Il più grande furto di dati nella storia della NSA

Il New York Times ha pubblicato un lungo e documentato reportage che racconta come alcuni software per la pirateria informatica di tipo militare siano stati rubati dall’NSA, l’agenzia per la sicurezza nazionale statunitense, e siano stati usati in alcuni dei più estesi attacchi hacker di sempre, avvenuti soprattutto nel corso della scorsa estate. Il New York Times ha intervistato numerosi ex dipendenti della NSA e ha avuto accesso anche a importanti fonti anonime. Grazie a queste informazioni ha scoperto che nel corso degli ultimi anni l’agenzia ha subito il più grande furto di dati della sua storia, più grande di quello di cui fu protagonista Edward Snowden.

Anche in questo caso, il sospetto di molti è che parte della responsabilità sia di una “talpa” all’interno dell’agenzia. Altri sospetti riguardano gruppi di hacker vicini al governo russo. Tre dipendenti della NSA sono al momento sotto indagine, ma nel frattempo il gruppo di hacker continua a diffondere periodicamente le informazioni rubate. Il risultato è che il morale all’interno dell’agenzia è bassissimo, mentre alcuni dei più esperti agenti e dirigenti hanno preferito cambiare lavoro. Per il momento, però, non si intravedono ancora quei grandi cambiamenti e quelle riforme che probabilmente sarebbero necessarie a rimettere le cose a posto.

I protagonisti di questa storia sono l’NSA, il suo dipartimento operativo, noto con la vecchia sigla TAO, ma oggi conosciuto con il nome ufficiale di Direttorato per le operazioni (il TAO è la divisione della NSA che si occupa degli attacchi informatici: entrare nei sistemi avversari, danneggiarli o rubare dati sensibili). E poi ci sono gli hacker, un gruppo noto come “Shadow Brokers”, che rivendica le sue azioni con messaggi scritti in un inglese appositamente sgrammaticato, pieni di riferimenti alla cultura pop americana e all’attualità politica. Molti sospettano che gli Shadow Brokers siano legati al governo russo. Come ha scritto il gruppo – sarcasticamente o no – in uno dei suoi messaggi: «Agenti della sicurezza russa di giorno, hacker russi di notte, ma solo se c’è la luna piena». Non è chiaro né quando né come gli Shadow Brokers siano riusciti a infiltrarsi nei sistemi dell’NSA ma il gruppo ha iniziato a pubblicare le fughe di notizie nell’agosto del 2016. Un altro indizio è che nessuno dei documenti fatti filtrare è antecedente al 2013. La fuga di notizie, probabilmente, è avvenuta tra queste due date.

Ci sono ancora più dubbi su come il furto sia stato messo in atto. Alcuni indizi fanno pensare che gli hacker siano stati aiutati da un dipendente dell’NSA che avrebbe semplicemente caricato una serie di software e altri dati in una penna USB per poi portarli fuori dall’edificio dell’agenzia. Ma ci sono anche elementi che fanno pensare che le difese informatiche dell’agenzia siano state penetrate. Come ha detto al New York Times un operatore del TAO: «Noi lo abbiamo fatto coi sistemi di altri paesi». Tra le informazioni rubate ci sono vecchi programmi per hackerare Windows, presentazioni PDF, bozze di accordi con una società di pagamenti per monitorare trasferimenti bancari online. Ma soprattutto ci sono le “armi” utilizzate dal TAO per attaccare i suoi bersagli, i software usati per entrare negli ultimi sistemi Windows e in quelli Linux utilizzati in moltissimi dispositivi Android. I malware e i ransomware (programmi che bloccano un computer fino a che non viene pagato un riscatto) che nel corso della scorsa estate hanno infettato milioni di computer sfruttano proprio i codici dei software hacker creati dalla NSA e diffusi dagli Shadow Brokers. Il New York Times scrive che per il governo americano è stato molto imbarazzante spiegare ai propri alleati perché computer di reti governative e grandi aziende dei loro paesi erano stati infettati con software creati dalle agenzie di sicurezza americane.

Dopo gli attacchi, è quasi subito iniziata una vasta caccia alla talpa all’interno dell’NSA, un’operazione complicata dal fatto che l’agenzia ha migliaia e migliaia di dipendenti, oltre a numerosi consulenti e altro personale esterno che collaborare con le sue attività. La sicurezza è stata rafforzata, migliaia di impiegati sono stati interrogati e decine sono stati sospesi in attesa di ulteriori indagini. Tutto questo lavoro, finora, ha portato all’arresto di tre impiegati che però non è chiaro se siano collegati con la fuga di notizie degli Shadow Brokers. Due di loro sono accusati di aver portato nelle loro abitazioni materiale riservato che non avrebbe dovuto lasciare l’edificio del NSA (in almeno un caso, il materiale è stato rubato da alcuni hacker proprio dal computer personale dell’impiegato). Il terzo arrestato non è un membro del TAO, ma un linguista che è accusato di aver consegnato al sito The Intercept – molto vicino a Snowden – un singolo fascicolo di informazioni riservate. Anche se uno di loro tre fosse effettivamente la talpa degli Shadow Brokers, alcune persone vicine alle indagini hanno detto al New York Times che è molto probabile che il principale informatore non sia ancora stato scoperto.

Secondo le informazioni raccolte dal New York Times, questa situazione ha creato «un’atmosfera di sospetto e ansia» all’interno dell’agenzia. Agenti che da decenni lavorano alla NSA vengono improvvisamente interrogati e sospettati. Altri vengono sospesi dal servizio o il loro accesso a dati riservati viene ridotto. Le operazioni sono state bloccate, rovinando il lavoro di anni. In questo clima, molti hanno preferito lasciare l’agenzia. Anche grazie alla grande crescita del settore privato della cybersecurity, andarsene è diventata un’opzione molto attraente anche per i più anziani ed esperti. Un operatore del TAO se è fortunato guadagna circa 80 mila dollari l’anno (poco meno di 70 mila euro). In una società privata può sperare di guadagnarne oltre 100 mila. L’NSA riceve ogni anno oltre 140 mila domande di lavoro, quindi non c’è rischio di restare senza dipendenti, ma l’esperienza dei veterani che preferiscono entrare nel settore privato non sarà facile da rimpiazzare.

Per cambiare le cose ci sarebbe bisogno di una grande opera di riforma dell’agenzia, hanno detto numerosi dipendenti ed ex dipendenti dell’NSA. Alcuni hanno spiegato che bisognerebbe concentrare maggiori risorse nello studio delle difese informatiche, piuttosto che nell’attacco, come si è spesso fatto negli ultimi anni. Altri sostengono che l’NSA non dovrebbe tenere segrete le “brecce” che scopre nei sistemi operativi, come quelle dei sistemi Windows e Linux sfruttate dagli hacker. L’NSA dice che comunica alle aziende produttrici il 90 per cento delle brecce che individua, ma il 10 per cento – le brecce più significative – viene tenuto segreto e sfruttato dagli hacker del TAO.

Probabilmente ci sarebbe bisogno anche di individuare dei responsabili per tutta la faccenda. Il più ovvio è l’attuale direttore dell’NSA, l’ammiraglio Michael S. Rogers. Nell’agosto dello scorso anno, diversi consiglieri del presidente Barack Obama suggerirono di licenziare Rogers per dare un forte segnale di cambiamento. Obama, però, preferì tenere l’ammiraglio al suo posto. Proprio in quei mesi, infatti, l’NSA era al centro di un’altra questione gigantesca: l’interferenza russa sulle elezioni americane. Il nuovo presidente Donald Trump, per il momento, ha deciso di confermare Rogers. Il New York Times conclude scrivendo che numerosi funzionari dell’NSA «sono semplicemente sbalorditi dal fatto che dopo tutto questo Rogers sia ancora al suo posto».