www.MegaLab.it

Non c'è pace per il tetto martoriato del mondo, il Tibet patria di una delle poche guide spirituali universalmente riconosciute sotto il giogo dell'occupazione cinese dall'invasione del 1949 in poi. Sono centinaia le vittime degli scontri con le squadre di polizia comunista nel corso delle proteste scoppiate nella capitale Lhasa, e la crisi sta per evolvere da locale a internazionale grazie al prossimo avvio dei Giochi Olimpici di Pechino.

La crisi invade i giornali, i palinsesti televisivi ma anche il mondo informatico, con una guerra silenziosa combattuta a suon di vulnerabilità e software malevoli con il possibile quanto probabile coinvolgimento di "hacker" vicini agli ambienti governativi e militari cinesi, attivi contro le organizzazioni non governative (ONG) o chiunque altro simpatizzi con la causa dei tibetani e del legittimo governo del paese, attualmente in esilio in India.

Il trend si sta oramai ripetendo da mesi, e si è intensificato giust'appunto in occasione dello scoppio dei sanguinosi incidenti di Lhasa. Un attacco tipico prevede l'invio di mail fasulle con header contraffatti, riportanti dichiarazioni di solidarietà con il Tibet e il Dalai Lama diffuse da organizzazioni quali Unrepresented Nations and Peoples Organization (UNPO).

Incluso nel messaggio è l'invito ad aprire l'allegato in formato pdf, doc, ppt, xls, exe e quant'altro. Una volta aperto, il documento continua ad avere una parvenza di autenticità, con tanto di messaggio ufficiale e altre informazioni tali di non destare alcun sospetto agli occhi dell'utente. In realtà il file contiene una vulnerabilità appositamente progettata per rilasciare un malware in grado di prendere possesso del sistema, fungendo a quel punto da "stazione trasmittente" delle informazioni scambiate da chi usa il PC verso server cinesi.

In uno di questi attacchi, preso in esame sul weblog di F-Secure, una volta aperto il file PDF allegato rilascia e manda in esecuzione il trojan C:Program FilesUpdatewinkey.exe, che risulta essere un trojan-keylogger sviluppato per registrare tutte le digitazioni sulla tastiera della macchina infetta e spedire i dati raccolti a un server presente sul dominio xsz.8800.org. Tale dominio è localizzato in Cina e funge da server DNS, e anche se non è di per se controllato da organizzazioni criminali rappresenta una porta ben nota agli esperti di sicurezza attraverso la quale sono stati fatti passare svariati attacchi informatici.

Le finalità degli autori degli attacchi mirati appaiono dunque evidenti, e intendono spiare l'azione, le comunicazioni e le intenzioni delle ONG e di tutta la galassia di supporter che la causa tibetana si è conquistata nel corso del tempo per motivazioni al momento oscure, ma che possono essere ben immaginate considerando la tendenza del regime comunista cinese ad adoperare le nuove tecnologie per reprimere il dissenso, deformare la verità dei fatti e contrastare la libertà di parola e di espressione.

Mail contenenti ogni genere di allegati in grado di sfruttare vulnerabilità note e meno note vengono al momento spedite verso mailing list, forum, privati e ONG coinvolte nella crisi di Lhasa, e la professionalità della costruzione degli exploit - messaggi tratti da dichiarazioni ufficiali, vulnerabilità in grado di evadere il controllo degli antivirus, malware aggiornato e ben realizzato - non fanno che rendere evidente il coinvolgimento di agenti ed esperti cinesi nella faccenda. Per quanti fossero interessati, il post sul blog di F-Secure contiene una carrellata di screenshot tratti da mail e documenti fasulli appartenenti all'ondata di attacchi anti-Tibet.