Sofisticati hacker si sono infiltrati nelle reti delle Nazioni Unite a Ginevra e Vienna l'anno scorso in un'apparente operazione di spionaggio che gli alti funzionari dell'organismo mondiale hanno tenuto in gran parte zitti. L'identità degli hacker e l'estensione dei dati ottenuti non sono noti.

Un documento riservato interno delle Nazioni Unite, trapelato a The New Humanitarian e visto da The Associated Press, afferma che decine di server sono stati compromessi anche presso l'ufficio per i diritti umani delle Nazioni Unite, che raccoglie dati sensibili ed è stata spesso un parafulmine di critiche da parte di governi autocratici per aver denunciato violazioni dei diritti.

Tutto indica che la conoscenza della violazione era strettamente tenuta, una strategia che gli esperti di sicurezza delle informazioni considerano fuorviante perché moltiplica solo i rischi di ulteriori emorragie di dati.

"Personale in generale, incluso me, non sono stati informati, ", ha affermato Ian Richards, residente a Ginevra, presidente del Consiglio del personale delle Nazioni Unite. "Abbiamo ricevuto solo un'e-mail (il 26 settembre) che ci informava sui lavori di manutenzione dell'infrastruttura". Il consiglio si batte per il benessere dei dipendenti dell'organismo mondiale.

Alla domanda sull'intrusione, un funzionario delle Nazioni Unite ha detto all'AP che sembrava "sofisticato" con l'entità del danno poco chiara, soprattutto dal punto di vista personale, informazioni segrete o compromettenti che potrebbero essere state rubate. L'ufficiale, che ha parlato solo a condizione di anonimato per parlare liberamente dell'episodio, detti sistemi sono stati successivamente rafforzati.

Dato l'alto livello di competenza, è possibile che dietro ci fosse un attore sostenuto dallo stato, ha detto il funzionario. "È come se qualcuno camminasse nella sabbia, e poi spazzarono le loro tracce con una scopa, " ha aggiunto il funzionario. "Non c'è nemmeno traccia di una bonifica".

Il rapporto trapelato del 20 settembre afferma che i registri che avrebbero tradito le attività degli hacker all'interno delle reti delle Nazioni Unite - ciò a cui è stato effettuato l'accesso e ciò che potrebbe essere stato sottratto - sono stati "cancellati". Mostra anche che tra gli account noti a cui è stato effettuato l'accesso c'erano quelli degli amministratori di dominio, che per impostazione predefinita hanno accesso principale a tutti gli account utente di loro competenza.

"Purtroppo... continuando a contare le nostre vittime, "dice il rapporto.

Jake Williams, CEO della società di sicurezza informatica Rendition Infosec ed ex hacker del governo degli Stati Uniti, ha affermato che il fatto che gli hacker abbiano cancellato i registri di rete indica che non erano di alto livello. Gli hacker più abili, inclusi Stati Uniti, Gli agenti russi e cinesi possono coprire le loro tracce modificando quei registri invece di cancellarli.

"L'intrusione sembra decisamente spionaggio, " ha detto Williams, rilevando che è stata compromessa la componente active directory, dove sono gestiti tutti i permessi degli utenti, da tre diversi domini:quelli degli uffici delle Nazioni Unite a Ginevra e Vienna e dell'Ufficio dell'Alto Commissario per i diritti umani.

"Questo, insieme al numero relativamente ridotto di macchine infette, è altamente suggestivo di spionaggio, " ha detto dopo aver visto il rapporto. "Gli aggressori hanno un obiettivo in mente e stanno distribuendo malware a macchine che credono servano a qualche scopo per loro".

Un numero qualsiasi di agenzie di intelligence di tutto il mondo è probabilmente interessato a infiltrarsi nelle Nazioni Unite, ha detto Williams.

L'attacco non è stato grave all'ufficio per i diritti umani delle Nazioni Unite, ha detto il suo portavoce, Rupert Colville.

"Affrontiamo tentativi quotidiani di entrare nei nostri sistemi informatici, " disse Colville. " Questa volta, sono riusciti, ma non è andata molto lontano. Nulla di confidenziale è stato compromesso".

Il portavoce delle Nazioni Unite Stephane Dujarric ha affermato che l'attacco "ha provocato un compromesso dei componenti principali dell'infrastruttura" ed è "determinato a essere serio". La prima attività rilevata relativa all'intrusione si è verificata a luglio ed è stata rilevata ad agosto, ha detto in risposta alle domande inviate per e-mail.

Ha detto che l'organismo mondiale non ha informazioni sufficienti per determinare l'autore, ma ha aggiunto che "i metodi e gli strumenti utilizzati nell'attacco indicano un alto livello di risorse, capacità e determinazione.

"Il danno relativo a questo specifico attacco è stato contenuto, e ulteriori misure di mitigazione attuate, " Ha scritto Dujarric. "Tuttavia la minaccia di futuri attacchi continua, e il Segretariato delle Nazioni Unite rileva e risponde a molteplici attacchi di vario livello di sofisticatezza su base giornaliera."

Pietro Micek, consulente generale dell'organizzazione no profit per le libertà civili digitali AccessNow, ha affermato che la leadership delle Nazioni Unite ha preso una "decisione terribile" dal punto di vista della sicurezza delle informazioni negando al personale le informazioni sulla violazione.

"È buona norma allertare le persone, far loro sapere a cosa dovrebbero prestare attenzione (compresi gli attacchi di phishing e l'ingegneria sociale) e informarli delle misure intraprese per loro conto, " Egli ha detto.

Altrimenti, stai aggravando la minaccia, e un'occasione mancata per un momento di insegnamento diventa un esempio di "intransigenza e offuscamento, che è sfortunato, " disse Micek, che lavora con gli operatori dei diritti umani delle Nazioni Unite per sostenere le loro difese informatiche.

Il documento interno dell'Ufficio per l'informazione e la tecnologia delle Nazioni Unite afferma che 42 server sono stati "compromessi" e altri 25 sono stati ritenuti "sospetti, " quasi tutti negli enormi uffici di Ginevra e Vienna. Tre dei server "compromessi" appartenevano all'agenzia per i diritti umani, che si trova dall'altra parte della città rispetto all'ufficio principale delle Nazioni Unite a Ginevra, e due sono stati utilizzati dalla Commissione economica per l'Europa delle Nazioni Unite.

Il rapporto afferma che una falla nel software SharePoint di Microsoft è stata sfruttata dagli hacker per infiltrarsi nelle reti ma che il tipo di malware utilizzato non era noto, né i tecnici avevano identificato i server di comando e controllo su Internet utilizzati per esfiltrare le informazioni. Né si sapeva quale meccanismo fosse utilizzato dagli hacker per mantenere la propria presenza sulle reti infiltrate.

Il ricercatore di sicurezza Matt Suiche, il fondatore con sede a Dubai della società di sicurezza informatica Comae Technologies, ha esaminato il rapporto e ha affermato che sembrava che l'ingresso fosse stato ottenuto tramite un tracker anti-corruzione presso l'Ufficio delle Nazioni Unite per la droga e il crimine.

Il rapporto menziona una serie di indirizzi IP in Romania che potrebbero essere stati utilizzati per organizzare l'infiltrazione, e Williams ha detto che si dice che uno abbia alcuni vicini con una storia di hosting di malware.

Tecnici dell'ufficio delle Nazioni Unite a Ginevra, hub europeo dell'organismo mondiale, in almeno due occasioni negli ultimi mesi ha lavorato nei fine settimana per isolare il data center delle Nazioni Unite locale da Internet, riscrivi le password e assicurati che i sistemi siano puliti. Venti macchine dovevano essere ricostruite, dice il rapporto.

L'hack arriva tra le crescenti preoccupazioni sullo spionaggio informatico.

La settimana scorsa, Gli esperti dei diritti umani delle Nazioni Unite hanno chiesto al governo degli Stati Uniti di indagare su un sospetto hack saudita che potrebbe aver sottratto dati dallo smartphone personale di Jeff Bezos, il fondatore di Amazon e proprietario del Washington Post, nel 2018. Martedì, gli investigatori dei diritti civili online di Citizen Lab hanno pubblicato un rapporto sul tentativo di hacking del capo dell'ufficio del New York Times a Beirut, Ben Hubbard, nello stesso periodo da un gruppo legato all'Arabia Saudita.

Le Nazioni Unite, e il suo ufficio per i diritti umani, è particolarmente sensibile, e potrebbe essere un bersaglio allettante. L'Alto Commissario delle Nazioni Unite per i diritti umani, Michelle Bachelet, e i suoi predecessori hanno gridato, denunciato e criticato presunti crimini di guerra, crimini contro l'umanità e violazioni e abusi dei diritti meno gravi in ​​luoghi diversi come la Siria e l'Arabia Saudita.

Decine di esperti indipendenti di diritti umani che lavorano con l'ufficio per i diritti umani delle Nazioni Unite hanno un maggiore margine di manovra - e meno legami politici e finanziari con i governi che finanziano le Nazioni Unite e ne costituiscono i membri - per denunciare presunte violazioni dei diritti.

Richards ha espresso preoccupazione per la sicurezza delle reti delle Nazioni Unite.

"Ci sono molti dei nostri dati che potrebbero essere stati violati, e non sappiamo quali potrebbero essere questi dati, " ha detto Richards del Consiglio del personale delle Nazioni Unite. Potenzialmente interessati, Per esempio, sono membri del personale dell'ufficio dell'inviato speciale per la Siria che svolgono indagini sensibili e membri dello staff dei diritti umani che interrogano testimoni.

"Quanto dovrebbe fidarsi del personale delle Nazioni Unite nell'infrastruttura informativa che le Nazioni Unite gli stanno fornendo?" chiese Richards. "O dovrebbero iniziare a mettere le loro informazioni altrove?"

© 2020 The Associated Press. Tutti i diritti riservati.