Shadow Brokers, “Ecco la mappa dei computer violati dalla Nsa”
Gli Shadow Brokers sono riemersi dall’ombra. Il gruppo di misteriosi hacker che lo scorso agosto avevano rilasciato online alcune “armi digitali” della Agenzia di sicurezza nazionale americana (Nsa), promettendone altre in cambio di una bizzarra asta pubblica (che però poi non si è di fatto concretizzata), sono riapparsi questa notte pubblicando nuovi dati.
Si tratterebbe di una lista di server sparsi per il mondo che sarebbero stati compromessi dalla stessa Nsa per essere poi usati per vari scopi, presumibilmente per lanciare attacchi altrove. In questo momento è difficile verificare l’autenticità delle informazioni rilasciate ma va comunque detto che il messaggio coi dati è stato firmato con la stessa chiave crittografica usata in precedenza dagli Shadow Brokers: questo significa che si tratta quanto meno dello stesso gruppo.
«Molte missioni nella tua rete arrivano da questi indirizzi IP», hanno scritto gli Shadow Brokers in un confuso messaggio introduttivo dove sembrano imitare rozzamente russi che parlano inglese, tirano in ballo le elezioni in America, alludono al fatto che i recenti attacchi contro gli Stati Uniti potrebbero arrivare dall’Iran. Insomma sollevano un gran polverone. I dati rilasciati però hanno invece destato subito interesse negli addetti ai lavori.
Secondo l’esperto di sicurezza informatica britannico Mustafa Al-Bassam, si tratterebbe di server che sono stati violati e poi controllati da Equation Group, una sorta di unità di hacking della Nsa, tra il 2000 e il 2010. E su cui girerebbero sistemi operativi come Solaris, Linux o FreeBSD.
Ma a colpire è la vastità di Paesi interessati: 52 (nello specifico: 306 nomi di dominio e 352 indirizzi IP). E con molta Asia dentro. Quelli con più server compromessi sono: Cina, Giappone, Corea del Sud, Germania, Spagna, Taiwan, India, Russia, Messico e Italia.
Vari esperti ribadiscono comunque l’impossibilità di stabilire la credibilità dei dati pubblicati. Come riferito a La Stampa da un ricercatore internazionale che preferisce non essere nominato, era più facile verificare l’autenticità dei precedenti leak degli Shadow Brokers perché si trattava di effettive vulnerabilità 0day (vuol dire che fino allora erano note solo all’attaccante). Mentre questa pubblicazione è fatta solo di file di testo.
«Sarebbe possibile verificare l’autenticità se si trovasse traccia di compromissione su quelle macchine», commenta a La Stampa Mustafa Al-Bassam. «Certo è interessante vedere come la Nsa abbia hackerato anche organizzazioni innocenti, a caso, per nascondere meglio le proprie tracce. Le implicazioni della pubblicazione di questa lista è che ora le organizzazioni che sono state violate possono scoprire il rootkit (un software che serve a mantenere nel tempo e di nascosto l’accesso a una macchina compromessa, ndr) piantato dalla Nsa nei loro server, se ancora c’è».
Ad agosto gli Shadow Bokers erano apparsi dal nulla e avevano rilasciato vari strumenti di attacco della Nsa, la cui provenienza è ancora incerta. C’è una indagine aperta e addirittura un insider sospettato e arrestato a fine agosto, un contractor della stessa Nsa, Harold T.Martin III, che avrebbe sottratto una ingente quantità di materiale classificato. Tuttavia mentre Martin era in detenzione, gli Shadow Brokers hanno continuato a inviare messaggi (firmati dalla loro chiave crittografica). E ora sono riapparsi con la diffusione di questi nuovi dati, infittendo il mistero sulla loro identità. (fonte)
