L’attacco che per un mese ha compromesso CCeaner, un popolare programma per pulire il pc, infettando con un software malevolo chi lo aveva scaricato (potenzialmente fino a due milioni di utenti), era molto più serio di come appariva. Probabilmente era solo un pezzo di una più ampia operazione di spionaggio industriale che aveva tra i suoi obiettivi colossi tecnologici come Google, Microsoft, Sony, Samsung, Cisco, Akamai, VMware, HTC, Linksys, D-Link. E c’è chi già parla di attacco sponsorizzato da uno Stato. Di certo, si è trattato di un’azione molto più sofisticata di quanto si pensasse all’inizio. Ma andiamo con ordine.

La prima fase dell’attacco

Un paio di giorni fa le aziende di sicurezza Morphisec e Cisco hanno lanciato l’allarme su un vecchio, noto e apprezzato programma di ottimizzazione delle prestazioni dei pc, usato su sistemi Windows, CCleaner. È uno strumento, che conta 130 milioni di utenti, sviluppato dall’azienda Piriform - acquisita lo scorso luglio dalla società di antivirus Avast - che permette di ripulire il sistema, rimuovere informazioni superflue, cancellare dati. Fino a qui tutto bene, se non che da agosto qualcuno è riuscito a comprometterlo, facendo scaricare ai suoi utenti anche del codice malevolo, una backdoor, di fatto un accesso nascosto con cui si estraevano informazioni dai loro computer e si potevano teoricamente installare ulteriori componenti.

L’attacco si è svolto tra il 15 agosto e il 15 settembre e ha usato la versione 5.33.6162 di CCleaner come veicolo di distribuzione, ha spiegato poi Avast in un post. Per riuscirci gli attaccanti hanno compromesso un server di download di CCleaner: in pratica gli utenti venivano infettati pur utilizzando il sito ufficiale del programma, firmato con un certificato valido. È un attacco dunque molto insidioso perché risale a monte, alla catena di distribuzione di un software fidato. Una volta raggiunto il pc dell’utente, il malware (software malevolo) inviava agli hacker informazioni sul tipo di computer, il software installato, i processi eseguiti. Inizialmente sembrava dunque che la backdoor si fosse fermata a questo stadio iniziale, senza scaricare ulteriore codice malevolo per effettuare azioni più dannose, come aveva fatto intendere la stessa Avast.

La scoperta della fase due

Ma non era così. Dopo questa prima ricognizione, l’attacco si è concentrato su un numero molto più ristretto di target, con una seconda fase, e ulteriore codice malevolo, che ha colpito una ventina di macchine. Si tratta di computer appartenenti alle reti di note aziende tecnologiche, come Google, Cisco, Microsoft, VMware, Intel, Sony, Samsung, HTC, Linksys, D-Link e Singtel Corp, riferisce un rapporto di Talos, la divisione di sicurezza di Cisco.

Cisco - che ha avuto accesso a una copia del server di comando e controllo dell’attacco e ai dati di quattro giorni di attività a settembre - ha visto che, in quel breve lasso di tempo, 700mila computer inviavano dati agli attaccanti. Tuttavia solo una ventina di computer sono stati poi presi di mira dalla seconda fase dell’attacco. Che a sua volta aspettava di ricevere un ulteriore aggiornamento, in una sorta di progressione di scatole cinesi.

Un attacco che mirava alto

Anche Avast ha poi concordato con questa analisi, pur non facendo i nomi delle aziende. Era un APT (Advanced Persistent Threat) - ha scritto - cioè un attacco avanzato, che punta progressivamente a infiltrare un sistema in modo persistente, e «programmato per consegnare in una seconda fase del codice malevolo a utenti selezionati». Avast specifica anche che si tratterebbe di venti macchine in otto organizzazioni (numero inferiore alle aziende evidenziate da Talos), e che tuttavia, poiché l’analisi era sui dati di pochi giorni, il numero di computer ad aver ricevuto la fase due sarebbe probabilmente nell’ordine delle centinaia.

Dunque si è trattato di un attacco alla catena di distribuzione di un software che poi ha scremato per affondare su obiettivi di alto valore, aziende di tecnologia e telecomunicazioni. Ovvio che qui si aprano domande sulla identità e lo scopo degli attaccanti. Sia la società di sicurezza russa Kasperksy, sia la stessa Cisco sembrano convergere su una ipotesi. Il malware usato condivide codice con strumenti utilizzati da un noto gruppo di hacker, denominato Axium o Group72 o APT17. La società di sicurezza Novetta lo considera una sorta di entità ombrello, cui riconduce negli anni diverse campagne, inclusa la nota operazione Aurora contro Google nel 2009, e lo collega ad apparati cinesi. Ma va specificato che quanto detto è per ora solo una ipotesi.

Un avversario insidioso

Di accertato, per dirla con i tweet di un ricercatore di sicurezza, Sergio Caltagirone, abbiamo un avversario in grado di inserire codice in un software usato da milioni di persone; quindi selezionare alcune aziende che si occupano di elettronica e telecomunicazioni. “L’attacco alla catena di approvvigionamento” era dunque solo una prima fase di una operazione molto più mirata, in cui non è detto che il furto di proprietà intellettuale fosse l’unico obiettivo finale. «Se fossi una delle aziende prese di mira controllerei tutti i miei prodotti», ha scritto il ricercatore. Il consiglio per gli utenti è di non limitarsi ad aggiornare o cancellare la versione infetta di CCleaner ma ripristinare da un backup. Per le aziende, occorre probabilmente un’analisi più approfondita.