‘Athena’, il malware usato dalla Cia per rubare dati da Windows 10
WikiLeaks pubblica oggi documenti sul progetto ‘Athena’ della Cia in grado di attaccare i computer con il nuovo sistema operativo di Microsoft, Windows 10, e rubare i dati. Secondo i documenti diffusi oggi – si legge sul sito di WikiLeaks – il malware è stato sviluppato dalla Cia in cooperazione con il Siege Technologies, una ‘sedicente’ società di cyber sicurezza con sede nel New Hampshire.
Fatto il software, trovato l’inganno. Appena un mese dopo che Microsoft ha rilasciato la sua creatura più recente, il sistema operativo Windows 10, la Cia era già al lavoro per comprometterlo. A rivelarlo oggi è Wikileaks con una serie di documenti pubblicati in esclusiva con Repubblica e che dovevano rimanere segreti fino al 2064.
I file provengono dall’enorme giacimento di materiali sulla Central Intelligence Agency, Vault 7, che l’organizzazione di Julian Assange ha iniziato a pubblicare nel marzo scorso e non è difficile immaginare che getteranno benzina sullo scontro in atto da tempo tra i giganti della Silicon Valley da una parte e la Cia e la Nsa dall’altra, culminato la settimana scorsa con una critica alle due agenzie di una franchezza mai vista prima da parte del presidente della Microsoft, Brad Smith. Scrivendo in pieno tsunami da Wannacry, il ransomware che ha messo in ginocchio centinaia di migliaia di computer in tutto il mondo, Smith è arrivato a pubblicare sul sito della Microsoft una censura della scelta della Cia e della Nsa di accumulare pericolose vulnerabilità presenti nei software per sfruttarle negli attacchi contro computer, telefoni e device elettronici. E’ stata proprio una di queste vulnerabilità di Windows, di cui la Nsa ha perso il controllo, a causare il disastro Wannacry. Le rivelazioni di Wikileaks su Vault 7 hanno permesso di scoprire che anche la Cia ha perso il controllo del suo cyber arsenale e quindi oggi girano per il mondo le armi cibernetiche di due delle più grandi e potenti agenzie di intelligence del pianeta, con rischi che nessuno riesce a valutare esattamente.
Spiare, rubare e incastrare.
I documenti pubblicati stamani da Assange e dalla sua organizzazione permettono di rivelare come nell’agosto 2015, appena un mese dopo il rilascio di Windows 10, la Cia si sia messa a lavorare su Athena, un software infetto (malware) per compromettere i computer che usano il sistema operativo Windows 10 e anche molte altre versioni precedenti di Windows. I file sono estremamente tecnici, ma il concetto alla base di essi è semplice: Athena è un malware progettato per rubare dati da un PC preso di mira e inviarli ai server della Cia. Non solo: consente di fare tutta una serie di cose sulla macchina del target, come cancellare un file o anche caricarlo. I documenti non discutono la natura e i dettagli di questo tipo di operazioni, ma non è difficile immaginare come i servizi di intelligence possano utilizzare Athena per piazzare materiali incriminanti sul computer di un obiettivo: dalle immagini pedopornografiche alla propaganda terrorista.
Questo malware non è stato creato solo dalla Cia: secondo quanto rivelano i file, a collaborare con la Central Intelligence Agency per questo progetto, è un’azienda americana di nome Siege Technologies, che lavora a stretto contatto con il governo Usa, tanto da avere il 92 percento dei suoi dipendenti autorizzati ad accedere a informazioni top secret.
Come tanto del software infetto creato dalla Central Intelligence Agency, Athena usa tecniche di offuscamento, per sfuggire agli antivirus – i manuali menzionano in particolare la necessità di non essere rilevato dall’antivirus Kaspersky – e anche per rendere difficile l’attribuzione alla Cia. Almeno fino al 26 febbraio 2016, Langley sembra aver avuto guai nel riuscire a installare Athena sui computer con Windows 10, ma appena tre giorni dopo il problema sembra risolto. La documentazione, tuttavia, si ferma al 29 febbraio 2016: a quella data il malware non sembra ancora essere pronto per essere usato in situazioni operative.
La pubblicazione di questi materiali da parte di Wikileaks non è pericolosa. L’organizzazione di Assange ha rivelato solo i manuali tecnici di Athena, non ha diffuso software malevolo che può essere usato da criminali e spie senza scrupoli, come sembra essere invece successo con le cyber armi della Nsa finite nelle mani del misterioso gruppo “Shadow Brokers”, all’origine del disastro Wannacry. Pubblicando i file segreti sulle cyber armi della Cia contenute in Vault 7, Wikileaks azzera ogni possibile mercato sotterraneo illegale – non è un mistero che il valore economico di questi strumenti di intelligence sia enorme – allo stesso tempo, consente alle aziende che creano antivirus di aggiornare i loro prodotti per debellare le micidiali vulnerabilità sfruttate dalle cyber armi della Cia e rende l’opinione pubblica consapevole di queste minacce.
A confermare a Repubblica.it che la pubblicazione da parte dell’organizzazione di Julian Assange è un’operazione sensata è stato, in particolare, il guru della sicurezza informatica Bruce Schneier, ma conferme fattuali sono arrivate anche da un gigante come Cisco, che agli inizi di maggio ha reso nota una lunga lista di prodotti che è riuscita a riparare grazie alla scoperta di una vulnerabilità emersa solo grazie alle rivelazioni di Vault 7.
Perché Cia e Nsa accumulano pericolose vulnerabilità?
La pubblicazione di questi file e “incidenti” come Wannacry hanno riacceso il dibattito innescato già quattro anni fa dai documenti di Edward Snowden: è giusto che agenzie di intelligence come la Cia e la Nsa tengano nascoste le vulnerabilità dei software, usati da milioni di persone, in modo da poterle sfruttare nelle loro operazioni di spionaggio, oppure tenerle nascoste ci espone a criminali e spie senza scrupoli, che possono utilizzare queste vulnerabilità per colpirci? Si tratta di un dibattito non più rinviabile, considerato che con Wannacry, in fondo, ci è andata bene – i danni di questo ransomware sembrano essere meno seri di quanto inizialmente temuto – ma il futuro potrebbe riservarci attacchi devastanti, capaci di mettere in ginocchio intere comunità.
Come scrive Bruce Schneier, “c’è una tensione di fondo tra attacco e difesa”: tanto la Nsa quanto la Cia possono mantenere segrete le vulnerabilità che scoprono, in modo da usarle per i loro attacchi, “in questo caso”, spiega Schneier, “siamo tutti a rischio che qualcun altro (oltre a Cia e Nsa, ndr) le scopra e le usi”, oppure in alternativa le agenzie di intelligence possono rivelare le falle di sicurezza alle aziende di software, che le useranno per “riparare” i loro prodotti, ma in questo caso, una volta chiuse, non possono essere più utilizzate da Cia e Nsa per spiare e condurre attacchi.
Dopo lo scandalo innescato dai file di Snowden, il governo americano si era impegnato a rivelare le vulnerabilità ai giganti della Silicon Valley, ma tanto le cyber armi della Nsa diffuse in rete dai misteriosi Shadow Brokers, quanto i documenti di Vault 7 confermano che la Cia, come anche la Nsa, hanno continuato ad accumularle. E c’è voluta un’emergenza internazionale come Wannacry per portare il capo della Microsoft a scrivere a chiare lettere che “questo attacco fornisce ancora un altro esempio del perché la scelta dei governi di accumulare vulnerabilità è un problema così grande”. La lezione è servita oppure il futuro ci riserva devastanti cyber weapon diffuse da spie, narcos e mafie? Di sicuro Vault 7 ha contribuito ad aprirci gli occhi: quelle stesse agenzie di intelligence che pretendono di conoscere ogni nostra informazione più intima e di sbloccare ogni iPhone e email criptata in nome della sicurezza nazionale, non sono in grado di proteggere manco i loro segreti più segreti. Riusciranno a proteggere i nostri? (fonte)
