A volte la realtà supera la fantasia.
È stata la prima cosa che ho pensato quando ho scorso il rapporto recentemente pubblicato da Kaspersky che apre con l’immagine a fianco.
Chi è l’equation group? Un gruppo di hacker che, con la propria “famiglia” di malwares, ha silenziosamente infettato computer in tutto il mondo. Da più di un decennio!
Il dettagliatissimo rapporto di Kaspersky parla in particolare di due malware, chiamati EQUATIONDRUG e GRAYFISH, capaci di riscrivere il firmware dei dischi rigidi di IBM, Maxtor, Samsung, Seagate, Toshiba e Western Digital. Una fetta ridicolmente grande del mercato mondiale di dischi rigidi.
L’infezione da parte dei malware consiste nella creazione di uno spazio nell’hard disk attaccato in cui viene criptato il codice malevolo – e possibilmente altri dati intercettati. In questo modo il malware diventa praticamente irremovibile. Essendo criptato, il virus risulta irriconoscibile da parte degli antivirus, che al più leggono un’innocua serie di dati casuali.
In più, dato che il sistema operativo usa il firmware per gestire il disco, neanche il mitico “formattone riparatore” può liberare l’hard disk, una volta infettato.
I due sopraccitati malwares sono solo la punta dell’iceberg per l’Equation Group, al quale vengono attribuite capacità tecniche straordinarie oltre a risorse inusualmente generose per un “semplice” team di hackers. Benché Kaspersky non si sbilanci nel associare il gruppo allo spionaggio americano e l’NSA, gli indizi logistici, e in particolare quelli di natura tecnica, fanno pensare ad un gruppo supportato dall’agenzia americana.
Come si confà ad una spy-story ben confezionata, l’uomo della strada – o dell’InterWeb, se preferite – non deve preoccuparsi. I colpi messi a segno dal gruppo sono sempre stati mirati verso obiettivi ben precisi, in particolare sistemi e macchine governative, militari, di società finanziarie, energetiche o nucleari o di sospetti attivisti islamici.
Quello che importa all’uomo comune, come nota Paolo Attivissimo, è il fatto che se esistono dei malware capaci di modificare il funzionamento dei dispositivi di memoria, le tecniche di rilevamento forense diventano meno attendibili, insinuando il dubbio che i files incriminati possano essere stati inseriti da un software malevolo piuttosto che dall’utente.