CHI SONO I CYBERCRIMINALI?
 |
Joan Mirò
|
Per quanto
riguarda l’Italia, il pericolo di attacchi informatici a importanti strutture
pubbliche con momentanea paralisi dei servizi connessi è clamorosamente emerso l’estate
scorsa, con il blocco dei servizi sanitari della Regione Lazio. Ma da vari anni
si moltiplicano in tutto il mondo i casi di sabotaggio a grandi società, a
centri di ricerca e ad aziende private, con richiesta di riscatti esosi, pena
la distruzione di montagne di dati o blocco di servizi essenziali alla comunità.
Il fenomeno è più diffuso di quanto si pensi, poiché la maggior parte degli
attacchi meno gravi rimane segreta: le vittime pagano, tacciono e non divulgano
per ragioni di privacy e di reputazione. Il fatto che i riscatti vengano pagati
in cripto-moneta, prevalentemente bitcoin, la cui produzione tra l’altro è estremamente
energivora, suggerirebbe che uno strumento per limitare se non eliminare questo
genere di delitti potrebbe essere l’abolizione da parte delle istituzioni
finanziarie internazionali delle cripto-monete e l’impossibilità (totale) di
cambiarle in valuta a corso legale. Un bel colpo a tutte le economie sporche.
Ma viene il dubbio, e più che un dubbio, che non si voglia fare questo, che il flusso di denaro sporco sia talmente
incistidato dentro il funzionamento dell’economia finanziaria mondiale
“pulita”, che sia utopistico pensare che si possa realizzare.
Mi è parso
comunque utile tradurre quasi per intero un servizio apparso quest’estate sul
quotidiano Le Monde weekend che
esordisce con un’intervista ad un protagonista di questo nuovo genere di
delinquenza digitale. Un singolare tipo di mascalzoni con laurea e in giacca panciotto
e cravatta, apparentemente insospettabili.
CYBER-CRIMINALITA’
ALLA RICERCA DELLA “FALLA” (22-23/08/2021)
Di Betrand Monnet
OCCHIELLO:
Geopolitica delle mafie: In tutto il
mondo diversi gruppi di pirati informatici praticano il ransomware,
la versione 2.0 del sequestro con richiesta di riscatto. Il fenomeno è
diventato talmente frequente che Interpol è arrivato a considerarlo una
questione prioritaria.
“Dal mese di
gennaio abbiamo guadagnato 37 milioni di euro in cripto-moneta, e l’anno non è
ancora finito, i soldi ci piovono addosso ogni giorno!” L’uomo che pronuncia
queste parole si trova in una grande capitale europea e fa parte di un potente
gruppo di cyber-criminali. Mark, chiamiamolo così, è ben lontano dall’immagine
che possiamo avere dello hacker, un ragazzotto maniaco di informatica davanti
al suo computer in qualche casolare di campagna o garage. E’ invece un quadro
trentenne di una società di ingegneria informatica, ha una specie di doppia
vita, e la sua seconda identità gli frutta certamente ben di più di quella
ufficiale.  |
Foto su Le Monde, panoramica della rete criminale in questione
|
Su Internet coesistono molti tipi di pirati informatici; alcuni,
come Anonymous, sono degli hack-tivisti
e assicurano di svolgere una missione sociale, bloccando ad esempio i siti di
imprese che inquinano, o infiltrandosi in quelli della polizia di Minneapolis
in nome della lotta contro il razzismo. Altri gruppi di pirati, noti con gli
pseudonimi di APT12, APT41 o Lazarus,
sono in un certo modo “hackers di Stato”, mercenari digitali che attaccano
migliaia di imprese e amministrazioni per conto di servizi segreti, in
particolare russi, cinesi e nord-coreani, che evitano così di lasciare tracce
che possano allertare i loro rivali occidentali. Mark e i suoi complici
appartengono ad un’altra categoria. Non servono né una causa né uno Stato. Il
loro unico obiettivo sono i soldi, come i narcos sudamericani e i mafiosi
italiani. La loro specialità è il ransomware,
ovvero la versione 2.0 del sequestro con richiesta di riscatto. Questo tipo di
attacco cyber si basa sull’installazione di un malware, un programma maligno, sul computer o sul server della
vittima. Una volta installato, il programma crittografa tutte le informazioni
ivi contenute e le rende inaccessibili.
Quando sono hackerati in questo modo, i soggetti
bersagliati scoprono sullo schermo un messaggio di questo tipo:” I suoi dati
sono stati crittografati. Non abbia paura, lei ha 96 ore per pagarci 40 bitcoins
e così ottenere la chiave per recuperarli. Trascorso questo intervallo, i suoi
dati saranno distrutti o pubblicati su Internet. Se pagherà prima di 48 ore
avrà uno sconto speciale del 25%. Se lei non possiede bitcoins, segua questo
link per aprire un tutorial che l’aiuterà a creare il suo portafoglio in cripto-moneta”.
In pochi anni il ransomware è
diventato un crimine così diffuso che Interpol ha organizzato un forum su
questo argomento il 12 luglio scorso. Il suo segretario generale, il tedesco Jürgen
Stock, ha dichiarato che la lotta contro questo flagello deve mobilitare gli
stessi mezzi di quelli utilizzati per combattere organizzazioni criminali del
calibro della ‘Ndrangheta, la mafia calabrese.
 |
Joan Mirò
|
Infatti
questi furti informatici possono avere ripercussioni a livello planetario. Nel
2017 i malware finalizzati al
riscatto WannaCry e NotPetya –quest’ultimo era
verosimilmente un virus mascherato da ransomware
– provocarono dei terremoti digitali paralizzando centinaia di amministrazioni
e infrastrutture nodali in 150 paesi e impedendo l’attività di migliaia di
imprese per parecchi giorni. Tra loro c’era anche Maersk, il principale armatore mondiale, cui questo attacco costò
300 milioni di dollari in dieci giorni. Ogni giorno decine di attacchi del
genere vengono lanciati attraverso il pianeta, sia che si tratti di
cyber-criminali come Mark o di hacker di Stato decisi a danneggiare i loro
nemici mascherandosi da criminali comuni. In questi ultimi mesi diversi fatti
clamorosi hanno reso evidenti le dimensioni del fenomeno. Il 7 maggio, negli
Stati Uniti, uno degli oleodotti che alimentano di carburante la Costa Est ha
dovuto essere bloccato per due giorni: i server che controllano il sistema di
fatturazione del proprietario, Colonial
Pipeline, erano stati crittografati. Privata d’accesso al database,
l’impresa non poteva più sapere a chi l’oleodotto distribuiva il carburante.
Dopo due giorni in cui gli automobilisti si precipitavano alle stazioni di
servizio e un aumento fugace dei prezzi alle pompe, Colonial Pipeline ha pagato un riscatto di 4,5 milioni di dollari
in bitcoin agli hacker del gruppo Dark
Side (lato oscuro), all’origine dell’attacco. Dopo di che il servizio è
stato riattivato. Il 2 luglio è stata la catena di supermercati svedese Coop a
dover chiudere 800 punti vendita in poco più di 24 ore per un caso di forza
maggiore: i registri di cassa non funzionavano più. La società che fornisce il
software di gestione delle casse utilizza il programma VSA dell’impresa
americana Kaseya, i cui server erano
stati crittografati da un ransomware
probabilmente installato dagli hacker russi di un gruppo chiamato REvil.
Kaseya rifornisce 40.000 clienti in
tutto il mondo. Solo negli Stati Uniti 1000 clienti sono stati colpiti dal malware. E’ stato lo stesso Presidente
USA a doversi interessare al problema, ordinando un’inchiesta per determinare
l’implicazione eventuale della Russia in questo attacco digitale di un’ampiezza
mai osservata dal 2017.
Bouygues,
Saint-Gobain, Telefonica, NZX (la Borsa della Nuova Zelanda), la compagnia
marittima CMA-CGM…in questi ultimi quattro anni migliaia di imprese sono state
prese di mira, ma anche centri amministrativi, università, ospedali, e milioni
di individui. Secondo l’Agenzia nazionale per la sicurezza dei sistemi
informatici (Anssi), il numero di attacchi denunciati nel 2020 è aumentato del
255% rispetto al 2019. Non tutti hanno ceduto al ricatto.
Per i
cyber-criminali questo business è tanto più un affarone in quanto
l’investimento necessario (per realizzarlo) è di dimensioni ridotte. A quanto
afferma Mark, il suo gruppo lavora con un malware
comprato sul dark Net, il mercato
nero di Internet, per 2500 dollari in bitcoin, un dispositivo che loro stessi
hanno migliorato. I riscatti pagati dalle loro vittime vanno da 100.000 a un
milione di euro, in funzione delle loro dimensioni e della capacità stimata di
pagamento. Risultato: il rendimento di un’operazione oscilla tra 4500% e
45.000%! |
Joan Mirò
|
Tuttavia realizzare
questo tipo di estorsioni richiede metodo. Il phishing, cioè l’invio di grandi quantità di email fraudolenti, o l’invito
a caricare delle applicazioni infette, il furto di password, sono tutte
tecniche che servono a inserirsi su un computer e installarvi il malware. “In genere il mio gruppo usa la
stessa vittima designata come porta d’ingresso del malware”; da qui l’importanza di procedere prima a un lavoro
esplorativo su internet per identificare l’obiettivo giusto, ultimamente
puntando l’attenzione sui quadri dirigenti di grandi banche.
La prima
tappa consiste nel passare in rivista le multinazionali finanziarie: si tratta
di identificare i nomi, le funzioni e gli indirizzi mail di vicepresidenti e
direttori accessibili da parte del pubblico. Una volta deciso l’obiettivo si
invia una mail facendo credere che l’allegato o il link proposto siano
perfettamente sicuri mentre sono già stati “caricati” con il software infetto.
Se la vittima clicca sulla trappola, il ransomware
migra immediatamente sul suo computar e sui server cui è collegato. Per far sì
che questi morda l’esca, Mark e i suoi complici devono riuscire a camuffarsi
dietro l’email di un corrispondente abituale della vittima o di un negozio
online dal quale compera frequentemente. Per arrivare a questo, il gruppo
criminale passa al pettine tutto l’entourage dell’obiettivo attraverso le
tracce informatiche lasciate: Linkedin, Facebook, Twitter, Instagram, amici e
relazioni professionali, le scuole e università frequentate, numeri di
telefono, ecc. Si arriva a identificare la sua banca, la sua assicurazione
sanitaria, l’hotel dove ha passato le vacanze, i suoi abbonamenti a Amazon, a
Netflix e via dicendo. Queste informazioni più personali vanno cercate sul dark Net, quella parte oscura del web
dove, in mezzo a una marea di video pornografici, traffici di droga e armi, è
possibile comprare per poche decine di dollari montagne di informazioni
riservate su milioni di individui, rubate da altri hacker ad amministrazioni e
imprese mal protette e messe in vendita su delle piattaforme conosciute dagli iniziati.
Anche per degli hacker esperti, questo lavoro minuzioso richiede settimane; si
tratta di mettere a punto il camuffamento digitale credibile che supererà la
diffidenza e la vigilanza del loro obiettivo. Una volta che è tutto pronto,
l’attacco è lanciato. Ma prendere di mira multinazionali e imprese comporta il
rischio di attirare l’attenzione di studi specializzati in sicurezza
informatica e servizi statali decisi a eliminare in futuro simili minacce di
riscatti informatici. Quindi Mark e il suo gruppo hanno pensato fosse più prudente
diversificare i loro obiettivi e orientarsi verso vittime meno in vista. “In
sei anni abbiamo colpito più di duemila obiettivi. Imprese, ma anche quadri
superiori, gente che può pagare almeno 100.000 euro in cripto-moneta. E
credimi, pagano, perché altrimenti noi pubblichiamo o vendiamo tutti i loro
dati che abbiamo crittografato: dati sensibili sulla loro impresa, avvisi
giudiziari, estratti conto bancari, email confidenziali, video
compromettenti…pagano perché hanno paura del licenziamento o della pubblicazione
di fatti intimi. E noi possiamo colpire anche di nuovo, nessun esperto
informatico sarà chiamato in soccorso”.
 |
Schema del DDoS, da Le Monde
|
Un altro
business di Mark è il cosiddetto DDoS,
in inglese, Distributed Denial of Service,
che consiste nel saturare di connessioni un sito internet e così bloccarlo o
rallentarlo, impedendogli di funzionare normalmente, non per derubarlo ma per
danneggiarlo e rovinare la sua reputazione. E’ un tipo di attacco usato dagli
hack-tivisti e gli hacker di Stato, che possono aver bisogno dell’aiuto di
hacker criminali come Mark e la sua banda, dietro pagamento adeguato. Lo
strumento usato a tale scopo è un botnet,
una rete di centinaia di migliaia di computer infettati da un malware particolare che, senza che i
proprietari se ne rendano conto, li collegherà nello stesso istante allo stesso
website. E’ sempre Mark che parla: “Abbiamo tre dei migliori botnets sul mercato, con più di
trecentomila connessioni a computer, tablet, cellulari che possono a loro volta
infettare molti altri dispositivi! Ognuno di essi è specializzato per un tipo
di obiettivi particolari. Non è da tutti avere questa potenza d’urto, e io la
noleggio a chi ne ha bisogno: possono essere attivisti, servizi di Stato,
imprese, impiegati che vogliono sabotare la loro impresa, organizzazioni
criminali, imprese…Poco m’interessa, un attacco DDoS con il nostro botnet
costa tra i 5000 e i 7000 dollari in cripto-moneta”.
Ordinare un
attacco di questo tipo è di una semplicità agghiacciante: ancora una volta, si
svolge tutto sulla dark Net. Il cliente deve attivare la VPN (virtual private
network, rete virtuale privata) sul suo computer, poi utilizzare il browser Tor per collegarsi come anonimo a uno
dei numerosi forum dove potrà chattare con gli hacker che praticano il
“cybercrime as a service”
e infine giungere ad avere una conversazione privata con uno dei membri del
gruppo. Dopo che il cliente ha indicato qual dovrebbe essere l’obiettivo da
paralizzare, l’hacker del gruppo di Mark compie una ricognizione rapida sui
suoi sistemi informativi per essere sicuro di poter fornire un servizio di
qualità, perché, a quanto dice Mark, un numero crescente di imprese utilizza
dei servizi di sicurezza efficaci contro gli DDoS, come il Cloudflare
ad esempio. Quindi rispondiamo positivamente o no a seconda dei casi”.
 |
Joan Mirò
|
Se
l’obiettivo sembra vulnerabile, il cliente paga in anticipo la somma pattuita
sul conto in cripto-moneta del gruppo; in media, Mark e i suoi complici
effettuano dieci attacchi DDoS al mese contro ogni tipo di obiettivo. In giugno
(2021), a dire di Mark, avrebbero colpito varie multinazionali e due ministeri
europei. L’organizzazione di questi gruppi differisce da quella delle cosche
mafiose. Anzitutto in termini numerici; Mark ad esempio ha soltanto quattro
soci. Un’altra differenza riguarda i legami con l’esterno: i membri di un
cartello messicano o di un clan camorristico hanno ambedue dei collegamenti sul
territorio ben definiti, a volte legami di sangue. Mark e i suoi “colleghi” non
si sono mai incontrati e si conoscono solo attraverso degli pseudonimi. Si sono
conosciuti su dei forum specializzati del dark Net prima di decidere di
mettersi insieme, sette anni fa. Da allora, lavorano insieme 24 ore su 24 da
punti diversi del globo, tre di loro in Europa, e gli altri due in India e in
Brasile. Sono tutti sullo stesso piano per quanto riguarda la divisione degli
utili che sono suddivisi su conti in cripto-moneta, visibili e facili da
controllare. Quello che li unisce è principalmente una rara conoscenza dei lati
oscuri del web e una fatale attrazione verso l’esplorazione dei suoi lati
vulnerabili. “Ho cominciato quando avevo 15 anni”, confessa Mark. “Il mio primo
attacco è stato contro una ditta della società Solaris Sun. E’ stato un
colpo di fulmine, mi sono innamorato di quel che facevo”.
Quando il
carico di “lavoro” è eccessivo, usano il subappalto, ma non acquisiscono altri
soci…” Altri hacker mi forniscono dei servizi”, prosegue Mark, “ma senza fare
parte del gruppo, li pago a cottimo, cento dollari a missione. Sono compiti
facili e senza rischi. Io ne ho tre, non so quanti ne abbiano gli altri membri
del mio gruppo, non mi riguarda”. Non collaborano con altri gruppi, mai con
hack-tivisti come Anonymous. “Non abbiamo niente in comune con loro; di gruppi
che lavorano come noi ce ne sono parecchi…abbiamo contatti con tre di loro in
Europa, ma non collaboriamo. A volte ci scambiamo informazioni su un Zero-Day (una falla informatica scoperta
di recente e non ancora sfruttata) o cose di questo tipo, ma non di più”. E per
comunicare si usano procedure segrete, mai Telegram, Signal o Whatsapp.
Anche per dei
cyber-criminali consumati, la paura di un arresto è sempre presente. Tutti loro
ricordano i nomi di “colleghi” pizzicati recentemente: Srikrishna in India nel
novembre del 2020, tre individui di un gruppo sospettato di lavare gli introiti
in cripto-moneta in Ucraina, in giugno, Graham Ivan Clark in California a luglio,
“Dr Hex” in Marocco, nel marzo scorso (2021). Certo, i soci di Mark hanno dei
profili insospettabili, come lui, ma possono essere vulnerabili soprattutto nel
momento dell’attacco. “La regola è non attaccare mai dalla città dove sei in
quel momento – dice Mark – Potresti essere localizzato. Nei momenti cruciali io
mi connetto sempre da un’automobile girando in una grande città più lontana,
con un sistema che mi permette di collegarmi a delle reti Wifi successive. Si
chiama fare air cracking, mi piace
molto.”
 |
Operazione di lavaggio del denaro sporco
|
L’altra fase
rischiosa è quella dell’incasso dei soldi estorti. Convertire le loro centinaia
di migliaia di litecoins
in valuta reale e rimpatriare le somme attirerebbe l’attenzione di banche e
servizi di polizia. Utilizzare direttamente le cripto-monete è difficile in
quanto le possibilità di acquisto e investimento con le valute virtuali sono
limitate. Ma il dark Net propone diversi servizi di lavaggio di cripto-monete
che permette agli hacker di usare una carta di credito bancaria caricata con
diverse decine di migliaia di dollari e pagare il proprietario in bitcoins,
litecoins o ethers,
con una commissione del 10% per ogni transazione. Non è nulla rispetto ai
milioni di euro che il gruppo incassa ogni anno. Non precisa nulla ma fa capire
che sta cercando di creare un sistema di lavaggio più efficace corrompendo dei
banchieri. Ma conclude. “In ogni caso, non mi interessa più che tanto perché,
per me, fare lo hacker non è solo un lavoro, ma una passione”.
