Nel racconto di Google relativo ad un abilissimo gruppo di hacker capace di attaccare ogni sistema con falle zero day era privo di un dettaglio: erano agenti di un paese alleato degli Usa, un governo occidentale. Che stavano sorvegliando una cellula terroristica.
Venerdì scorso abbiamo raccontato di un abilissimo gruppo di hacker che ha sfruttato un numero enorme di falle zero day per accedere ad ogni sistema operativo. Lo ha scoperto un ricercatore di Google Project Zero, la dottoressa Maddie Stone, che ha seguito per mesi le briciole lasciate da quelli che sono stati considerati, a detta di molti, tra i più abili hacker degli ultimi anni.
Nel lungo blogpost di Google non era presente alcun riferimento che aiutasse a identificare chi fossero questi hacker, e soprattutto quali fossero i bersagli, e oggi sappiamo il perché.
Gli hacker stavano operando per conto di un governo occidentale ed erano da mesi impegnati in una missione di contro-terrorismo: le vittime degli attacchi erano quasi sicuramente gli esponenti di una cellula terroristica, anche se su questo mancano ulteriori dettagli. Lo riferisce un magazine americano, che spiega come la decisione di Google di pubblicare ugualmente la notizia sul suo blog di Project Zero abbia dato vita ad una accesa discussione interna alla stessa azienda, anche perché alla fine Google è una azienda americana e i mandanti dell’attacco erano servizi segreti di un governo alleato.
La vicenda a molti esperti di sicurezza era apparsa molto sospetta fin da subito: Google dettagliava in modo preciso le tecniche di attacco e sembrava saperne molto di quel tipo di attacco, ma nel report, solitamente molto completo, mancavano del tutto i riferimenti sul gruppo dietro gli attacchi e sulle potenziali vittime. I dettagli infatti erano stati tolti di proposito.
Le grosse aziende solitamente sono solite chiudere bug e gestire in modo particolare i bug di sicurezza segnalati da governi amici, e secondo alcuni ricercatori anche le operazioni di controterrorismo come questa dovevano essere trattate allo stesso modo. Questo non vuol dire che i bug doveva restare aperti, perché potrebbero venir sfruttati anche da persone con intenzioni ben peggiori, ma i dettagli di questo attacco e soprattutto questi bug non dovevano essere resi pubblici.
Secondo altri invece Google ha fatto bene a rendere pubblica la cosa, perché è giusto che si sappia dell’esistenza di certi bug, aiuta a sensibilizzare l’opinione pubblica su temi importanti come la sicurezza.
Non è la prima volta che aziende di sicurezza si imbattono in malware governativi, e se la matrice riconduce a forze alleate tendono a gestire la cosa. L’unico aspetto preoccupante della questione, in realtà, è il fatto che questo gruppo di hacker avesse accesso ad un numero enorme di falle zero day: questo fa crescere il sospetto che molte agenzie di sicurezza al posto di pubblicare queste falle e di segnalarle le rivendano invece ai servizi segreti che hanno una collezione di punti deboli da sfruttare quando serve.
In ogni casi è un bel pasticcio, con una operazione segreta che rischia di saltare dopo mesi di lavoro.