Negli ultimi tre anni un gruppo chiamato "Elderwood Gang" ha messo a segno una serie di attacchi informatici particolarmente sofisticati. Lo ha fatto sapere Symantec, i cui esperti hanno il nome ispirandosi alla "piattaforma di attacco" usata. Secondo l'azienda inoltre si tratta della stessa banda che colpì Google e altre aziende circa due anni e mezzo fa.

La maggior parte dei bersagli si compone di aziende negli Stati Uniti (ma non solo), e ha subito il furto di proprietà intellettuali e segreti industriali di vario tipo. Tra i bersagli figurano anche organizzazioni non governative impegnate nel rispetto dei diritti umani in Tibet, ma è difficile dire se si tratti di veri obiettivi o di semplici diversivi; forse si vuole solo deviare l'attenzione verso la Cina, ma il coinvolgimento di Pechino in passato fu dimostrato da documenti pubblicati grazie a Wikileaks.

Pirati digitali, quanto sono diversi da quelli analogici?

In molti casi è stato usato il classico metodo di phishing via posta elettronica, spesso prendendo di mira un un'azienda terza per colpire bersaglio finale. Altre volte invece i pirati hanno infettato siti di servizi con l'obiettivo di recuperare liste di mail e password. Gli esperti di Symantec hanno sottolineato come il gruppo abbia sfruttato un gran numero di falle zero-day in applicazioni di Microsoft, Adobe e altri. Questo, insieme al tempismo degli attacchi e a uno schema d'azione ripetitivo, ha spinto Symantec a pensare che si tratti di una sola squadra, e che sia la stessa che colpì Google nel 2009.

Secondo Symantec per un'operazione simile servono risorse molto ingenti, e per questo l'azienda si lascia andare all'ipotesi che dietro alla banda Elderwood si nasconda una grande organizzazione criminale, oppure una nazione. Un'ipotesi che tuttavia non trova d'accordo altri esperti: Rob Graham di Errata Secuity per esempio crede che l'uso di falle zero-day sia una tecnica comune, e che non richieda particolari investimenti da parte dei pirati.

La banda Elderwood potrebbe quindi anche essere un gruppo indipendente ma, che le cose stiano così o che si tratti di una task force al soldo di qualche governo, le similitudini evidenziate da Symantec sono quasi una certezza: esiste un gruppo che da circa tre anni penetra regolarmente nei sistemi di aziende di ogni tipo, per carpire segreti industriali e informazioni riservate.

Un cacciatore di taglie sulle tracce della banda

A questo punto la natura della banda fa una differenza relativamente trascurabile: piccola o grande criminalità, oppure cyber-guerra tra Stati. Sta di fatto che gli attacchi sono andati a segno, così come vanno regolarmente a segno quelli della guerrilla digitale portata avanti da Anonymous. Non ci resta che stare a guardare, sperando che il nostro antivirus sia sufficiente? Qui il report completo di Symantec in versione PDF.