Oltre a essere particolarmente attiva sul fronte dello spionaggio telematico a base di codice malevolo e attacchi APT (Advanced Persistent Threat), la National Security Agency (NSA) statunitense è a quanto pare molto attenta anche nel non “pestare” i piedi alle minacce informatiche della concorrenza.
L’intelligence USA preferisce insomma agire in modalità “invisibile” ove possibile, e in tal senso gli agenti americani hanno a disposizione un tool chiamato Territorial Dispute con cui analizzare la situazione di un sistema bersaglio.
A scoprire l’importanza di TD sono stati alcuni ricercatori ungheresi , che hanno individuato il software all’interno del dump di vulnerabilità e programmi spia pubblicati dalla crew Shadow Brokers durante i mesi passati. TD faceva inizialmente parte dello stesso mucchio da cui erano emersi expolit molto pericolosi come EternalBlue , già usato dal ransomware WannaCry, ma anche tool come EternalRomance, EternalSynergy, FuzzBunch e altri.
TD agisce come una sorta di scanner anti-malware interno alle operazioni di NSA, dicono ora i ricercatori , analizzando il file system e il Registro di Windows alla caccia di 45 diverse categorie (da SIG1 a SIG45) di minacce che secondo gli analisti rappresentano altrettanti gruppi di spionaggio con relative minacce.
Una volta individuata una minaccia, TD invia un alert all’operatore remoto indicando la necessità di “abbandonare” il bersaglio – perché evidentemente compromesso – o di “chiedere aiuto” agli specialisti. Alert specifici riguardano l’eventuale presenza di un “malware pericoloso” (ma non riguardante il cyber-spionaggio) o di un “tool amichevole”, vale a dire un operazione di spionaggio già attivata da una agenzia alleata della NSA.
Uno strumento come TD può risultare utile per analizzare il modus operandi dell’intelligence statunitense e relativi alleati, ma anche per scovare eventuali minacce APT ancora inedite: tra le 45 categorie classificate dal programma sono presenti anche attacchi precedentemente sconosciute.
Alfonso Maruccia