In questi giorni di guerra cibernetica tra Russia e Ucraina, c’è un gruppo molto valido dal punto di vista tecnico che sta portando a casa diversi colpi nell’ambito dell’hacking. Parliamo del collettivo AgainstTheWest il cui titolo già suona strano perchè per West si intende l’Occidente mentre loro si dichiarano apertamente contro Cina e Russia.

Anche il nome Blue Hornet non risulta negli annali dei gruppi attivi nel campo della guerra o della propaganda informatica. Quello che ancora di più non torna è la classificazione che il collettivo si è dato “Apt49” che solitamente viene riservato agli attori statali coinvolti da anni in azioni di spionaggio, con finalità di intelligence o distruttiva, di cui non potrà mai fare parte per due motivi:

• La sua storia “risicata” tra le pagine web
• La sua appartenenza ai collettivi e non alle APT

Dal punto di vista della classificazione, Against the west non può lessicalmente descriversi come un apt perchè è un collettivo al pari di Anonymous che lavora in favore di una idea, notoriamente anti russa e cinese. Se il gruppo è slegato da logiche nazionali, meglio che conservi lo status di un semplice nominativo e non di un battaglione militare statale. Anche perchè sarebbe facile supporre l’adesione del gruppo alla NATO o agli USA.

Dal punto di vista storico, Against The West è un collettivo che si è più volte beccato in litigi con Anonymous perchè lo ha colpevolizzato di “rubare” il proprio lavoro, vendendoselo in giro.

E’ apparso per la prima volta il 14 ottobre, in un post nella sezione Leaks Market del defunto RaidForum, in cui affermava di mettere in vendita materiale hackerato rubato dalla banca centrale cinese:

“Abbiamo lavorato per almeno due mesi a questa operazione. Ci ha permesso di accedere agli asset interni della People’s Bank Of China“.

Questo ovviamente fa intendere che sono motivati finanziarmente, ma non è così, ed infatti sebbene alcuni dei primi post di ATW siano stati messi in vendita, molti da allora sono stati regalati gratuitamente. “Se non si vendono mai, probabilmente finiremo per metterli in vendita gratuitamente. Non ci interessa molto il denaro“, affermano in una risposta a un thread sui dati di Alibaba Cloud violati. “Questo punto è forse ulteriormente dimostrato dalla loro accettazione di Bitcoin ed Ethereum, che possono essere banalmente tracciati, piuttosto che della valuta preferita dalla clandestinità, Monero” recita il Backchannel Blog, ma è inutile dire che è possibile lavare i bitcoins con le famose laundry nel dark web e non solo.

Secondo molti Against The West è una persona semplice con ottime competenze di hacking e non è assolutamente una copertura di attori statali più spregiudicati con una finalità di intelligence. Quello che attira i più nell’occidente, compresi giornalisti e media, è la propensione all’attacco nei confronti della Cina per questioni sociali dimenticate dallo stesso Occidente come lo stato di vita della popolazione degli Uiguri.

C’è anche da sostenere l’analisi sulla discesa in campo del collettivo contro i russi e questo denota un aspetto più che contro l’Occidente, a favore di esso. Oltre alla Russia e la Cina, nella lista ci sarebbe anche l’Iran: anch’esso nemico riconosciuto del “West“.

E se per occidente si intende l’Ovest di paesi come Corea del Sud o Giappone? O addirittura degli Stati Uniti?

Gli attacchi di Against The West

• 14 ottobre Primo post di ATW sotto il nome di “AgainstTheWest“. Con il titolo “Operazione Renminbi“, ATW afferma di essere in possesso di materiale hackerato dalla People’s Bank of China. I dati includerebbero software interno, credenziali, vulnerabilità e rapporti sulla sicurezza interna della banca. ATW sostiene che per ottenere l’accesso è stato utilizzato un attacco alla catena di fornitura. Questa è una delle poche violazioni di ATW in cui i dati vengono messi in vendita piuttosto che pubblicati su RF, al prezzo di “1200 dollari per l’intera fuga di notizie. 200 dollari per progetto src [codice sorgente]”.
• 23 ottobre ATW mette in vendita dati presumibilmente rubati da macchine Lenovo sulla rete del Centro cinese per il controllo e la prevenzione delle malattie.
• 27 ottobre ATW continua a pubblicare nell’ambito dell'”Operazione Renminbi“, facendo trapelare dati interni e software presumibilmente provenienti dalle piattaforme mediche e del personale del Ministero della Pubblica Sicurezza cinese. ATW dichiara di poter essere contattata per “future fughe di notizie” all’indirizzo e-mail gore-tex@riseup.net.
• 28 ottobre In un post intitolato “ATW Introduction Thread“, ATW riassume le proprie intenzioni: “Siamo ATW, un gruppo di individui che la pensano come noi e che ce l’hanno con i governi e i Paesi autoritari e corrotti. Pubblicheremo una grande maggioranza di thread sulle fughe di notizie governative, soprattutto da Cina, Corea del Nord e altri paesi. Siamo stufi del fatto che (soprattutto la Cina) domini Internet con campagne di attacchi informatici, che assista la Corea del Nord nell’infrangere le sanzioni internazionali e che tratti il gruppo etnico degli Uiguri“.
• 31 ottobre ATW pubblica quella che viene etichettata come la seconda parte dell’Operazione Renminbi, facendo trapelare ulteriore codice sorgente di un software presumibilmente rubato dal Ministero della Pubblica Sicurezza cinese.
• 2 novembre L’utente di Wikipedia “SecuritySeccL33t” crea una pagina di Wikipedia per ATW. Oltre a essere il contributore principale della pagina, SecuritySeccL33t descrive ATW come un “gruppo di hacking“, che ha obiettivi hacktivisti e si ispira alla difesa di Taiwan e al genocidio degli Uighyr. L’utente di Wikipedia non esiste più e altri utenti hanno contribuito alla pagina.
• 12 novembre – 13 novembre In un post modificato su sohu.com, la società cinese di cybersicurezza Sangfor Technologies pubblica un’analisi dettagliata dell’attacco apparentemente condotta da ATW. Facendo riferimento alla pubblicazione di ATW del 14 ottobre sulla People’s Bank of China, Sangfor esamina una cronologia dell’intrusione, confermando apparentemente che ATW ha violato la banca e che ha avuto accesso ai servizi SonarQube pubblicamente accessibili sulla rete della banca per visualizzare ed esfiltrare il codice sorgente. Si tratta di una tecnica per le versioni di SonarQube inferiori alla versione 8.6 resa famosa dagli hacktivisti al punto che l’FBI ha emesso una notifica flash al riguardo.
• 13 novembre In un post intitolato “Dichiarazione di guerra alla Cina“, ATW afferma di aver dichiarato guerra al popolo cinese: Ora usciamo ufficialmente allo scoperto e lo diciamo. È noto che siamo contro la Cina, ma non per quale motivo. Sono gli sforzi combinati dei “campi di rieducazione” che hanno commesso il genocidio dell’etnia uigura, l’attacco antidemocratico a Hong Kong e l’aggressione a Taiwan. Un tempo nutrivamo odio nei confronti dello Stato e del governo cinese. Tuttavia, la situazione è cambiata. L’articolo più recente, a base cinese, ci ha inviato minacce, ignorando le vere ragioni alla base dei nostri attacchi. Ora stiamo rivolgendo la nostra attenzione all’intera popolazione cinese. Avete ignorato i nostri ragionamenti e accettato ciecamente la risposta del vostro paese.
• 15 novembre 09:59 UTC ATW pubblica il codice sorgente della società cinese di social media Bytedance.
• 15 novembre 19:55 UTC ATW annuncia che si prenderà una “pausa prolungata” e che “ognuno di noi ha la propria vita personale di cui occuparsi” e che tornerà “tra circa un mese”. Notano che la loro Keybase è stata sospesa, ma non specificano a quale nome utente si riferiscono. ATW fornisce l’e-mail AgainstTheWest@riseup.net, precisando che non sta monitorando la propria casella di posta elettronica gore-tex@riseup.net.
• 16 novembre 23:11 UTC ATW annuncia il ritorno alle operazioni, affermando che “speravamo di goderci un mese o due di pausa”, ma citando “la Cina sta ancora facendo delle mosse contro gli Stati Uniti e Taiwan” come ragione per una vacanza ridotta. Russia, Corea del Nord e Iran sono citati come Paesi “ancora nel nostro mirino“.
• 18 novembre In una nuova operazione denominata “Rublo“, ATW pubblica il presunto codice sorgente di Delans.ru, una società russa di software per servizi postali.
• 23 novembre Su Twitter, @vxunderground riferisce che ATW ha violato una stazione televisiva cinese, trasmettendo per 53 minuti che, il 25 novembre SecurityLab, un’organizzazione giornalistica finanziata dalla società russa di ricerca sulla sicurezza Positive Technologies, pubblica un articolo su ATW riguardante la trasmissione della stazione televisiva.

Fonti : BackChannel