Datagate: Snowden svela TAO, task force di spionaggio NSA

Emergono dalle carte alcuni esempi di attacco e controllo da parte del TAO, il più eclatante del quali è la creazione del malware Stuxnet. Ideato in collaborazione con gli israeliani per entrare nella centrale di produzione di uranio arricchito iraniana si Natanz, Stuxnet aveva lo scopo di sabotare la centrifuga della centrale inviando specifici comandi per aumentare velocità di rotazione delle turbine per danneggiarle. Il malware però si propagò anche al di fuori di quegli ambienti, uscendo allo scoperto e rendendo di dominio pubblico la sua esistenza.

Si tratta si un esempio, ma non certo l'unico. TAO dispone di una rete parallela top secret in tutto il mondo, con alcuni router di contatto con il web per tutti, affiancandosi ad una massiccia operazione di diffusione malware attraverso un numero imprecisato di strumenti come le mail di spam o cosette molto più mirate, come vedremo in seguito. Se lo spam ha una garanzia di successo (in termini di infezione) inferiore all'1%, alcune tecniche più sofisticate portano questo valore a circa l'80%, ottenuto grazie a una operazione definita quantum insert. Il Government Communications Headquarters, che abbrevieremo in GCHQ per comodità, è un ente con sede in Gran Bretagna per lo spionaggio (quello dello scandalo intercettazioni Merkel, per intenderci) e ne fa ad oggi largo uso.

Come già accennato, una rete ombra viene gestita dalla NSA e suoi collaboratori, con router e server propri che però sono in grado di comunicare con la rete pubblica, in grado di intercettare e infettare determinate reti aziendali e non solo, in un primo momento solo a scopo identificativo. Lo scopo quindi è inizialmente quello di avere una sorta di "impronta digitale" degli utilizzatori, comprese le loro abitudini.

Una volta che il TAO (ma anche il GCHQ) ha raccolto abbastanza informazioni utili a collegare IP e MAC adress, per esempio, a un determinato dispositivo/utente (compresi smartphone e tablet a prescindere dal marchio), questi verranno triangolati con tutto il traffico di passaggio sui router controllati dalla NSA. Se un pacchetto di dati con IP o MAC adress "noti" passa per un router infettato o controllato dalla NSA, insomma, può proseguire la raccolta dati con siti consultati, mail inviate e altro ancora, senza per forza avere un PC infetto e in grado di dialogare con l'esterno.

Non solo: nel documento si fa riferimento a server definiti Foxacid, la cui esistenza è emersa solo recentemente. E' capitato infatti che alcuni PC degli ingegneri di Belgacom siano stati infettati con malware, indirizzando le richieste del browser non verso LinkedIn, come era intenzione degli utenti, ma verso questi server Foxacid (di fatto un phishing mirato), che si sono frapposti fra PC e server remoto, cosa possibile solo con un controllo praticamente totale dell'instradamento dati. L'impianto quantum insert in abbinamento a LinkedIn garantisce un successo di infezione di circa il 50%.

Gli occhi quindi sono puntati praticamente ovunque, mettendo le basi a possibili attacchi "mirati" verso un grandissimo numero di persone. Per capire il livello dell'infiltrazione basti pensare ad un altro dato: la dorsale sottomarina Sea-me-we-4, che collega l'Europa con il Nord Africa, i Paesi del Golfo e proseguendo per Pakistan, India, Malesia e Thailandia, viene di fatto monitorata dalla NSA, grazie all'infezione degli enti che ne controllano la gestione.

Un altro veicolo utilizzato per infettare e/o raccogliere informazioni sono le... notifiche di errore di Windows. Come molti utilizzatori sanno, in caso di problemi (frequenti...) con i sistemi operativi Windows, viene richiesto di segnalare la natura del problema al fine di trovare una soluzione online. Gli operatori TAO utilizzano questa "backdoor" ufficiale per intrufolarsi in maniera facile nei sistemi, come si può notare nel link riportato a inizio articolo, pagina 2.

Gli strumenti in mano alla TAO non finiscono qui: sembra infatti che i vecchi metodi da spionaggio siano ancora validi. Vengono segnalati infatti alcuni stratagemmi per prendere il controllo sicuro dell'hardware e software di soggetti messi nel mirino, come l'intercettazione fisica dei PC o degli smartphone ordinati, a cui vengono apportate modifiche prima di essere consegnate al cliente. Viene quasi da sorridere e da non credere a queste che sembrano favole, tratte da una sceneggiatura di basso livello, ma la fonte sembra molto seria a riguardo e non fatichiamo a credere che, in alcuni casi molto mirati, questa cosa sia effettivamente successa.

Siamo ovviamente consapevoli di aver lasciato alcuni argomenti nel vago, mancando ovviamente conferme ufficiali e informazioni di prima mano. Emerge però in maniera più chiara il livello raggiunto dallo spionaggio elettronico, in grado veramente di fare il bello e il cattivo tempo in quasi tutto il pianeta. La sensazione è che con il passare del tempo ci saranno sempre più informazioni provenienti dalla Russia, dove Snowden si trova in esilio, volte a smascherare quello che è uno scandalo vero e proprio e per il quale crolla ogni parvenza di provacy online. Altrettanto chiara è la malcelata voglia degli USA di mettere le mani su Snowden a tutti i costi, e perché il caso ha suscitato all'inizio un clamore così grande da sembrare effettivamente poco giustificato. Ora sappiamo perché, consapevoli inoltre che non mancheranno di arrivare all'opinioni pubblica altre informazioni ex top-secret.