Milano – Crowdstrike sembra non avere più dubbi. L’azienda specializzata in sicurezza informatica, già chiamata dal DNC (il comitato elettorale democratico che supportava la Clinton nella corsa alla Casa Bianca) a garantire la sicurezza dei propri sistemi informatici dopo l’intrusione subita a inizio 2016, ha individuato un nuovo caso eclatante di infiltrazione avvenuto questa volta ai danni dell’esercito dell’Ucraina . E le informazioni raccolte paiono confermare che si tratti di una crew di hacker legata ai servizi di intelligence del Governo russo: una prospettiva che getta nuova luce sulla vicenda delle elezioni presidenziali USA, ma dipinge anche un quadro chiaro degli attuali scenari di guerra informatica già in corso sul pianeta.
Quello individuato da Crowdstrike è il codice di un trojan all’interno di una app per Android sviluppata da un ufficiale dell’artiglieria dell’esercito ucraino, app attraverso la quale i vari comandi si coordinavano fornendosi a vicenda la rispettiva posizione geografica. Peccato che questa app sia stata intercettata dalla crew già conosciuta come Fancy Bear , autrice dell’assalto coronato con successo alle email e ai documenti del DNC, e modificata per inserire il trojan all’interno dell’APK: tutte le informazioni circolate attraerso l’app, a quel punto, secondo la ricostruzione di Crowdstrike sono state inoltrate al comando militare russo che era dunque informato di tutti gli spostamenti delle truppe nemiche.
La distribuzione dell’eseguibile modificato sarebbe inziata a fine 2014 , nel pieno del conflitto armato tra Russia e Ucraina, e naturalmente cambia in modo significativo l’interpretazione degli avvenimenti di quei giorni. L’esercito di Mosca era costantemente informato delle mosse dell’avversario , grazie a un’azione di spionaggio ad alto profilo informatico che aveva penetrato un canale di comunicazione del nemico a dire il vero non particolarmente a prova di hacker. La scoperta fatta da Crowdstrike è che c’è una somiglianza quasi perfetta tra il codice del trojan inserito nella app, e quello del malware che ha infettato la rete del DNC.
Quello che appare evidente agli addetti ai lavori interpellati sulla vicenda è che ci sia la stessa mano dietro i due avvenimenti: Fancy Bear. Ed è altrettanto palese, secondo la ricostruzione offerta da Crowdstrike, che Fancy Bear altro non sia che un team operativo del GRU , l’intelligence dell’esercito russo: un vero e proprio corpo d’assalto che si occupa di offesa e difesa in ambito militare, e che sarebbe stato impiegato sia per ottenere un vantaggio competitivo in termini di informazioni provenienti dal campo di battaglia in Ucraina, sia per intervenire in modo forse decisivo nel processo democratico statunitense.
*If* 9,000 Ukrainian artillery personnel have downloaded an Android app-infected or not-for targeting, then this is a *colossal* OPSEC fail pic.twitter.com/xoA5WhqPFJ
— Thomas Rid (@RidT) December 22, 2016
A questo punto, oltre alle accuse generiche mosse già anche da alcuni organismi federali USA, ci sono altri organismi indipendenti che puntano il dito nei confronti della Russia e delle sue presunte tattiche di guerriglia informatica. Certo, va ribadito, Crowdstrike è un appaltatore per conto del DNC : la sua posizione, checché ne dicano i manager , presenta comunque qualche incompatibilità a valutare il quadro politico-strategico in virtù di un certo conflitto d’interessi. Tuttavia è senz’altro interessante valutare quanto accaduto in Ucraina con occhi nuovi: una soluzione informatica “fai da te”, per la gestione di un aspetto cruciale come la disposizione delle truppe sul terreno, ha permesso a una forza nemica di acquisire informazioni cruciali nel corso di un conflitto.
Luca Annunziata