Come hanno hackerato la Merkel e i politici tedeschi?

Pierguido Iezzi

Il governo tedesco ha subito il più grande cyberattack della sua storia. I politici italiani possono dormire sonni tranquilli?

Il governo tedesco ha subito il più grande cyberattack della sua storia. Da diverse fonti si parla di circa 1.000 account di personaggi politici, vip e giornalisti hackerati. Nello specifico, la violazione ha interessato circa 405 parlamentari del partito Cdu (il partito di Angela Merkel), 249 dell'Spd, 105 parlamentari dei verdi, 82 della Linke e 28 della Fdp. L’unico partito rimasto indenne è l'AFD, la destra populista tedesca. Tra le vittime illustri dell'attacco ci sono anche la stessa Merkel e il presidente della Repubblica Frank-Walter Steinmeier.

 

Per l'attacco informatico è stato arrestato un ventenne di Heilbronn, cittadina vicino a Stoccarda. La polizia ha confermato che il giovane ha confessato e si dichiarato colpevole, ammettendo che le ragioni che lo hanno portato all'hackeraggio sono politiche: "Ero infastidito dalle dichiarazioni pubbliche di numerosi politici", avrebbe detto durante l'interrogatorio. Il giovane stato rilasciato in attesa del processo in quanto non ci c'è pericolo di fuga o di inquinamento delle prove. Le forze dell'ordine stanno però ancora indagando su come sia effettivamente avvenuto l'attacco informatico. Analizzando però i fatti a disposizione possiamo fare alcune ipotesi

 

 

Partiamo dai Fatti:

I Fatti

I dati diffusi fanno riferimento a email, conti correnti, cellulari, chat private, documenti. Stiamo parlando di circa 1.000 account che sono stati violati. Una volta violati, è stata effettuata una ricerca tra i tanti dati di ogni account per identificare le informazioni di interesse. Questi dati sono stati organizzati, salvati e poi pubblicati con cadenza su Twitter.

 

Le ipotesi  

All'inizio si ipotizzava fosse un attacco condotto probabilmente dal team russo conosciuto come Turla. Un hacking team che sembra avere collegamenti con l'Intelligence russa già autore di diversi tentativi di attacchi informatici alle istituzioni tedesche. Un Team attivo dal 2008 e responsabile di diverse violazioni ma non hanno mai pubblicato le informazioni sottratte...

 

L'altra ipotesi è relativa ad un attacco phishing a tappeto. Per intenderci una azione di phishing che ha "colpito" i 1.000 account di politici, vip e giornalisti. Anche questa però è poco sostenibile. Parlando di numeri, una campagna di phishing mediamente assicura un 5 per cento di successo. Per intenderci per accedere a 1.000 account mail, il criminal hacker dovrebbe avere a disposizione 20.000 mail nel migliore dei casi. Nel nostro caso le nostre email fanno riferimento ad utenti di "primo piano" e difficilmente reperibili. L'ipotesi migliore è che in realtà gli account vittima del reale data breach siano meno dei 1.000 account citati e che le informazioni raccolte e pubblicate siano parte delle comunicazioni tra i vari interessati.

 

Ma come è avvenuto l'hacking?

Un Hacking di questa portata e relativo a dati così specifici potrebbe far pensare ad un unico repository o database in cui tutte le informazioni erano salvate e gestite. Quindi, hackerando il repository si poteva avere accesso a tutte le informazioni. Esiste un repository con tutte le informazioni dei politici disponibili?

 

Il primo pensiero è che il repository che raccoglie questa tipologia di informazioni potrebbe essere il sistema di posta elettronica del parlamento tedesco. L'approccio più semplice potrebbe essere quello di avere accesso tramite il portale web del Parlamento Tedesco o tramite il sistema di webmail (un portale di accesso da Internet alle caselle di posta elettronica).

 

Come identificare il link del servizio webmail del parlamento tedesco? 

  • un primo approccio è tramite una ricerca su Google (se il link è stato indicizzato),
  • il secondo attraverso un approccio di tentativi utilizzando delle naming convention standardizzate,
  • il terzo attraverso una verifica dei sottodomini del portale del parlamento tedesco,
  • il quarto approccio attraverso attività di social engineering,....

 

Insomma, stiamo parlando di un'informazione che è reperibile attraverso diverse modalità. Ottenuto il link (portale web o webmail), avendo a disposizione il portale di accesso, lo step successivo è riuscire ad autenticarsi sul portale.

 

In generale il primo approccio è quello di verificare se il portale in questione ha qualche vulnerabilità sfruttabile. In questi casi si procede con una attività di vulnerability assessment e network scan. Queste due attività permettono di verificare la presenza di criticità di cybersecurity e, cercando e lanciando i relativi exploit (sono righe di codice precompilate) specifici per le vulnerabilità si può accedere senza problemi al sistema. Nel caso specifico potremmo ipotizzare criticità di tipo cross site scripting, privilege escalation o file inclusion. 

 

Un secondo approccio è quello di una attività di phishing che ha l'obiettivo di ottenere gli accessi di amministratore del sistema. In questi casi l'attività è mirata all'amministratore del sistema (se si conosce la mail di riferimento), oppure sempre con una attività di phishing intermedia verso una mail di servizio o un utente. Attraverso la mail di phishing si infetta il dispositivo e tramite il malware è possibile ottenere le credenziali di accesso al dispositivo.

 

Un terzo approccio è verificare la presenza di eventuali mail e password presenti nei DataBase dei Data Breach. Questi Database sono disponibili non solo nel Dark Web, ma anche - purtroppo troppo spesso - direttamente tramite una semplice ricerca su Google. Una verifica ha identificato oltre 800 mail @bundestag.de con relativa password disponibili. Fanno molto probabilmente riferimento a Data Breach datati e quindi le password saranno state cambiate... ma spesso utilizziamo o riutilizziamo la stessa password.

 

Non possiamo ipotizzare anche la possibilità che in realtà il nostro criminal hacker siano stato aiutato con da terzi con informazioni e indicazioni... il  quarto approccio.  

Considerazioni

Questa tipologia di attacchi informatici, purtroppo, sarà una costante per i prossimi anni. Le motivazioni spazieranno dal tradizionale cybercrime al sabotaggio, terrorismo, atti dimostrativi, protesta, spionaggio, cyberwar tra nazioni... Si tratta di una modalità a basso costo che può non solo impattare la popolazione a livello politico, economico e sociale ma che mette a rischio gli stessi processi democratici.

 

Ma i nostri politici italiani possono dormire sonni tranquilli?

Di più su questi argomenti: