Il rapporto tecnico sul caso di spionaggio "Ruag
La cybercausa Ruag è stata analizzata da Melani/Gov- CERT al fine di fare luce sull'attacco e su un'ulteriore protezione. Il Consiglio federale ha deciso di pubblicare questo rapporto affinché i responsabili e gli esperti nel campo della sicurezza delle reti siano messi al corrente di attacchi simili. Tuttavia, la tracciabilità dei tentativi di spionaggio individuali nell'ambiente dell'amministrazione federale Ruag rimane nebulosa.
Il rapporto della Centrale di segnalazione e analisi per la sicurezza dell'informazione Melani, pubblicato a fine maggio 2016 (vedi fine testo), rivela poche novità - si concentra soprattutto su punti tecnici. Per esempio, che gli aggressori hanno usato un malware della famiglia Turla che circolava da diversi anni. Questo malware si era molto probabilmente infiltrato nell'IT di Ruag per anni. Il rapporto tecnico sottolinea esplicitamente: "Gli attaccanti hanno mostrato molta pazienza nell'infiltrarsi e nell'avanzare ulteriormente. Attaccavano solo le vittime a cui erano interessati, utilizzando varie misure come lo spionaggio delle liste IP (...)".
Una volta all'interno della rete, il malware si è diffuso lateralmente "infettando più dispositivi e ottenendo maggiori privilegi".
Tuttavia, tali risultati sullo spionaggio attraverso la società svizzera di armi Ruag sono solo parzialmente soddisfacenti per gli esperti di sicurezza. Anche se il rapporto mostra la sequenza tecnica degli eventi da settembre 2014 a maggio 2016, lascia anche molti punti - come quali dati sensibili sono stati rubati a livello federale - aperti.
Nessuna panoramica fornita prima del 2014
I sistemi Ruag sono stati infettati almeno da settembre 2014. Tuttavia, come sottolinea Melani/GovCERT, Ruag non ha alcun file di log proxy per il periodo precedente al settembre 2014. Tuttavia, già nei primi file controllati, gli esperti di Melani hanno trovato segni che l'infezione di Turla aveva avuto luogo prima.
A parte le spie stesse, nessuno specialista della sicurezza sa quando e come l'"infezione" ha preso piede. L'indagine su questo grande attacco di spionaggio è complessa. L'unica cosa che può essere stimata è il volume di dati che è stato perso. Secondo Melani, sono stati rubati esattamente 23 gigabyte. Tuttavia, gli esperti informatici incaricati non possono trarre ulteriori conclusioni.
"La quantità di dati trasferiti non indica la sua riservatezza o il valore dei dati rubati", ha detto Pascal Lamia, capo della Centrale federale di segnalazione e analisi, secondo quanto riportato da insideit. ch ha citato. Gli esperti hanno criticato le attività collegate tra Ruag e l'IT della Confederazione. Tuttavia, alcuni addetti ai lavori ritengono che le misure di sicurezza, come un adeguato blocco dei virus, avrebbero dovuto essere installate molto prima.
Tuttavia, Pascal Lamia, il responsabile della sicurezza informatica del governo federale, difende Ruag, dicendo che i responsabili della sicurezza interna non avrebbero potuto prendere nota di ciò che avrebbe potuto infettare i loro computer prima del 2016. Il rapporto di Melanie lo dice chiaramente: solo all'inizio di febbraio 2016, diversi mesi dopo, l'attacco informatico è stato scoperto e il software di monitoraggio specifico è stato installato.
Nel rapporto, si può anche trovare un grafico della quantità di dati estratti su base giornaliera. Questo mostra poca attività tra settembre 2014 e metà 2015. La maggior parte dei dati è stata trasferita ai server "command & control" (C&C) utilizzati dagli attaccanti tra settembre 2015 e gennaio 2016. Dopo di che, però, l'attività si ferma improvvisamente - cioè esattamente nel momento in cui l'attacco è stato scoperto e il software di monitoraggio è stato installato.
La directory dell'amministratore è interessata?
Così, anche se non si conosce il contenuto o il valore dei dati intercettati, il DDPS del Dipartimento Federale della Difesa ha dichiarato in un comunicato stampa che accompagna il rapporto tecnico che "è probabile che includa dati dalla directory admin" che "alimenta il software outlook dell'amministrazione federale".
Si tratta di una specie di elenco telefonico, con cognomi, nomi, funzione e luogo di lavoro, cioè dati puramente commerciali - ha detto il DDPS a sda. Non contiene un'agenda. Né contiene alcun dato personale. Per esempio, non è possibile vedere dove qualcuno vive.
Come si è concluso che le spie del Ruag "potrebbero" aver intercettato questi dati relativamente insensibili, nessun funzionario della sicurezza federale è stato disposto ad elaborare.
Il Consiglio federale spinge l'indagine
Secondo gli addetti ai lavori, i primi trojan della famiglia di malware Turla sono noti dal 2007. L'attaccante in circolazione, che utilizza questo tipo di malware, si è infiltrato in molte organizzazioni governative e aziende private negli ultimi dieci anni. Tuttavia, lo spionaggio politico può essere ipotizzato qui, perché sono stati infettati solo soggetti privati o pubblici, che hanno informazioni speciali sulla ricerca o sui dati di armamento.
A Ruag, c'è stato molto probabilmente un tentativo di spiare gli indirizzi IP. Come prosegue il rapporto tecnico, l'Active Directory è entrata in gioco per ottenere il controllo di ulteriori dispositivi al fine di rubare autorizzazioni o appartenenze di gruppo per accedere a ulteriori archivi di dati di interesse. Sulla base di un rapporto sulla sicurezza, una commissione ha proposto al Consiglio federale l'adozione di 14 misure a breve e medio termine. Questi hanno lo scopo di eliminare i rischi di furto di dati relativi a informazioni o persone. Per ragioni di sicurezza, i dettagli delle misure non vengono comunicati.
Sul portale della Centrale d'annuncio e d'analisi per la sicurezza dell'informazione MELANI c'è un riassunto in tedesco e un rapporto tecnico dettagliato (solo in inglese). www.melani.admin.ch
