Intelligence russa tra Apt 28 e Apt 29, le parti in gioco dietro gli hacker statali

La Russia rientra, a pieno titolo, tra le maggiori potenze cibernetiche dello scacchiere internazionale. Le testate giornalistiche dell’intero pianeta hanno riportato il coinvolgimento di hacker statali russi in differenti campagne di cyber spionaggio e sabotaggio. Dalle e-mail “rubate” dai server di Hillary Clinton, alla presunta intromissione nelle elezioni americane del 2016. Nonostante la recente fama, i gruppi hacker responsabili di tali attacchi sono attivi dai primi anni 2000. Chi sono, da dove vengono e come riconoscerli?

Intelligence russa tra Apt 28 e Apt 29, le parti in gioco dietro gli hacker statali - Geopolitica.info

Una panoramica sui grandi dello spionaggio di Stato

All’interno dell’universo di intelligence russo è doveroso nominare l’FSB, l’SVR e il GRU. L’FSB (Federal’naja služba bezopasnosti Rossijskoj Federacii), che sta per Servizi federali per la sicurezza della Federazione russa, è figlio diretto dell’ex KGB. Dal 1995, l’FSB si occupa di spionaggio, controspionaggio, contro-terrorismo, attività SIGINT ed ELINT et similia. Con SIGINT, SIGnals INTelligence, si intendono tutte quelle operazioni di intelligence che prevedono la raccolta di informazioni mediante intercettazione e analisi di segnali, siano essi emessi tra persone o tra macchine, o entrambe. Per ELINT, ELectronic-signals INTelligence, s’intendono tutte quelle attività che prevedono la raccolta di informazioni mediante utilizzo di sensori elettronici, si parla infatti di “spionaggio di segnali elettronici”. I Servizi Federali per la sicurezza dispongono di un’autorità e potere non indifferenti, così come dimostrato già il 6 marzo 2006 con l’entrata in vigore della Legge Federale n. 35-FZContrastare il terrorismo” (successivamente emendata dalla Legge Federale n. 505-FZ del 31 dicembre 2014). Risulta di rilevante interesse il fatto che tale legge investirebbe l’FSB del potere legale, previo ordine presidenziale, di eliminare fisicamente gli obiettivi ritenuti una minaccia alla sicurezza nazionale. L’SVR (Služba vnešnej razvedki), il Servizio di intelligence internazionale, così come l’FSB, nasce dalle ceneri dell’ex KGB. Questo servizio prende forma dal primo direttorato dell’ex agenzia sovietica, rilevandone le attività di spionaggio all’estero. Il GRU (Glavnoe razvedyvatel’noe upravlenie), Direttorato principale per l’informazione, è il servizio informazioni delle forze armate russe e fu fondato nel 1918 da Lenin, a differenza dell’FSB non dipende dallo stato maggiore delle forze armate. Sta al GRU, di fatto, la ripartizione delle competenze tra i vari servizi di intelligence come l’FSB e l’SVR.

APT, Advanced Persistent Threat, presunti e reali: chi sono e cosa fanno

Le tre agenzie sopra descritte sono attivamente impegnate nell’analisi e nel monitoraggio delle informazioni e, di conseguenza, della rete Internet. Ad esse fanno riferimento alcuni gruppi il cui scopo è quello del sabotaggio silenzioso delle componenti della rete, si tratta di vere e proprie unità hacker. Questi gruppi dediti ad attacchi mirati e persistenti contro enti governativi, università, aziende e via discorrendo, sono noti come Apt o Advanced Persistent Threat. Nella sola Russia sarebbero più di 14, così come riportato da Carola Frediani in Guerre di Rete. Più in generale, i gruppi Apt possono essere sia di stampo governativo che privato. L’elevata presenza di gruppi di questo genere evidenzia come in Russia, soprattutto per fattori di convergenza culturale di derivazione comunista, il panorama delle subculture hacker abbia avuto un grande successo.

Gli Apt più noti e comunemente ricondotti ad unità delle agenzie di spionaggio russe sono Apt 28 e Apt 29. Si ritiene che Apt 28 (anche detto Fancy Bear, Sofacy, Pawnstorm, Sednit, STRONTIUM, ecc…) sia alle dipendenze del Direttorato Principale per l’Informazione russo, lo confermerebbe un’accusa del Dipartimento di Giustizia degli Stati Uniti, resa pubblica nel luglio 2018. L’accusa è di cospirazione per commettere un reato contro gli Stati Uniti d’America, per cui alcune unità del GRU sarebbero state impegnate in una campagna cyber atta ad interferire con le elezioni presidenziali del 2016.

Tuttavia, tra i primi a riportare il collegamento tra il gruppo Apt 28 e il GRU sono stati, nel 2014, i ricercatori di FireEye. Un’azienda americana che si occupa di controspionaggio, minacce cibernetiche e cyber defense in generale. Il direttore commerciale per l’Europa e il Mediterraneo di FireEye, Yogi Chandiramani, in un’intervista rilasciata a Carola Frediani in Guerre di Rete dice di Apt 28: “Si tratta di un gruppo sponsorizzato dallo Stato, che colpisce soprattutto organizzazioni dell’Est Europa, in particolare ministeri degli Esteri. Il suo obiettivo è raccogliere informazioni di intelligence utili per il governo di Mosca. […] abbiamo visto che il codice del malware usato dal gruppo era compilato durante le ore di ufficio del fuso orario di San Pietroburgo.”

Nello stesso volume di Carola Frediani, Vincente Diaz, ricercatore di punta della società russa Kaspersky, società di cyber-sicurezza fondata dal russo Eugene Kaspersky, chiama l’Apt 28 Sofacy e ne riconosce tra gli obiettivi, istituzioni militari ed europee.

L’Apt 29 (o Cozy Bear, The Dukes, CozyDuke o YTTRIUM), si ritiene essere alle dipendenze di agenzie di intelligence più tradizionali quali FSB e SVR. Il gruppo è attivo almeno dal 2008 e gli è stata attribuita la partecipazione ad una serie di attacchi, a partire dall’estate 2015, ai danni del Comitato nazionale democratico statunitense. Le prime attività del gruppo risalgono, secondo il report di F-Secure, al novembre del 2008 in Cecenia con almeno due differenti toolset di malware. Uno dei casi più dibattuti risale al 2013, anno in cui Apt 29 lanciò una campagna atta al sabotaggio di alcune attività russe impegnate nel traffico illegale di stupefacenti.

La presunta affiliazione del gruppo alle agenzie statali russe viene spiegata principalmente sulla base degli obiettivi degli attacchi, o operazioni di cyberspionaggio, così come avviene anche per Apt 28. Nel corso degli anni, i target del gruppo hanno, infatti, sempre riguardato attori (quali Ministeri degli Affari Esteri, Ambasciate, Parlamenti, Ministeri della Difesa e think tanks) direttamente collegati con la politica estera e con le politiche di sicurezza del Governo russo.

L’attribuzione degli attacchi: tra realtà e leggenda

Nonostante la prassi di ricerca sia orientata verso l’identificazione dei suddetti gruppi Apt come parte integrante delle forze governative russe, più difficoltosa rimane l’attribuzione dei singoli attacchi. L’attribuzione di un attacco ad un gruppo piuttosto che ad un altro, viene effettuata risalendo a ritroso a partire dagli “attrezzi” utilizzati, come ad esempio un malware (da malicious software, trattasi di qualsiasi tipo di software dannoso sviluppato e diffuso con l’intento di infettare dispositivi elettronici quali computer o dispositivi mobili), spyware, virus o worm, trojan et cetera di turno. Nel senso che ogni attacco si basa su un insieme di tecniche e codifiche riconducibili per prassi ad un gruppo, piuttosto che ad un altro. Una volta che un particolare tipo di malware, ad esempio, viene reso noto, il rischio è quello che altri gruppi lo usino, rendendo più difficile risalirne all’origine.

I framework più utilizzati sono: la Cyber Kill Chain, di derivazione militare e sviluppata da Lockheed Martin nel 2009, descrive gli stadi dell’avanzamento di una cyber operation di un gruppo Apt; il Diamond Model of Intrusion Analysis, un sistema relazionale che mappa ed esamina le connessioni tra gli elementi di un attacco (come infrastrutture, vittime, capacità o avversari), o di una parte di esso; il framework MITRE ATT&CK, sviluppato dall’agenzia MITRE, una non-profit che lavora a stretto contatto con le agenzie del governo statunitense, è basato sull’identificazione di pattern mediante una matrice TTPs, o Tactics, techniques and procedures; e VERIS, o Vocabulary for Event Recording and Incident Sharing, che raccoglie una serie di metriche con lo scopo di “fornire un linguaggio comune per descrivere gli incidenti di sicurezza in modo strutturato e ripetibile”.

C’è da tenere a mente che, nonostante la varietà e l’utilità degli strumenti a disposizione, non esiste una certezza categorica nelle attribuzioni. Nel complesso, l’ambiguità del sistema è testimoniata anche dal fatto che le valutazioni dei singoli attacchi informatici, più o meno persistenti, non sempre sono seguite da un’assegnazione di colpa. Per di più, vista la molteplicità degli attori coinvolti sia nella valutazione degli attacchi, che nella perpetrazione degli attacchi stessi, è molto probabile che le attribuzioni di uno specifico caso siano tra loro contrastanti.

Seppure sia rimasta la difficoltà nella determinazione degli attacchi, o l’esatta composizione delle unità operative, piuttosto che l’afferenza ad agenzie governative impegnate in attività di intelligence tout court, nel corso degli anni i colossi del settore della cybersicurezza, come Kaspersky, FireEye, F-Secure, hanno orientato l’analisi, identificando i pattern dietroApt 28 e 29. Nonostante la potenziale arbitrarietà delle attribuzioni, in ultima analisi, sia le inchieste delle aziende private che le indagini delle Agenzie di intelligence internazionali riconoscono il collegamento dei suddetti gruppi con Mosca.

Alessia Sposini,
Geopolitica.info