La vacanza che Raiu avrebbe dovuto prendersi era dall’ultima investigazione cui si stava dedicando. Non che lui lavori nell’intelligence, e tanto meno faccia l’investigatore privato. Semplicemente, fa analisi di software malevoli (detti anche “malware”, da “malicious software”). È uno che passa il tempo a studiare il comportamento di un virus sconosciuto in un laboratorio virtuale, per ricostruirne le funzioni, la struttura, il codice, le tracce che ha lasciato per la Rete, e nel migliore dei casi i suoi autori.

Raiu – all’epoca trentatreenne – ha un’aria pacata, una voce calma e tranquilla, un viso affabile dietro gli occhiali da geek. Ama giocare a scacchi, la chimica, la fotografia. Difficile immaginarlo in una situazione alla James Bond come quella appena descritta. Dal padre ingegnere ha ereditato e sviluppato, fin da bambino, la passione per l’elettronica. Nel 1990, poco dopo la rivoluzione rumena, mentre il Paese si sta aprendo ai prodotti stranieri, mette le mani sul suo primo pc e inizia a programmare. Quando la sua scuola viene colpita e messa KO da un virus, lui passa la notte a scrivere da zero uno strumento per individuarlo e pulire i pc. Raiu viene assunto da una azienda informatica rumena, la Gcad, e il suo strumento diventa un antivirus di nome Rav (Romanian Anti-Virus), successivamente acquistato da Microsoft. Nel frattempo, però, Raiu è passato a lavorare con il russo Eugene Kaspersky e la sua omonima società di cyber-sicurezza. Nel 2010 sono dieci anni che fa il ricercatore, da Bucarest, per quello che è ormai diventato un colosso del settore, ed è appena stato nominato direttore della squadra dedicata a indagare sui virus più ostici.

Il 2010 è un anno interessante per chi si occupa di malware. A gennaio gli ispettori dell’Agenzia internazionale per l’energia atomica (Aiea), incaricati di visitare l’impianto di arricchimento dell’uranio di Natanz, in Iran, notano dei malfunzionamenti nelle sue centrifughe, che devono essere sostituite più frequentemente della media. Nessuno all’epoca, nemmeno i tecnici iraniani, sembra conoscerne la ragione. Ma pochi mesi dopo Sergey Ulasen, un esperto di sicurezza informatica bielorusso che lavora per la VirusBlokAda, una piccola azienda di Minsk, viene contattato da alcuni suoi clienti in Iran, in panico per una sorta di epidemia che ha colpito i loro pc, che si bloccano mostrando delle schermate blu di errore (dette anche le schermate blu della morte di Windows) e altri malfunzionamenti. Con i suoi colleghi si mette al lavoro e in breve tempo comprende di avere davanti un malware sofisticato e potente, anche se del tutto misterioso in quel momento. Non si capisce chi voglia colpire, cosa debba fare e tanto meno chi lo abbia realizzato. Ulasen e colleghi pubblicano un post che attira l’attenzione di molti addetti ai lavori. Qualcuno inizia a connettere Stuxnet – così viene chiamato il malware misterioso, per la precisione un “worm”, cioè un tipo di software malevolo che può replicarsi e diffondersi attraverso una rete – ad alcuni sistemi di controllo industriale della Siemens. Altri inizieranno a ipotizzare che possa esserci una relazione con il programma nucleare iraniano. Il ricercatore tedesco Ralph Langner si rende conto che il software malevolo esamina il sistema su cui si trova e, solo nel caso presenti specifiche caratteristiche, spegne alcuni processi. Insomma, è progettato per arrivare a dei target ben precisi.

Di lì a poco tutta una serie di esperti di diverse società e Paesi iniziano a cercare di capire qualcosa di più di questo malware. Tra questi ci sono anche Costin Raiu e i suoi colleghi a Kaspersky. “Il worm Stuxnet: un cyber-missile contro l’Iran?”, si chiede l’“Economist” nel settembre 2010. Pochi giorni dopo, Raiu vola a Vancouver per partecipare a una conferenza di cyber-sicurezza. Il suo è uno dei paper presentati all’ultimo momento, proprio per l’attualità dei temi trattati, e riguarda Stuxnet. “In realtà sostituivo il mio collega Alex Gostev che non aveva ottenuto il visto e mi aveva chiesto di andare al suo posto. All’epoca non ero neanche particolarmente coinvolto nello studio di questo malware”, mi racconta Raiu al telefono. Durante la sua presentazione, però, si accorge di qualcosa di strano. “Mentre parlavo notai tre persone che stavano in piedi all’ultima fila e non sembravano molto contente. Erano venute solo per il mio intervento, per entrare avevano pagato in contanti alcune migliaia di dollari e se ne andarono senza fare domande”.

Due mesi dopo, Raiu ha trovato quel cubo sul tavolo. “Mi ha colpito anche il fatto che il dado stava nel nostro ufficio, e da lì era stato spostato a casa mia, a suggerire che chi lo aveva lasciato lì poteva accedere a entrambi i luoghi”, continua Raiu. “Naturalmente è stato qualcosa che mi ha colto di sorpresa e mi ha spaventato, anche perché ti chiedi se oltre al dado non sia stato aggiunto qualcos’altro in casa tua, strumenti di sorveglianza e via dicendo”. Da allora Raiu ha rafforzato le sue misure personali di sicurezza, a partire dalle comunicazioni, tutte cifrate. “Nel mondo di chi lavora sull’analisi di questo genere di attacchi di natura statale si trova sempre qualcuno che ha storie simili, anche se molti preferiscono non parlarne”.

Chi ha provato a raccogliere le loro storie è stata Andrada Fiscutean, una giornalista rumena che, oltre a lavorare per la radio Pro Fm di Bucarest, scrive per varie testate americane. “Mi sono interessata all’argomento dopo aver saputo di un ricercatore di cyber-sicurezza che aveva ricevuto minacce”, mi racconta Fiscutean, che ho incontrato a un evento internazionale. “Era qualcosa di stupefacente, eppure nessuno ne aveva scritto. Mi è stato detto che questo genere di incidenti sono piuttosto comuni nel settore. La mia fonte era solida, eppure restavo scettica, non avevo mai sentito storie del genere pur seguendo temi tecnologici e affini da anni”. Allora Fiscutean, che è una giovane donna dall’aria tanto tranquilla quanto determinata, ha iniziato a interrogare una serie di esperti che analizzavano malware per lavoro, riuscendo a parlare con una ventina di persone. “Tutti mi hanno confermato che questo tipo di situazioni accadono nella loro comunità”.

Dopo aver pubblicato il suo articolo sulla rivista “Motherboard”, un’altra dozzina di addetti ai lavori l’hanno cercata per dirle che sapevano di analoghi incidenti capitati a loro o ad altri. Tuttavia la maggioranza ha preferito non rilasciare dichiarazioni pubbliche. Non si tratta di semplice paranoia, anche se molti hanno ammesso che vivere queste esperienze determina un mutamento di percezione e abitudini, un innalzamento delle difese e dell’attenzione. “Uno dei ricercatori che ho contattato, e il cui pc è stato hackerato da una entità statale, presumibilmente l’Agenzia di sicurezza nazionale americana (Nsa) o la sua equivalente britannica Gchq, mi ha fatto un test. Siccome è stato hackerato attraverso una richiesta di contatto su LinkedIn inviata da un profilo finto, cliccando sulla quale ha scaricato uno ‘spyware’ nel proprio pc, mi ha inviato una richiesta di amicizia proprio attraverso LinkedIn. Non ho cliccato sul pulsante Accetta, come aveva fatto lui, ma gli ho scritto via mail chiedendo se davvero era lui ad avermi contattato. Lui mi ha risposto: ‘Brava, hai capito a cosa bisogna stare attenti’”.

Altri le hanno spiegato che non usano mai l’infrastruttura cellulare Gsm per parlare: insomma, non usano le normali comunicazioni telefoniche. E lo stesso mi hanno detto alcuni ricercatori con cui ho avuto a che fare: solo telefonate cifrate attraverso app come Signal. “Alcuni usano un laptop diverso quando viaggiano”, prosegue Fiscutean. “Tuttavia, se devono lasciare il pc in hotel, lo chiudono e ci posizionano sopra alcuni cavi che poi fotografano. Se qualcuno entra e apre il laptop, non sarà in grado di riposizionarli nella stessa identica configurazione”.

Quando ho partecipato a un evento organizzato dalla società di cyber-sicurezza F-Secure, a Helsinki, tutti gli invitati hanno ricevuto in hotel un piccolo gadget: dello smalto per unghie con glitter. Se lasciate il computer in stanza – diceva il foglietto che lo accompagnava – sigillatelo con un adesivo su cui avete passato lo smalto e scattate una foto. Nel caso qualcuno provasse ad aprirlo, è quasi impossibile replicare i disegni dei grumi di brillantini nello stesso modo.

Sebbene i computer usati dai ricercatori siano protetti con una cifratura completa del disco, per cui senza conoscere la password è impossibile accedere ai loro contenuti, potrebbero infatti essere ancora vulnerabili a quello che si chiama “attacco della cameriera malvagia” (“evil maid attack”). Se un attaccante ha accesso fisico al pc (nello scenario in questione, mentre si trova nella stanza d’albergo), potrebbe comunque avviarlo usando una unità disco separata e caricare sul sistema un “boot loader” modificato. Il boot loader è un programma che carica il “kernel” di un sistema operativo (ovvero il suo fulcro, nucleo, la parte che comunica con l’hardware) e ne permette l’avvio. Quando il proprietario del pc ritorna e avvia di nuovo il suo computer, si carica il boot loader maligno, e a quel punto si potrà catturare la sua password quando viene immessa per poi inviarla all’attaccante appena la macchina si connette a Internet.

“Non è raro sentire storie di informatici che, dopo aver diffuso la notizia di essere in possesso di certi ‘exploit’ rari e pregiati, ovvero di attacchi che sfruttano la vulnerabilità di alcuni software, venduti anche a caro prezzo nel mercato informatico, si siano accorti di aver ricevuto visite nelle loro stanze d’albergo. Probabilmente chi è entrato ha provato a vedere se si poteva sfruttare un evil maid attack, dove appunto rimpiazzi il boot loader e poi catturi i dati (in gergo, li ‘esfiltri’) quando l’utente riutilizza il pc”, mi spiega Andrea Barisani, ricercatore triestino d’origine e di statura internazionale, che lavora proprio sulla realizzazione di sistemi software e hardware altamente sicuri.

Insomma, per dirla con le parole di Bruce Schneier, noto esperto di crittografia: “Non appena qualcuno ha accesso fisico al tuo computer, è andata”. Ovviamente, dando per scontato che l’attaccante sia di caratura statale. E questo spiega perché, in certi ambienti a metà fra sicurezza informatica e attivismo, le persone girino sempre con zaino in spalla e computer appresso.

Fiscutean mi dice che molti ricercatori le hanno elencato varie strategie con cui difendono o nascondono le proprie comunicazioni e i propri apparecchi. “Alcuni, quando intrattengono di persona conversazioni private delicate, usano ‘gabbie di Faraday’”. Si tratta di contenitori fatti di materiali conduttori che isolano l’interno da campi elettromagnetici esterni. Questo fa sì che in nessun modo gli apparecchi, così schermati e isolati da segnali, possano essere usati da un attaccante per registrare conversazioni fra presenti.

L’uso di gabbie o sacche di Faraday dove mettere smartphone e pc in certe situazioni è una pratica che mi è stata confermata anche da alcuni attivisti e accademici che lavorano sul tema privacy/sorveglianza, e che per ovvie ragioni preferiscono non essere menzionati in questo caso. “Sul portatile ho un sistema operativo di nome Qubes, che fra le altre cose implementa una funzione apposita contro l’evil maid attack”, mi spiega uno di loro. “Inoltre ho un portafoglio particolare che scherma i chip di nuova generazione delle carte di credito – che permettono pagamenti senza contatto, avvicinando solo la carta ai lettori degli esercenti – per impedire che i loro dati possano essere letti da un attaccante che mi passi vicino. In generale, comunque, non lascio mai i miei apparecchi incustoditi. Tengo le mie identità digitali separate, anche su macchine diverse. Uso tenere il Wi-Fi del cellulare spento quando vado in giro. E ovviamente non navigo e se possibile non comunico in chiaro (ma solo attraverso sistemi di cifratura) da tre anni”.

I primi a elaborare un rapporto dettagliato che svelava l’esistenza e l’identikit di un gruppo simile sono stati gli analisti di Mandiant – società oggi parte della compagnia statunitense FireEye, con forti legami con il governo Usa – quando nel 2013 pubblicarono il report intitolato Apt1¹. Nel documento esponevano attività, infrastruttura e origine di un gruppo di cyber-spionaggio cinese riconducibile, anche fisicamente, all’unità 61398 dell’esercito della Repubblica popolare, unità in parte collocata in un palazzo di dodici piani a Shanghai. Oggi alla Cina sono attribuiti almeno nove gruppi di questo tipo, con nomi come Blue Termite, Elederwood o Deep Panda. Quest’ultimo è stato tracciato a ritroso, da società di cyber-sicurezza americane, almeno fino al 2011. Considerato tra le entità di spionaggio digitale più sofisticate, gli sono attribuite molte intrusioni informatiche nelle reti governative statunitensi, per rubare segreti industriali e militari. Ad esempio, l’“OPM hack”, ovvero l’attacco che nel 2015 ha sottratto i dati personali di 21 milioni di impiegati federali americani – e delle impronte digitali di 5,6 milioni –, è stato attribuito a Deep Panda. Secondo gli analisti occidentali, gli hacker cinesi starebbero ammassando enormi archivi di dati e di intell...