Il Cavallo di Troia nel salotto: come i dispositivi a basso costo alimentano lo spionaggio globale

Pensavate di aver fatto un affare acquistando quel box TV a basso costo o scaricando un videogioco piratato? Forse sì, ma il prezzo occulto di quel risparmio lo stanno pagando la vostra privacy e, su scala più ampia, la sicurezza aziendale e nazionale. L’Internet delle Cose (IoT) si sta trasformando in un incubo per la cybersicurezza, trasformando i nostri salotti in basi operative per hacker di Stato. Il WSJ ha recentissimamente svolto una ricerca molto interessante a questo proposito.

Tutto è iniziato con una telefonata, oltre due anni fa, tra i vertici della sicurezza di Microsoft e quelli del colosso delle telecomunicazioni Comcast. Microsoft, indagando su un’intrusione digitale orchestrata da “Midnight Blizzard” – un sofisticato gruppo di hacker legato all’Intelligence estera russa (SVR) – aveva isolato sei indirizzi IP sospetti. La traccia ha portato i tecnici di Comcast a una scoperta che ha letteralmente scosso l’industria informatica: quegli IP non appartenevano a server russi, ma a normalissimi cittadini americani ignari di tutto, ma che veniva utilizzati come dei veri e propri Cavalli di Troia per violare i sistemi americani.

Il meccanismo si basa sulle cosiddette reti proxy residenziali. In parole povere, una sorta di “Airbnb dell’accesso a Internet”. I cybercriminali, o governi ostili, pagano per far transitare il proprio traffico web attraverso i router di normali abitazioni. Questo permette a un agente a Mosca o a Pechino di far risultare la propria connessione come proveniente da una tranquilla villetta nello Stato di Washington e rende molto più difficile identificare l’assalto.  Questa operazione richiede che però vi siano dei software installati nei router o negli apparecchi installati dagli utenti americani.

A questo punto la domanda diventa: come ci finisce questo software nei dispositivi domestici? I vettori di infezione sono molteplici e subdoli:

• Hardware pre-infetto: Dispositivi a basso costo, come cornici digitali o box per lo streaming video, che escono dalla fabbrica con la “backdoor” (porta di servizio) già installata. Gli Hacker, magari con appoggi interni alle ditte, sfruttano queste backdoor per poi manovrare le reti domestiche di chi ha comprato questi oggetti.
• App e software compromessi: Applicazioni mobile apparentemente innocue o copie piratate di videogiochi popolari. In questo caso il risparmio nell’essersi comprato un gioco piratato, o la App molto bella e apparentmente gratuita, hanno come sgradito regalo la portà d’accesso per l’hacker.

Le dimensioni del fenomeno sono industriali. Solo negli Stati Uniti, si stima che esistano circa 20 milioni di queste backdoor. Durante le indagini, Comcast ha scoperto che un provider cinese di nome IPidea aveva creato una rete di circa 750.000 IP sfruttando proprio questi metodi. E sebbene Google, tramite un ordine del tribunale USA, sia riuscita a smantellare l’infrastruttura di IPidea lo scorso gennaio, la rete è tornata operativa nel giro di due settimane.

Il danno economico e strategico è enorme. I sistemi di sicurezza aziendali, come quelli di Microsoft 365, sono programmati per far scattare l’allarme se un login avviene improvvisamente dall’estero. Ma se l’hacker ruba le credenziali (spesso tramite finti meeting su Teams) e vi accede sfruttando l’IP di un utente americano, il sistema non rileva anomalie.

L’infezione domestica diventa così il grimaldello per scardinare le reti aziendali. Un dispositivo di streaming infetto nel salotto di casa può penetrare nello smartphone del proprietario; se quello stesso smartphone viene poi collegato alla rete Wi-Fi dell’ufficio (secondo le diffuse politiche di Bring Your Own Device, portati il tuo telefono), le informazioni confidenziali dell’azienda sono compromesse. L’identità digitale è diventata il vero bersaglio, e il router di casa nostra è l’arma per colpirla e ci siamo

Di fronte a questa industrializzazione del crimine informatico che sfrutta l’ingenuità del consumatore e le falle della catena di fornitura globale, sorge spontanea una domanda inquietante: è possibile che tutto questo stia accadendo anche in Italia? Casi europei di “Data Harvesting ” (raccolta dati illegali) e “Zombie device” (oggetti domestici che violati per attacchi DDOS) sono stati registrati  già in passato.

Rimani aggiornato seguendoci su Google News!

SEGUICI