Hanno strumenti avanzatissimi, risorse enormi, fanno operazioni nel mondo reale come nel cyberspazio di cui riescono a far perdere le tracce, ma alla fine lavorano anche loro come una grande burocrazia, che si muove a ritmi impiegatizi: dal lunedì al venerdì. E sono proprio questi "orari d'ufficio" ad aver contribuito a smascherarli. Sì, perché prima che WikiLeaks iniziasse a pubblicare i file segreti sulle cyber armi della Cia contenuti nel database " Vault 7 ", gli hacker di Langley erano stati individuati dal gigante privato della sicurezza informatica "Symantec", che fin dal 2014 aveva scoperto una serie di attacchi sofisticati e riconducibili a operazioni di cyberspionaggio di un'entità statale.Symantec aveva chiamato quel misterioso gruppo di hacker "Longhorn" e non aveva certezze sulla loro reale identità, ma dagli strumenti avanzati che Longhorn usava, dalle soluzioni tecniche messe in campo per far perdere le tracce, dal fatto che operasse dal lunedì al venerdì in certi orari, Symantec aveva dedotto che quel team sconosciuto fosse in realtà un attore statale di un paese del nord America. Solo dopo la pubblicazione dei primi file di "Vault 7", l'azienda americana di cyber sicurezza che commercializza noti antivirus ha potuto concludere che Longhorn fosse in realtà la Cia, come ha spiegato questa settimana in un comunicato stampa

A conferma delle intuizioni di Symantec, oggi WikiLeaks rivela in esclusiva con Repubblica e con il quotidiano francese Libération un nuovo e importante strumento della Central Intelligence Agency, contenuto nell'enorme giacimento di documenti Vault 7. Si chiama Hive e doveva rimanere segreto fino al 2040, perché è il sistema che consente alle cyberspie di Langley di mantenere i contatti tra i server della Cia e i dispositivi elettronici di un obiettivo infettati dal malware dell'Agenzia.Quando Langley attacca i computer o anche i router di un target, l'apparecchio elettronico preso di mira comunica con i server della Cia, inviando ad essi diversi tipi di informazioni sulla macchina infettata e permettendo agli hacker della Agency di fare una serie di operazioni, come esfiltrare i file contenenti le informazioni da rubare. Hive è il sistema che consente tutto questo e lo fa in modo da non destare sospetti, perché utilizza dei server di copertura per non far risalire a quelli della Cia. Si tratta sostanzialmente di un software costituito da molteplici componenti e oggi WikiLeaks ne pubblica sei manuali tecnici, che confermano quanto Symantec aveva capito su come l'Agenzia riesce a far comunicare i propri server con i dispositivi infettati, in modo da sviare sospetti.Le informazioni rivelate oggi non sono di per sé pericolose: l'organizzazione di Assange non ha diffuso un malware che rischia di finire nelle mani di spie o criminali senza scrupoli, ha pubblicato le guide tecniche di Hive, che al massimo possono ispirare altri a costruire strumenti simili, ma farlo richiederebbe molto lavoro in aggiunta alle procedure descritte nei documenti, che in alcuni passaggi sono piuttosto generici. Non solo: ora che Hive è pubblico, è molto probabile che gli anti-virus vengano aggiornati in modo da individuarlo. Si tratta dunque di informazioni tecniche che, una volta rese pubbliche, hanno vita breve.Leggendo questi e altri manuali tecnici di Vault 7 colpisce come la Central Intelligence Agency utilizzi tecniche e strumenti molto sofisticati per offuscare il suo malware e per sviare sospetti che possano permettere di risalire ai suoi server, ma allo stesso tempo lasci in giro indizi piuttosto rivelatori. Come per esempio l'informazione che ha permesso alla Symantec di stabilire che il misterioso gruppo di hacker Longhorn lavorasse secondo ritmi d'ufficio lunedì-venerdì, comuni a tante burocrazie statali, o anche alcuni degli indicatori che hanno consentito di dedurre che Longhorn fosse proveniente da un paese che parlava l'inglese."L'acronimo Mtwrfsu (Monday Tuesday Wednesday ThuRsday Friday Saturday SUnday) è stato usato per configurare il giorno della settimana in cui il malware avrebbe dovuto comunicare con chi ha condotto l'attacco. Questo acronimo è comunemente usato nei calendari accademici in Nord America", scrive Symantec, dando un assaggio di come analizza tecniche e strumenti dietro i raid informatici. E anche: le sequenze di caratteri presenti in alcuni software della Cia e che individuano date e tempi "indicano fusi orari del continente americano". Indizi di questo tipo vengono comunemente usati dagli esperti forensi per risalire agli hacker responsabili degli attacchi, perché la Cia non si cura di coprire certe tracce? "Sulla base della nostra esperienza", spiega Symantec a Repubblica, "questo tipo di situazioni non è insolito e la maggior parte dei gruppi [di hacker, ndr] che esaminiamo non si preoccupa di falsificare le date. Per quanto riguarda gli altri indizi, a nostro avviso sono piccoli pezzetti di informazioni inavvertitamente rivelatori: è probabile che chi ha creato il malware, per esempio, non fosse consapevole che l'acronimo Mtwrfsufosse usato soprattutto in Nord America".Repubblica ha interpellato l'esperto di cyber intelligence americano Jeffrey Carr: "Credo che siano adeguatamente sofisticate", ci dice, aggiungendo: "Sospetto che la Cia ne abbia altre ancora più raffinate, a cui il contractor responsabile della diffusione di questi file non abbia avuto accesso". Carr precisa di aver dato uno sguardo ad alcuni degli strumenti di hackeraggio pubblicati finora: sono quelli che ci si aspetta da un'genzia di intelligence.Il limite del database rivelato da WikiLeaks è che, almeno per il momento, non lascia affiorare alcuna informazione su come la Cia usi queste cyber armi: vengono utilizzate in operazioni di intelligence legittime o anche in missioni che comportano gravi violazioni dei diritti umani? Vault 7 lascia emergere quali strumenti di hackeraggio contiene l'arsenale cyber della Cia, ma non come siano usati. Per un esperto come James Bamford, autorità in materia di sorveglianza elettronica operata dalla Nsa, i documenti pubblicati da WikiLeaks sono comunque molto interessanti e a Repubblica Bamford ha spiegato l'urgenza di un controllo efficace sulle operazioni cyber della Cia, considerato un disastro come quello combinato dalla Central Intelligence Agency con il virus Stuxnet, usato contro le centrifughe del programma nucleare iraniano , e considerato che "abbiamo pochissimo controllo quando si parla di cyberattacchi e le conseguenze possono essere veramente gravi. Serve accountability", ci ha detto Bamford.Anche se da Vault 7 finora non è non uscita alcuna informazione al riguardo, Symantec sembra aver in mano dati precisi.Secondo quanto scrive l'azienda nel suo comunicato stampa, "gli strumenti di spionaggio e i protocolli descritti dai file contenuti in Vault 7 sono stati usati per cyberattacchi contro almeno quaranta target in sedici diverse nazioni". Symantec rivelerà chi sono? "Non riveleremo i nomi delle organizzazioni prese di mira o i paesi, perché questo potrebbe creare preoccupazioni sulla sicurezza", risponde l'azienda a Repubblica, precisando: "quello che possiamo dire è che Longhorn ha infiltrato governi e organizzazioni che operano a livello internazionale, come anche aziende nel settore finanziario, delle telecomunicazioni, energia, aerospazio, informatica, istruzione e risorse naturali. Tutte queste entità prese di mira sono di interesse di un attaccante di natura governativa". Symantec ci dice anche che la maggior parte dei target si trovano in Medio Oriente, seguono poi Europa e Asia, mentre l'Africa presenta un numero minore di obiettivi.Ad oggi, non è chiaro se oltre all'arsenale delle cyber armi WikiLeaks abbia in mano anche la lista dei governi e delle aziende colpite dagli hackeraggi della Cia. Quando un mese fa ha iniziato a pubblicare queste rivelazioni, l'organizzazione di Julian Assange ha dichiarato di aver omissato le informazioni su "decine di migliaia di target e di computer attaccati in America Latina, in Europa e negli Stati Uniti" per consentire di farne un'analisi approfondita. WikiLeaks ha in mano questa lista?