Così veniva attaccato Google

A distanza di poche ore dall’annuncio di Google di una nuova strategia per i rapporti con la Cina, che potrebbe portare a una chiusura degli uffici del motore di ricerca nel paese, emergono i primi dettagli sulla serie di attacchi informatici subiti da alcune società statunitensi e denunciati da Mountain View. Le intrusioni nei sistemi di circa 30 aziende attive negli States, Google compresa, presentano numerose similutidini con gli attacchi portati a termine durante lo scorso luglio 2009 e che interessarono un centinaio di società statunitensi. All’epoca gli autori delle attività illecite per violare le reti aziendali utilizzarono una vulnerabilità riscontrata nell’applicativo Adobe Reader e una serie di file PDF appositamente modificati.

Gli attacchi subiti lo scorso dicembre provenienti dalla Cina, oggetto del post di Google, sarebbero stati portati a termine attraverso l’utilizzo di alcuni file PDF allegati a una serie di messaggi email. Una strategia del tutto simile a quella adottata durante l’estate e che avrebbe consentito agli utenti malintenzionati di violare i sistemi di una trentina di società statunitensi. La presenza di una vulnerabilità negli applicativi Adobe per la lettura dei file PDF sarebbe dunque alla base dell’intricata vicenda. Il bug, da poco corretto, consentiva di rendere attivi alcuni Trojan horse in grado di aprire la strada agli autori degli attacchi informatici.

Una parziale conferma a tale ipotesi giunge dagli esperti di sicurezza di iDefense, che hanno avuto la possibilità di analizzare alcune porzioni di codice degli attacchi di luglio e di dicembre 2009. I due episodi sono di natura differente, ma presentano numerose caratteristiche simili: gli host contattati dai sistemi infettati per la ricezione delle istruzioni sono molto simili, i server utilizzati sfruttavano il medesimo HomeLinux DynamicDNS provider e in entrambi i casi gli IP di riferimento erano forniti da Linode, una società attiva negli Stati Uniti e specializzata nella fornitura di server virtuali. Infine, gli IP utilizzati nei due attacchi erano legati alla medesima subnet.

Alla luce delle evidenze finora emerse, gli esperti di iDefense ipotizzano che gli episodi di luglio e di dicembre 2009 possano essere ricondotti a un unico grande attacco, che avrebbe di fatto compromesso la sicurezza di alcuni sistemi per molti mesi. Google avrebbe rilevato la presenza del codice malevolo nelle proprie macchine verso la metà di dicembre e le successive indagini avrebbero messo in evidenza la violazione dei sistemi di altre aziende attive negli USA, comprese due società finanziarie e una società partner della difesa americana.

Parte delle informazioni acquiste attraverso gli attacchi sono state memorizzate in un data center del Texas i cui sistemi ricevevano istruzioni da alcuni server di Taiwan, area geografica solitamente utilizzata dagli utenti malintenzionati cinesi per portare a termine i loro attacchi. La natura delle violazioni e degli indirizzi IP sembra inoltre confermare il coinvolgimento dello spionaggio cinese e/o di una serie di hacker e cracker che avevano dato vita già in passato ad alcuni attacchi informatici verso gli Stati Uniti.

La vicenda messa da poco in evidenza da Google, con una dichiarazione dura nei confronti delle autorità cinesi, si sta rivelando particolarmente complessa e potrebbe portare a nuovi sviluppi inattesi. Per non esporre i propri sistemi e i clienti coinvolti a ulteriori rischi, la società di Mountain View non ha al momento fornito maggiori indicazioni sugli attacchi subiti. Per comprendere l’intera vicenda e la sua entità complessiva occorrerà attendere alcuni giorni e, secondo gli osservatori, alcuni dettagli saranno probabilmente omessi per limitare i rischi e disincentivare nuove azioni analoghe.