Come gli hacker hanno violato la casella gmail di John Podesta e Colin Powell

Il 19 marzo di quest'anno, John Podesta, a capo della campagna presidenziale di Hillary Clinton, ha ricevuto un'email che sembrava provenire da Google.

L'email, ovviamente, non era del gigante di internet, era un tentativo di hackeraggio del suo account personale. Infatti, il messaggio arrivava da un gruppo di hacker che alcuni esperti di sicurezza, così come il governo USA, credono essere delle spie russe. All'epoca, comunque, Podesta non ne sapeva niente, e ha cliccato sul link contenuto nell'email permettendo così agli hacker di violare il suo account.

Mesi dopo, il 9 ottobre, WikiLeaks ha iniziato a pubblicare migliaia di email hackerate di Podesta. Quasi tutti hanno puntato immediatamente il dito contro la Russia, sospettata di essere responsabile di una campagna di hacking con l'obiettivo apparente di influenzare le elezioni presidenziali. Ma non c'erano prove riconosciute pubblicamente del fatto che si trattasse dello stesso gruppo che ha hackerato il [Democratic National Committee](Democratic National Committee)—fino ad ora.

I dati che conducono a un gruppo di hacker russi—conosciuti come Fancy Bear, APT28, o Sofacy—sono altri pezzi di un puzzle più grande che porta a puntare il dito contro il Cremlino. Allo stesso tempo, mostrano un chiaro legame tra leak apparentemente indipendenti apparsi su un sito chiamato DC Leaks, come quello delle email di Colin Powell.

Tutti questi hack sono stati realizzati usando lo stesso tol: URL corti e maligni nascosti in messaggi apparentemente inviati da Google. E questi URL, secondo un'azienda di sicurezza che li ha tracciati per anni, sono stati creati da account Bitly collegati a un dominio controllato da Fancy Bear.

LE TRACCE CHE PORTANO A FANCY BEAR

L'email di phishing ricevuta da Podesta il 19 marzo conteneva un URL creato con Bitly, un tool per accorciarli, che a un occhio poco esperto poteva sembrare un link di Google.

Dentro quel lungo URL c'è una riga di 30 caratteri che sembra priva di senso ma di fatto è l'indirizzo email crittato di John Podesta. Secondo le statistiche di Bitly quel link, che non è mai stato reso noto, è stato cliccato due volte a Marzo.

Questo nella figura in alto è il link che ha dato agli hacker l'accesso all'account di Podesta, una fonte vicina alle investigazioni lo ha confermato a Motherboard.

Quel link è solo uno dei 9.000 link che Fancy Bear avrebbe usato per colpire almeno 4.000 individui dall'ottobre 2015 al maggio 2016. Ognuno di questi URL conteneva l'email e il nome dell'effettiva vittima. Gli hacker hanno creato due account Bitly, ma secondo SecureWorks, un'azienda di sicurezza che ha seguito Fancy Bear da vicino, avrebbero dimenticato di renderli privati.

SecureWorks stava tracciando Fancy Bear e i domini che controllava. Uno di questi porta a un link Bitly che porta a sua volta all'account Bitly che contiene migliaia di URL collegati successivamente a una serie di attacchi, inclusi quelli alla campagna di Hillary Clinton. Con questo punto di vista privilegiato, per esempio, i ricercatori hanno visto Fancy Bear usare 213 link per violare 108 indirizzi email del dominio hillaryclinton.com, come ha spiegato la compagnia in un report uscito quest'estate, e come riportato la settimana scorsa da BuzzFeed.

L'uso di Bitly ha permesso a "terze parti di vedere la loro intera campagna di attacchi, incluse tutte le vittime—qualcosa che in teoria bisognerebbe tenere segreto" ha detto Tom Finney, ricercatore di SecureWork, a Motherboard.

Questo è stato uno dei "grossi errori" di Fancy Bear, scrive Thomas Rid, un professore del King's College che ha studiato da vicino il caso e ha collegato tutti gli attacchi a Fancy Bear. Ecco come i ricercatori sono riusciti a trovare il link di phishing che ha ingannato Colin Powell.

Ciò ha permesso loro anche di confermare altri report di compromissioni, come quello di William Rinehart, dello staff della Clinton. Come riportato in agosto, Rinehart ha ricevuto un alert infetto il 22 marzo—a prova del fatto ci sono degli screenshot. SecureWorks ha trovato un URL con la stessa data che nascondeva l'indirizzo di Rinehart.

Email e URL infette sono state anche usate di recente contro i giornalisti indipendenti di Bellingcat, un sito che aveva investigato sull'incidente al volo Malaysian Airlines (MH17) che si è schiantato in Ucraina nel 2014, trovando delle prove che conducevano a dei ribelli di parte russa.

Altri giornalisti dell'Europa orientale sono stati recentemente vittime di email di phishing che cercavano di violare i loro account Gmail.

Queste email infette, come quelle usate contro Podesta, Powell, Rinehart e molti altri, sembravano dei Google alert, e contenevano tutti lo stesso tipo di crittazione per nascondere i nomi delle vittime.

Non è chiaro perché gli hacker abbiano usato delle sequenze crittate che rivelano a tutti i loro obiettivi. Kyle Ehmke, un ricercatore dell'intelligence all'azienda di sicurezza ThreatConnect, ha ipotizzato che "potrebbero aiutarli a tracciare e organizzare meglio le loro operazioni, collegare le pagine di raccolta di credenziali alle specifiche vittime, monitorare l'efficacia delle loro operazioni o diffondere le loro operazioni contro vari target attraverso molti URL per facilitare la continuità nel caso in cui uno degli URL venisse scoperto."

L'uso di tool per accorciare i link, come Bitly o Tinyurl potrebbe avere però una spiegazione più semplice. Secondo Rid, gli hacker probabilmente volevano assicurarsi che il loro tentativo di phishing superasse i filtri di spam delle loro vittime.

LA PROVA INCONFUTABILE?

Nessuno di questi dati costituisce una prova inconfutabile che possa incastrare la Russia come mandante di queste campagne di hacking senza precedenti, connesse alle elezioni presidenziali.

Quasi due mesi fa, il governo degli Stati Uniti ha scelto di puntare il dito pubblicamente contro il governo russo, accusandolo di essere mandante della recente serie di hack e furto di dati. La community dell'intelligence si è rifiutata di spiegare come siano giunti alla conclusione, ed è giusto desumere che posseggano dei dati che nessun altro può vedere.

Questi dati appena scoperti dipingono un'immagine ancora più chiara per il pubblico, mostrando un legame credibile tra le strategie scelte dagli hacker e, ancora una volta, puntare il dito contro Fancy Bear, un noto gruppo di hacker notoriamente legati alla Russia. Anche se c'è ancora chi nega, incluso il candidato presidenziale e l'ex star dei reality TV Donald Trump, per molti il dibattito su chi ha hackerato la DNC, e chi ci sia dietro questo hack è già chiuso.

"Ci stiamo avvicinando al punto del caso in cui ci sono soltanto due ragioni per cui le persone dicono che non ci sono delle prove sufficienti," mi ha detto Rid. "La prima ragione è che non capiscono la questione—per il semplice fatto che non hanno le conoscenze tecniche necessarie. La seconda ragione è che non vogliono capire."

UPDATE, 20/10/2016, 4:31 p.m.: Dopo la pubblicazione di questo articolo, Bitly ha inviato a Motherboard una dichiarazione per dire che la compagnia può fare poco per prevenire eventi del genere, perché non può "controllare i dati privati dei clienti senza compromettere la policy sulla privacy."