Sei volte no per negare la reale portata delle rivelazioni fatte da McAfee poche settimane fa : Shady RAT, la sedicente botnet che attaccherebbe da anni i sistemi industriali e politici di mezzo mondo, non rappresenterebbe il pericolo paventato. Anzi, a dirla tutta, sembrerebbe più un malware di bassa lega : niente che faccia pensare a trame spionistiche internazionali. Eugene Kaspersky, fondatore dell’omonima azienda che si occupa da anni di sicurezza, ci va pesante sin dal titolo e prova a smontare lo spauracchio di una potenza emergente che decide di scovare i segreti altrui a mezzo Internet.
“Per prima cosa – esordisce Eugene – vorrei dire chiaramente che non condividiamo le preoccupazioni relative alle intrusioni descritte nel report, intrusioni che il report ritiene abbiano condotto al furto di informazioni sensibili da molti governi, aziende e organizzazioni non-profit”. Dopo la diffusione dei dati, infatti, Kaspersky ha avviato le proprie indagini sulla faccenda, “conducendo analisi dettagliete della botnet Shady RAT e del malware correlato”, e traendo conclusioni nette: “la realtà dei fatti (specialmente le quesitoni tecniche) è molto diversa dalle conclusioni fatte dal Signor Alperovitch ( il vicepresidente McAfee che ha pubblicato il report in questione, ndr )”.
Ma Eugene Kaspersky va anche oltre: definisce “allarmista” il report McAfee, bollandolo come privo di fondamento e distribuito e pubblicizzato in malafede . “Non possiamo credere che gli analisti McAfee non fossero al corrente della totale infondatezza delle loro conclusioni” aggiunge, affermando che il lavoro altrui “diffonderebbe deliberatamente informazioni errate”. Un asserto che McAfee ha già rimandato al mittente .
Per il patron del marchio verde, nel codice di Shady RAT ci sarebbero tutti i dati necessari per trarre opposte conclusioni di quelle fornite: si tratta, secondo Eugene, di un prodotto di vecchia concezione (che si diffonde via allegato di posta elettronica invece che sul Web), scritto da un principiante senza particolari competenze o intuizioni geniali. Talmente datato sarebbe il codice che quasi qualunque antivirus/antimalware in circolazione basterebbe già a combatterne gli effetti, senza neppure bisogno di aggiornamenti particolari: le rilevazioni euristiche o di comportamenti sospetti, largamente impiegate in molti prodotti commerciali, sarebbero sufficienti.
C’è di più: Shady RAT sarebbe stata ampiamente conosciuta dagli addetti ai lavori , ma i riflettori non sarebbero mai stati puntati su questa botnet per via della sua scarsa pericolosità e virulenza. Eugene cita la storiella del bambino che gridava “al lupo” per spiegare l’approccio dell’industria IT rispetto alla sicurezza: meglio non invocare situazioni catastrofiche quando non ce ne sono, piuttosto che rischiare che l’allarmismo renda inutili le reali preoccupazioni rispetto a minacce consistenti. Altri sono gli esempi che sceglie per descrivere autentici rischi corsi o in corso per il pubblico: TDDS, Zeus, Conficker, Stuxnet e Rustock tra gli altri.
Infine, la dibattuta questione dello Stato dietro la botnet. Proprio Stuxnet viene scelta come esempio di operazione in grande stile condotta, probabilmente, da uno stato sovrano: multiple vulnerabilità sfruttate, codice complesso e tecniche di aggiramento e aggiornamento sofisticate che dimostrano un certo dispendio di energie e dunque di quattrini nella sua creazione. “Sul mercato nero Shady RAT non varrebbe molto di più di un paio di centinaia di dollari – sentenzia Kaspersky – Se anche uno stato “canaglia” decidesse di lanciare un attacco, potrebbe comprare malware molto più sofisticato per 2 o 3mila dollari. E di certo uno stato canaglia non userebbe lo stesso server command and control per cinque anni, continuando anche dopo che sia stato svelato sui media il suo coinvolgimento”.
In poche righe, ecco liquidato lo sforzo investigativo di McAfee. Che, tuttavia, come detto ha già risposto a mezzo stampa chiarendo che non si tratterebbe di una botnet bensì di un gruppo di malviventi alla ricerca di preziose informazioni da vendere : la loro inefficienza e deficienza sul lato tecnico non sarebbe una dimostrazione della loro scarsa pericolosità, ma solo un dato di cui tener conto assieme alla violazione di non meno di 22 agenzie governative e delle decine di vittime negli Stati Uniti, Regno Unito, Giappone e Svizzera.
Non tutti poi condividono l’approccio di Kaspersky. Mikko Hypponen , pezzo grosso di F-Secure, è molto caustico in un suo tweet : “Per una ragione o per l’altra, Eugene non sembra credere che lo spionaggio tra stati si sia spostato online. Ma è successo” sentenzia. Più sarcastico lo stesso Dmitri Alperovich tirato direttamente in ballo da Kaspersky: “Ripetete con me – Shady RAT non è una botnet, Eugene Kaspersky”. La risposta a mezzo cinguettino di Eugene non si è fatta attendere: ce n’è abbastanza per rendere bollente l’agosto degli esperti di sicurezza informatica.
Luca Annunziata