Abbiamo incontrato 'Intrusion Truth' il collettivo di hacker più misterioso dell'anno

Le persone vanno e vengono dal grande complesso grigio, con un alto edificio che spunta su un giardinetto di Tianjin, in Cina. Ma secondo delle ricevute di Uber e alcuni post del misterioso blog Intrusion Truth, almeno una delle persone che si recano a questo indirizzo sono membri di APT10, un gruppo di hacker cinesi che hanno colpito aziende manifatturiere, aerospaziali e ingegneristiche di tutto il mondo per rubare segreti commerciali.

Dalla fine di luglio, Intrusion Truth ha pubblicato regolarmente una serie di presunti nomi di hacker di APT10, una mossa inusuale nel mondo del cyber-spionaggio, in cui i protagonisti restano tipicamente anonimi, e le compagnie di cybersicurezza pubblicano soltanto descrizioni delle vittime degli attacchi. Molte fonti con una certa conoscenza delle operazioni di APT10 hanno fornito a Motherboard alcuni dettagli sui post di Intrusion Truth insieme ad altri dati relativi al gruppo cinese. Motherboard ha garantito l'anonimato alle diverse fonti nel discutere informazioni non-pubbliche sulle operazioni di hacking del governo.

Intrusion Truth, con il suo approccio controverso, porta avanti questioni come l'etica di smascherare gli hacker governativi, e come certe mosse possono essere una sorta di deterrente, o almeno un prezzo da pagare, per gli atti di cyber-spionaggio governativo.

"Lavoreremo con aziende, analisti privati, hacker, governi — chiunque possa fornirci i dati di cui abbiamo bisogno," ha scritto un rappresentante di Intrusion Truth a Motherboard via email.

La Cina ha hackerato le aziende di altre nazioni per anni, rubando tra le altre cose schemi di aerei militari e informazioni sull'energia solare. Questa costante violazione aveva spinto l'ex Presidente Obama a stringere accordi con il presidente cinese Xi. Nel 2015, i due paesi hanno stretto un accordo per smettere di violare la proprietà intellettuale. I ricercatori nel campo della cybersicurezza hanno visto ridursi di molto il cyber-spionaggio cinese. Quest'anno, comunque, gli hacker sono tornati a rubare dati sensibili da un consulente della Marina e il paese ha intensificato le incursioni, in parallelo con l'aumentare delle tensioni commerciali con gli USA.

Questo è il tipo di spionaggio industriale contro cui Intrusion Truth è particolarmente schierato.

"Il furto di proprietà intellettuale è un campo di confronto tra l'Occidente e i suoi avversari online, primo tra tutti la Cina. Questo furto danneggia individui che lavorano sodo, aziende e intere economie tramite la perdita di profitti e la competizione scorretta," ha detto Intrusion Truth a Motherboard.

"Fino a poco tempo fa, la Cina vinceva — agendo impunemente, rubando dati grazie a una squadra di hacker che prima paga e poi addita come criminali. L'uso di hacker mercenari è un tentativo deliberato di aggirare gli impegni presi per fermare questa attività illegale" ha aggiunto il gruppo.

L'anno scorso, Intrusion Truth ha iniziato pubblicando alcuni frammenti relativi ad APT — minacce persistenti, essenzialmente in un gergo che parla agli hacker governativi. All'inizio, Intrusion Truth si concentrava su APT3, un altro gruppo cinese. A quel tempo, basandosi su informazioni disponibili pubblicamente e altri dati, Intrusion Truth ha dichiarato che dietro APT3 c'era 'Boyusec', un'azienda di software che agisce per ordine del servizio di intelligence del ministero della sicurezza di stato cinese. Intrusion Truth ha anche dato i nomi di due individui specifici: Wu Yingzhuo e Dong Hao, i membri fondatori di Boyusec. Probabilmente in risposta a ciò, il sito di Boyusec è andato offline.

Di sicuro, sei mesi dopo, il dipartimento di giustizia USA ha accusato di hacking e altri crimini simili Yingzhou, Hao, and Xia Lei, un terzetto che lavorava anche per Boyusec. L'accusa nominava il gigante europeo Siemens come una delle vittime del gruppo. Gli hacker non sono stati arrestati, ma come ha puntualizzato in seguito Intrusion Truth, per la crew Boyusec sarà più difficile girare a piede libero senza la minaccia di essere arrestati. (Non c'è alcuna indicazione sul fatto che i post di Intrusion Truth portino direttamente a questa accusa).

Dopo un anno di stagnazione pubblica, Intrusion Truth è riemerso e ha ricominciato a focalizzarsi su APT10, che secondo i ricercatori sarebbe un altro gruppo di cyber-spionaggio cinese con grandi capacità.

"Al momento sono tra i gruppi cinesi più prolifici," ha detto a Motherboard via telefono Ben Read, senior manager di FireEye, che ne ha tracciato le attività fin dal 2009. "Una delle cose che li distingue maggiormente, al momento, è la loro portata," ha aggiunto.

Molte aziende di cybersicurezza hanno collegato APT10 a degli hack contro obiettivi negli Stati Uniti, Regno Unito, India e altri paesi, inclusa un'azienda di mining, molti provider di servizi IT e aziende manifatturiere. APT10 ha l'abitudine di prendere di mira i Managed Service Providers (MSP) — compagnie che forniscono prodotti a elevata tecnologia da remoto — e poi usano quell'accesso privilegiato per infiltrarsi nei loro bersagli definitivi.

"Hanno davvero una portata globale," ha detto Read.

Intrusion Truth ha pubblicato i nomi di tre presunti hacker APT10. Una fonte che ha fatto ricerca sulle operazioni ha detto che alcuni di questi nomi si sovrappongono a informazioni non-pubbliche sul gruppo. Intrusion Truth ha dichiarato che almeno uno degli hacker vive a Tianjin.

Nessuno dei presunti hacker smascherati da Intrusion Truth ha risposto alla richiesta di commenti di Motherboard.

I post di Intrusion Truth includono dettagli su come il gruppo identificherebbe i suoi bersagli. Molti di questi sembrano affidarsi alla creazione di report già pubblicati da compagnie di cybersicurezza, seguendo infrastrutture di hacking e indirizzi email, oltre ad account di social media e altre tracce online.

Ma le ricevute Uber che mappano i presunti hacker portano chiaramente a qualcos'altro, che probabilmente richiede la violazione dell'account Uber personale o l'intercettazione dell'uso della app in qualche altro modo, sostengono molti esperti di cybersicurezza.

Quando gli abbiamo chiesto di questi dati specifici, Intrusion Truth ci ha detto: "Non rilasceremo commenti sull'origine dei nostri materiali, possiamo solo dire che tutto ciò che diciamo è affidabile." Nel suo post su Tianjin, Intrusion Truth scrive che gli screenshot sono stati forniti da "un analista che non può essere nominato pubblicamente".

Le compagnie di cybersicurezza spesso forniscono i veri nomi degli hacker ai loro clienti, ma solitamente non lo fanno pubblicamente.

"Non otterremo niente pubblicando i nomi" ha detto a Motherboard Andrei Barysevich, direttore dell'azienda di threat intelligence RecordedFuture, durante la conferenza di cybersecurity Black Hat che si è tenuta il mese scorso. Forse gli unici casi in cui la compagnia può effettivamente pubblicare dei nomi è quando collabora direttamente con le forze dell'ordine. I problemi legali possono essere grossi — accusare qualcuno di essere un hacker del governo, e probabilmente un criminale in alcuni contesti, senza delle vere prove potrebbe aprire un caso giudiziario.

"Non c'è alcun vantaggio," ha detto Barysevich. Molti altri ricercatori pensano lo stesso.

Intrusion Truth, grazie all'anonimato e all'assenza di legami commerciali, sta avendo un altro approccio.

"Stiamo combattendo direttamente questa attività disonesta e illegale esponendo personalmente i responsabili, nominando gli hacker e identificando i mandanti che si nascondono dietro di loro. Saremo instancabili nel nostro lavoro e abbiamo già un grosso network di analisti che lavorano con noi," ha detto Intrusion Truth a Motherboard.

Potrebbero esserci gli estremi per fare nomi e cognomi. Nel 2014, il Dipartimento di Giustizia ha accusato cinque hacker militari di condurre cyberspionaggio contro molti obiettivi USA. Ma probabilmente questa non era la sola ragione per la quale la Cina è scesa a patti e il cyber-spionaggio di stato è diminuito.

”Se credete che l'accordo firmato da Obama e Xi abbia avuto un qualche effetto, allora è stata la combinazione del fare i nomi e cognomi, dello shaming e della minaccia molto concreta di sanzioni contro le imprese di proprietà statale e dei funzionari di più alto livello che ha portato alla diminuzione dei casi di hacking,” ha spiegato via mail a Motherboard Adam Segal, direttore del Digital and Cyberspace Policy Program presso il Council of Foreign Relations. ”Se, invece, credete come me che la tregua sia stata temporanea e dovuta per lo più alla riorganizzazione delle forze militari dell’Esercito Popolare di Liberazione che operano nel cyberspazio, allora vi convincerete che lo spionaggio informatico industriale cinese continuerà, visti gli interessi strategici ed economici di Pechino.”

Una fonte informata su come lavorano i gruppi APT cinesi ha affermato che, in generale, i cinesi non si preoccupano di essere scoperti, ma solo che le loro operazioni abbiano successo.

Segal ha spiegato che fare nomi e cognomi dei sospetti e lo shaming dovrebbero andare di pari passo con altre azioni per produrre delle conseguenze concrete. A quanto pare, Intrusion Truth è ben consapevole di questo dal momento che esorta i governi a esercitare pressioni sulla Cina per fare cessare lo spionaggio commerciale. ”Solo queste azioni combinate possono fare la differenza,” ha spiegato Intrusion Truth a Motherboard.

Ma, in ogni caso, innescare un cambiamento di grandi proporzioni nella politica di hacking della Cina non è necessariamente l'obiettivo di Intrusion Truth, quanto piuttosto, quello di esercitare un’influenza sui singoli hacker che riescono a individuare e ad accusare pubblicamente.

”Vogliamo che i singoli hacker che lavorano per conto dello Stato cinese ci pensino su due volte prima di procedere con le loro attività illegali online,“ ha spiegato Intrusion Truth a Motherboard. ”Come gli hacker di APT1 e APT3 prima di loro, una volta che vengono indicati come sospetti, le loro possibilità di viaggiare o lavorare al di fuori della Cina vengono notevolmente ridotte oltre a correre il rischio di essere accusati dalle forze dell'ordine straniere,” hanno aggiunto, riferendosi ad APT1 come a un gruppo che la società di cybersecurity FireEye aveva collegato ad una specifica unità militare cinese nel 2013.

Jake Williams, un ex hacker dell'unità Tailored Access Operations dell'NSA, ha spiegato via mail a Motherboard: ”Fare nomi e cognomi è un potenziale deterrente alla criminalità, ma qui il problema è un altro,” aggiungendo che gli hacker dello stato lavorano nel rispetto delle leggi del proprio paese, violando la legislazione degli altri. ”Solo con il tempo potremo capire se fare nomi e cognomi avrà un impatto sul reclutamento e il mantenimento del personale addetto a questi compiti.” Un gruppo chiamato The Shadow Brokers autodefinito come hacker, che aveva messo a punto una serie di exploit dei sistemi del NSA, aveva a sua volta fatto lo stesso con Williams riguardo il suo lavoro con l'NSA.

Non è chiaro chi si nasconda dietro a Intrusion Truth. Nel titolo di un suo post, il gruppo solleva la questione su quale gruppo cinese stia rubando ”le nostre proprietà intellettuali”, alludendo agli hack di APT3 nel Regno Unito e negli Stati Uniti. Non sorprende che Intrusion Truth abbia rifiutato di rivelare informazioni sui suoi membri o sulle loro identità. Tuttavia, dichiarano di essere composti da ”analisti,” che scavano tra i dati che gli vengono forniti o che ricavano grazie alle loro fonti.

”Una persona che si è unita a noi quest'anno ha paragonato il lavoro di Intrusion Truth a quello dei ‘Cavalieri Neri’ che dovevano dipingere le loro armature per nascondere a chi erano affiliati e per proteggere le loro identità. Ci sono troppe persone che si preoccupano del nostro colore, chiedendoci se siamo una forza rossa o blu, se siamo hacker black hat o white hat,” ha dichiarato Intrusion Truth.

”Non riveleremo mai i nostri nomi o quelli dei nostri collaboratori. La nostra capacità di contestare le operazioni scorrette della Cina nel cyberspazio deriva proprio dal nostro anonimato,” hanno aggiunto, ”oltre che dalla nostra volontà di dire tutta la verità.”

Questo articolo è apparso originariamente su Motherboard US.