Operazione Aurora: l'attacco arriva dagli amici

“Operazione Aurora“: è questo il nome che McAfee ha attribuito alle proprie ricerche relative agli attacchi che alcune aziende occidentali hanno subito sulla Rete cinese. Google e Adobe sono soltanto due dei gruppi colpiti a metà dicembre dall’offensiva digitale (da cui è scaturita la selva di polemiche che oggi coinvolgono ai massimi vertici anche i Governi USA e cinese), ma nuovi dettagli stanno emergendo relativamente alle modalità di attacco che hanno permesso di portare a segno uno degli exploit più chiacchierati di sempre.

Secondo i nuovi rilievi inerenti all’Operazione Aurora, infatti, nella lunga sequela di tasselli inerenti la sicurezza delle aziende impegnate il punto debole potrebbe essere stato scovato all’esterno delle dotazioni hardware e software. Il problema, infatti, sarebbe ancora una volta identificabile nel fattore umano. Il guaio, infatti, sarebbe stato reso tecnicamente possibile da un bug in Internet Explorer (peraltro risolto ora con una patch urgente), ma a monte c’è stato altro. E quella che sembrava essere una connivenza interna con i cracker potrebbe invece essere semplice superficialità, disattenzione o la disarmante incauta pericolosità di un fugace click.

Non a caso fin da subito l’attacco era stato definito mirato e di alto profilo. Non si tratta infatti di un’offensiva di massa, ma qualcosa che è stato portato a segno con estrema perizia. L’obiettivo, infatti, era quello di ottenere informazioni utili ad entrare in possesso dei dati per accedere ai server. Di qui si sarebbero potuti monitorare caselle di posta e quant’altro, così da raggiungere gli scopi prefissati (su questo punto, però, il dibattito è ancora del tutto aperto, con gli USA ad additare la Cina e la Cina a negare ogni addebito prima di dar vita a controaccuse sul piano politico). Per colpire i dipendenti Google (o altra azienda), però, l’approccio è stato indiretto: si è passati dapprima attraverso i rispettivi amici e contatti, tanto su Instant Messenger quanto su non meglio precisati social network.

Lo schema, secondo quanto appreso dal Financial Times, si è così sviluppato: si è entrati in possesso di account relativi ad amici di dipendenti delle aziende nel mirino. Si è inviato loro un link maligno attraverso canali tradizionalmente affidabili (cliccare sui link provenienti da amici è cosa comune), avviando così l’exploit su IE che ha permesso l’accesso alle informazioni desiderate.

Google non conferma, spiegando che le indagini sarebbero ancora in corso. Parte dei dipendenti di Google China sarebbe al centro dell’inchiesta interna, onde identificare eventuali responsabilità per l’accaduto, anche se al momento non si configurerebbero responsabilità dirette. Il nuovo teorema McAfee sembra pertanto essere al momento confermato: risolta la falla di IE, occorre risolvere ora una falla relativa alla policy aziendale nella gestione dei contatti e del materiale ricevuto per via digitale. E da questo punto di vista le patch possono far poco.

Google, nel frattempo, ha smentito con forza tramite un proprio portavoce l’ipotesi emersa nei giorni scorsi dal sito web della CNN secondo cui Gmail prevederebbe una backdoor “istituzionale” dedicata al monitoraggio di eventuali situazioni di rischio: «come abbiamo più volte chiarito non vogliamo commentare nello specifico l’attacco perchè le nostre investigazioni sono in atto. Comunque vogliamo che sia chiaro il fatto che Google non ha creato backdoor per permettere ai governi di accedere agli account Gmail».