Qualche lezione per la Germania dall’attacco contro Macron

Il modo in cui la squadra di Macron si è difesa contro gli hacker contiene lezioni per altri partiti politici in Europa, anche se gli esperti non sono concordi sul fatto che sia stata la Russia.
Un gruppo di hacker ha cercato di influenzare le elezioni presidenziali francesi del 7 maggio, pubblicando migliaia di email rubate al team elettorale di Emmanuel Macron, il neo-presidente della repubblica francese.
L’8 maggio, parlando alla radio francese, il responsabile informatico di Macron, Mounir Mahjoubi, ha spiegato che gli hacker hanno rubano il contenuto di cinque email, incluso quella del capo-tesoriere della squadra. Mahjoubi ha spiegando che presumibilmente l’attacco si svolto con un’email inviata dal loro stesso ufficio stampa, il cui contenuto era: “Alcune raccomandazioni per quando parlate alla stampa, scarica questo file come allegato”.
Il file conteneva un malware, ma l’attacco è fallito perché lo stile di scrittura dell’hacker era troppo asciutto. Come ha spiegato Mahjoubi, “la nostra responsabile stampa non ci scrive mai così”. Il responsabile informatico ha dichiarato che i documenti rubati contenevano "scherzi...decine di migliaia di fatture da fornitori...organizzazione di eventi”, ma “nessun segreto”. C’erano inoltre “email false” e “informazioni che noi stessi abbiamo inviato come controffensiva per i tentativi di phishing [da parte degli hacker]”.
L’agenzia francese che si occupa di cybersicurezza, l’Anssi, e i procuratori e la polizia di Parigi stanno indagando sull’accaduto. Tuttavia, i sospetti cadono sulla Russia, già accusata del tentativo di hackerare Macron durante la campagna e dell’attacco informatico ai danni dei parlamentari tedeschi alla vigilia delle elezioni tedesche in autunno. Aurelien Lechevallier, il consigliere di Macron per la politica estera, ha dichiarato al sito d’informazione Politico che la Francia è pronta a reagire contro attacchi simili in futuro, e ha aggiunto: “adotteremo una strategia di ritorsione verso i cyberattacchi russi o qualsiasi altro tipo di attacco”.
La scorsa settimana Hans-Georg Massen, uno dei capi dell’intelligence tedesca, ha affermato che anche la Germania si sta preparando a reagire. “È necessario essere in grado di distruggere questi server [sistemi informatici stranieri che immagazzinano informazioni rubate] se i provider e i proprietari dei server non posso assicurare che non vengono usati per condurre attacchi”, ha affermato Massen.

Barattoli di miele

EUobserver ha parlato con due esperti Usa di sicurezza informatica, che hanno affermato che il modo in cui Mahjoubi ha gestito gli attacchi conteneva lezioni utili per i partiti tedeschi e altri partiti politici in Europa. Dimitri Sirota, l’amministratore delegato dell’azienda con sede a New York BigID, ha detto che Mahjoubi è stato “astuto” perché “ha aggiunto stupidaggini” alle informazioni reali disponibili sui sistemi. Sirota ha aggiunto: “Creare dati fasulli è una mossa intelligente perché fornisce l’opportunità di tracciare e screditare il divulgatore delle informazioni”.
Ha spiegato inoltre che Mahjoubi sembra aver usato “barattoli di miele”, ovvero finti bersagli concepiti per attirare gli attacchi e contenenti dati che “compromettono gli aggressori”. Sirota ha affermato che in futuro i partiti politici dovrebbero abituarsi ad attacchi come quello ricevuto da Macron. Il cosiddetto “phishing” prende di mira i singoli con siti web falsi o email create per rubare le loro password, contrariamente agli attacchi progettati per aggirare i firewall o altre difese informatiche.
Sirota ha spiegato che la maggior parte dei dati oggi è archiviata sui “cloud”, gestiti da grandi aziende informatiche come Yahoo o Google, e quindi gli attacchi informatici non phishing dovrebbero penetrare le difese di questi cybergiganti per avere successo. “[Gli atti di phishing] sono la nuova realtà delle campagne elettorali”, ha aggiunto l’amministratore delegato di BigID.
Aleksandr Yampolskiy, il capo di SecurityScorecard, azienda con sede a New York, ha anche affermato che Mahjoubi è stato “intelligente” perché ha usato “una tecnologia d’inganno”, invece che affidarsi a un’obsoleta “tecnologia reattiva”, come ad esempio firewall o sistemi di rilevamento delle intrusioni nel sistema. "Così puoi spostare i costi da colui che si deve difendere a colui che attacca”, ha spiegato, aggiungendo che “puoi lasciare le porte aperte, ma una volta entrati, gli assalitori non sanno quali documenti sono autentici e quali sono finti”.
Yampolskiy ha affermato: “se mischi banconote false con altre vere, e solo tu sai distinguerle, diventa più costoso per l’assalitore controllare quali prendere”. Ha inoltre dichiarato che i partiti politici tedeschi dovrebbero allenare il proprio staff in tema di “ingegneria dei social” e dovrebbero registrare i nomi dei domini internet simili a quello di loro appartenenza. L’espressione “ingegneria dei social” si riferisce all’uso fatto dagli hacker delle informazioni sensibili degli internauti, come ad esempio su Facebook, per rendere gli attacchi di phishing più convincenti. Nascondersi in domini con nomi simili evita agli hacker di dover utilizzare siti internet gemelli per rubare le password.

Probabilmente è una papera

Flashpoint, un’altra azienda statunitense di sicurezza informatica, nel finesettimana ha dichiarato alle agenzie di stampa Reuters e Bloomberg che l’attacco contro Macron sembra che sia stato condotto dalla Russia. L’azienda non ha voluto fornire ulteriori dettagli quando è stata contattata da EUobserver. Sirota ha spiegato che sembra sia stata la Russia perché il paese ha utilizzato metodi simili l’anno scorso in occasione delle elezioni Usa e perché ha anche cercato di danneggiare Macron in maniera esplicita, tramite la propaganda di stato russa. “Se somiglia a una papera, cammina come una papera, e fa versi da papera, probabilmente è una papera”, ha aggiunto l’amministratore delegato di BigID.
In ogni caso, Yampolskiy e altri esperti sono stati più cauti. Dato che Macron è stato anche bersaglio di attivisti di estrema destra negli Usa e nel Regno Unito, Yampolskiy ha spiegato che attacchi del genere non sono difficili da attuare. “Non c’è bisogno di sofisticate apparecchiature di stato, bastano una o due persone con capacità di phishing per metterli in atto”. Ha affermato che il fatto che alcuni dei documenti contenessero nomi russi all’interno dei metadati non significa necessariamente che è opera russa, perché è semplice infiltrare questo genere di informazioni come tentativo di confondere gli investigatori.
“Se torni a casa dal lavoro e trovi la finestra rotta e un biglietto da visita con scritto ‘Aleksander Yampolskiy’, ciò non significa che sia stato io”, ha affermato il capo di SecurityScorecard. Yampolskiy ha aggiunto inoltre che gli inquirenti dovrebbero pubblicare tutti i dettagli degli attacchi, in modo tale da permettere agli esperti di cybersicurezza di condurre un “esame alla pari” dei loro materiali, nella stessa maniera in cui gli scienziati trattano le ricerche altrui all’interno del mondo accademico.
Trend Micro, un’azienda giapponese che ha collegato la Russia ai recenti attacchi informatici contro Francia e Germania, ha anche affermato che le prove in questo caso erano inconcludenti. “Le tecniche usate [dagli hacker contro Macron] in questo caso sembrano simili ai precedenti attacchi ricondotti alla Russia. Ma senza ulteriori prove, è estremamente difficile attribuire questo attacco informatico a qualsiasi persona o gruppo”, ha spiegato Trend Micro in una dichiarazione rilasciata a EUobserver.

Approccio “hack-back”

In questo contesto privo di certezza, Sirota e Yampolskiy hanno affermato che parlare di contrattacco nei confronti della Russia o degli altri sospetti è stato prematuro. Sirota ha inoltre aggiunto che “la quantità di prove che sarebbero necessarie per passare all’offensiva dovrebbe essere notevole”. “A meno che non ci sia assoluta certezza, è altamente rischioso per un paese fare una simile mossa”, ha sostenuto.
Yampolskiy ha affermato che l’approccio “hack-back” sarebbe stato troppo pericoloso perché avrebbe potuto non dare frutti e iniziare al contempo una cyberguerra. Il capo di SecurityScorecard sostiene che distruggere server esteri non ci assicurerebbe che le informazioni rubate non siano state copiate e archiviate altrove. “Se vai alla ricerca di server all’estero, assicurati di non vivere in una casa di vetro”, ha aggiunto.
“Pensiamo alla reazione. La cyberinfrastruttura che gestiamo, almeno negli Stati Uniti, è piuttosto vulnerabile...le infrastrutture governative in molti paesi non sono in buono stato. Se noi possiamo farlo a loro, pensiamo cosa possono fare loro a noi”. Yampolskiy ha anche aggiunto che un altro modo a disposizione dei politici per proteggersi contro la diffusione di materiale compromettente è prima di tutto di non compromettere se stessi. “Se non hai fatto nulla di male, non hai nulla da nascondere”, ha concluso.