilizzano ancora sistemi operativi “vetusti” come Windows XP.