MALWARE DARKHOTEL: l'albergo di lusso è una trappola per manager.

Un rapporto Kaspersky porta alla luce un'organizzazione che mette insieme raffinate operazioni di hacking e tecniche di spionaggio classico. Il 90% degli attacchi fra Asia e Russia.

Un Malware con un nome che è tutto un programma: Darkhotel. Un bug utilizzato negli alberghi delle catene di alto livello del quadrante asiatico, e non solo, per prendere il controllo dei dispositivi elettronici dei cosiddetti "business executive". Vale a dire manager e top manager di aziende che si spostano di frequente per motivi di lavoro. Spesso portando con sé progetti e piani industriali coperti dalla massima riservatezza.
Il malware, svelato da un report del colosso della sicurezza informatica Kaspersky Lab di base a Mosca e che dà il nome all'intera ragnatela, penetra nei laptop, smartphone e tablet dei facoltosi quanto malcapitati utenti con il più semplice dei meccanismi, cioè attraverso il download di un finto aggiornamento di qualche software di copertura, da un qualsiasi programma Adobe a un'applicazione Google, veicolato tramite la rete wifi dell'hotel o i cavi di rete secondo lo schema dell'attacco man-in-the-middle. Incursori difficili da stanare visto l'uso di certificati digitali clonati.

L'obiettivo del malware degli hotel? Sottrarre informazioni preziose contenute in quei dispositivi, dalle password ai documenti, magari brevetti, anche attraverso altri programmi più raffinati che vengono installati una volta preso il controllo delle macchine. Stando alla ricerca più del 90% degli attacchi di questo genere, i cui primi casi sono stati rilevati nel 2009, hanno avuto luogo in Asia e Russia. L'aspetto più inquietante, che lascia pensare a raffinate operazioni di hacking industriale, sta appunto nel tempismo. Chi giostra l'operazione sembra infatti conoscere con precisione gli orari di arrivo e partenza negli hotel degli obiettivi più ghiotti: imprenditori, amministratori delegati, responsabili della ricerca, uomini di vertice e manager di alto profilo. A quanto pare anche rappresentanti istituzionali, forze dell'ordine ed elementi di organizzazioni non governative. Sono tutti nel mirino.

Insomma, una vera e propria campagna diffusa, a cavallo fra vecchie strategie e cyberspionaggio, che da almeno quattro anni consente di penetrare i segreti di gruppi operanti in vari settori, dall'automobile alla farmaceutica, per sottrarre informazioni sensibili da usare in mille modi diversi: ricattare, sabotare, organizzare una concorrenza sleale. Una piovra attenta e silenziosa, se è vero che gli attacchi non vengono mai replicati e i dispositivi presi di mira puntualmente ripuliti. Un tentativo - d'altra parte riuscito, almeno in questi anni - di mantenere l'attenzione sulle operazioni ai minimi livelli.

Il dubbio, vista la notevole complessità dei meccanismi non tanto nell'incursione informatica quanto nella gestione complessiva delle operazioni che coinvolge anche elementi di spionaggio tradizionale, è che dietro a Darkhotel possa nascondersi una qualche agenzia governativa. Difficile dire di quale Paese. Fra i principali sospettati la stessa Russia e la Cina: l'ultima tensione risale d'altronde alla scorsa primavera, quando cinque militari della Repubblica popolare furono accusati in Pennsylvania di spionaggio economico. L'accusa fu di aver rubato dati sensibili dai computer di sei società americane del settore dell'energia nucleare, solare e metalmeccanico.

Come salvarsi? Evitando aggiornamenti e utilizzando una virtual private network. "Si tratta di una minaccia costante", ha spiegato Kurt Baumgartner di Kaspersky Lab, che non ha tuttavia diffuso i nomi delle catene coinvolte dai raid informatici, "c'è una buona possibilità che questo gruppo possa modificare il malware con un nuovo set di strumenti. Mi auguro che i dirigenti diventino più consapevoli" dell'importanza delle comunicazioni online quando sono in giro per il mondo fra meeting, accordi e convention. "Sono attacchi distribuiti selettivamente per colpire personalità importanti", ha detto l'analista Tayler Shields in forze a Forrester Research, "non c'è modo di monetizzare quanto sottratto nell'immediato, sembra più che altro un modo per compromettere le aziende in un momento successivo". O spingerle ad accordi poco graditi.