CHI SONO I CYBERCRIMINALI?
Per quanto riguarda l’Italia, il pericolo di attacchi informatici a
importanti strutture pubbliche con momentanea paralisi dei servizi connessi è
clamorosamente emerso l’estate scorsa, con il blocco dei servizi sanitari della
Regione Lazio. Ma da vari anni si moltiplicano in tutto il mondo i casi di
sabotaggio a grandi società, a centri di ricerca e ad aziende private, con
richiesta di riscatti esosi, pena la distruzione di montagne di dati o blocco
di servizi essenziali alla comunità. Il fenomeno è più diffuso di quanto si
pensi, poiché la maggior parte degli attacchi meno gravi rimane segreta: le
vittime pagano, tacciono e non divulgano per ragioni di privacy e di
reputazione. Il fatto che i riscatti vengano pagati in cripto-moneta,
prevalentemente bitcoin, la cui produzione tra l’altro è estremamente
energivora, suggerirebbe che uno strumento per limitare se non eliminare questo
genere di delitti potrebbe essere l’abolizione da parte delle istituzioni
finanziarie internazionali delle cripto-monete e l’impossibilità (totale) di
cambiarle in valuta a corso legale. Un bel colpo a tutte le economie sporche.
Ma viene il dubbio, e più che un dubbio, che non si voglia fare
questo, che il flusso di denaro sporco sia talmente incistidato dentro il
funzionamento dell’economia finanziaria mondiale “pulita”, che sia utopistico
pensare che si possa realizzare.
Mi è parso comunque utile tradurre quasi per intero un servizio apparso
quest’estate sul quotidiano Le Monde weekend che esordisce con
un’intervista ad un protagonista di questo nuovo genere di delinquenza
digitale. Un singolare tipo di mascalzoni con laurea e in giacca panciotto e
cravatta, apparentemente insospettabili.
CYBER-CRIMINALITA’
ALLA RICERCA DELLA “FALLA” (22-23/08/2021)
Di Bertrand Monnet[1]
(traduzione di Stefania Sinigaglia)
OCCHIELLO:
Geopolitica delle mafie: In tutto il mondo diversi gruppi di pirati
informatici praticano il ransomware[2],
la versione 2.0 del sequestro con richiesta di riscatto. Il fenomeno è
diventato talmente frequente che Interpol è arrivato a considerarlo una
questione prioritaria.
“Dal mese di gennaio abbiamo guadagnato 37 milioni di euro in cripto-moneta, e l’anno non è ancora finito, i soldi ci piovono addosso ogni giorno!” L’uomo che pronuncia queste parole si trova in una grande capitale europea e fa parte di un potente gruppo di cyber-criminali. Mark, chiamiamolo così, è ben lontano dall’immagine che possiamo avere dello hacker, un ragazzotto maniaco di informatica davanti al suo computer in qualche casolare di campagna o garage. E’ invece un quadro trentenne di una società di ingegneria informatica, ha una specie di doppia vita, e la sua seconda identità gli frutta certamente ben di più di quella ufficiale.
Su Internet coesistono molti tipi di pirati informatici; alcuni, come
Anonymous, sono degli hack-tivisti e assicurano di svolgere
una missione sociale, bloccando ad esempio i siti di imprese che inquinano, o
infiltrandosi in quelli della polizia di Minneapolis in nome della lotta contro
il razzismo. Altri gruppi di pirati, noti con gli pseudonimi di APT12, APT41
o Lazarus, sono in un certo modo “hackers di Stato”, mercenari
digitali che attaccano migliaia di imprese e amministrazioni per conto di
servizi segreti, in particolare russi, cinesi e nord-coreani, che evitano così
di lasciare tracce che possano allertare i loro rivali occidentali. Mark e i
suoi complici appartengono ad un’altra categoria. Non servono né una causa né
uno Stato. Il loro unico obiettivo sono i soldi, come i narcos sudamericani e i
mafiosi italiani. La loro specialità è il ransomware, ovvero la
versione 2.0 del sequestro con richiesta di riscatto. Questo tipo di attacco
cyber si basa sull’installazione di un malware, un programma
maligno, sul computer o sul server della vittima. Una volta installato, il
programma crittografa tutte le informazioni ivi contenute e le rende
inaccessibili.
Quando sono hackerati in questo modo, i soggetti bersagliati scoprono sullo schermo un messaggio di questo tipo:” I suoi dati sono stati crittografati. Non abbia paura, lei ha 96 ore per pagarci 40 bitcoins e così ottenere la chiave per recuperarli. Trascorso questo intervallo, i suoi dati saranno distrutti o pubblicati su Internet. Se pagherà prima di 48 ore avrà uno sconto speciale del 25%. Se lei non possiede bitcoins, segua questo link per aprire un tutorial che l’aiuterà a creare il suo portafoglio in cripto-moneta”. In pochi anni il ransomware è diventato un crimine così diffuso che Interpol ha organizzato un forum su questo argomento il 12 luglio scorso. Il suo segretario generale, il tedesco Jürgen Stock, ha dichiarato che la lotta contro questo flagello deve mobilitare gli stessi mezzi di quelli utilizzati per combattere organizzazioni criminali del calibro della ‘Ndrangheta, la mafia calabrese.
Infatti questi furti informatici possono avere ripercussioni a livello
planetario. Nel 2017 i malware finalizzati al riscatto WannaCry e NotPetya –quest’ultimo
era verosimilmente un virus mascherato da ransomware –
provocarono dei terremoti digitali paralizzando centinaia di amministrazioni e
infrastrutture nodali in 150 paesi e impedendo l’attività di migliaia di
imprese per parecchi giorni. Tra loro c’era anche Maersk, il
principale armatore mondiale, cui questo attacco costò 300 milioni di dollari
in dieci giorni. Ogni giorno decine di attacchi del genere vengono lanciati
attraverso il pianeta, sia che si tratti di cyber-criminali come Mark o di
hacker di Stato decisi a danneggiare i loro nemici mascherandosi da criminali
comuni. In questi ultimi mesi diversi fatti clamorosi hanno reso evidenti le
dimensioni del fenomeno. Il 7 maggio, negli Stati Uniti, uno degli oleodotti
che alimentano di carburante la Costa Est ha dovuto essere bloccato per due
giorni: i server che controllano il sistema di fatturazione del
proprietario, Colonial Pipeline, erano stati crittografati. Privata
d’accesso al database, l’impresa non poteva più sapere a chi l’oleodotto
distribuiva il carburante. Dopo due giorni in cui gli automobilisti si
precipitavano alle stazioni di servizio e un aumento fugace dei prezzi alle
pompe, Colonial Pipeline ha pagato un riscatto di 4,5 milioni
di dollari in bitcoin agli hacker del gruppo Dark Side (lato
oscuro), all’origine dell’attacco. Dopo di che il servizio è stato riattivato.
Il 2 luglio è stata la catena di supermercati svedese Coop a dover chiudere 800
punti vendita in poco più di 24 ore per un caso di forza maggiore: i registri
di cassa non funzionavano più. La società che fornisce il software di gestione
delle casse utilizza il programma VSA dell’impresa americana Kaseya,
i cui server erano stati crittografati da un ransomware probabilmente
installato dagli hacker russi di un gruppo chiamato REvil[3]. Kaseya rifornisce
40.000 clienti in tutto il mondo. Solo negli Stati Uniti 1000 clienti sono
stati colpiti dal malware. E’ stato lo stesso Presidente USA a
doversi interessare al problema, ordinando un’inchiesta per determinare
l’implicazione eventuale della Russia in questo attacco digitale di un’ampiezza
mai osservata dal 2017.
Bouygues, Saint-Gobain, Telefonica, NZX (la Borsa della Nuova Zelanda), la
compagnia marittima CMA-CGM…in questi ultimi quattro anni migliaia di imprese
sono state prese di mira, ma anche centri amministrativi, università, ospedali,
e milioni di individui. Secondo l’Agenzia nazionale per la sicurezza dei
sistemi informatici (Anssi), il numero di attacchi denunciati nel 2020 è
aumentato del 255% rispetto al 2019. Non tutti hanno ceduto al ricatto.
Per i cyber-criminali questo business è tanto più un affarone in quanto l’investimento necessario (per realizzarlo) è di dimensioni ridotte. A quanto afferma Mark, il suo gruppo lavora con un malware comprato sul dark Net, il mercato nero di Internet, per 2500 dollari in bitcoin, un dispositivo che loro stessi hanno migliorato. I riscatti pagati dalle loro vittime vanno da 100.000 a un milione di euro, in funzione delle loro dimensioni e della capacità stimata di pagamento. Risultato: il rendimento di un’operazione oscilla tra 4500% e 45.000%!
Tuttavia realizzare questo tipo di estorsioni richiede metodo. Il phishing,
cioè l’invio di grandi quantità di email fraudolenti, o l’invito a caricare
delle applicazioni infette, il furto di password, sono tutte tecniche che
servono a inserirsi su un computer e installarvi il malware. “In
genere il mio gruppo usa la stessa vittima designata come porta d’ingresso
del malware”; da qui l’importanza di procedere prima a un lavoro
esplorativo su internet per identificare l’obiettivo giusto, ultimamente
puntando l’attenzione sui quadri dirigenti di grandi banche.
La prima tappa consiste nel passare in rivista le multinazionali
finanziarie: si tratta di identificare i nomi, le funzioni e gli indirizzi mail
di vicepresidenti e direttori accessibili da parte del pubblico. Una volta
deciso l’obiettivo si invia una mail facendo credere che l’allegato o il link
proposto siano perfettamente sicuri mentre sono già stati “caricati” con il
software infetto. Se la vittima clicca sulla trappola, il ransomware migra
immediatamente sul suo computar e sui server cui è collegato. Per far sì che
questi morda l’esca, Mark e i suoi complici devono riuscire a camuffarsi dietro
l’email di un corrispondente abituale della vittima o di un negozio online dal
quale compera frequentemente. Per arrivare a questo, il gruppo criminale passa
al pettine tutto l’entourage dell’obiettivo attraverso le tracce informatiche
lasciate: Linkedin, Facebook, Twitter, Instagram, amici e relazioni
professionali, le scuole e università frequentate, numeri di telefono, ecc. Si
arriva a identificare la sua banca, la sua assicurazione sanitaria, l’hotel
dove ha passato le vacanze, i suoi abbonamenti a Amazon, a Netflix e via
dicendo. Queste informazioni più personali vanno cercate sul dark Net,
quella parte oscura del web dove, in mezzo a una marea di video pornografici,
traffici di droga e armi, è possibile comprare per poche decine di dollari
montagne di informazioni riservate su milioni di individui, rubate da altri
hacker ad amministrazioni e imprese mal protette e messe in vendita su delle
piattaforme conosciute dagli iniziati. Anche per degli hacker esperti, questo
lavoro minuzioso richiede settimane; si tratta di mettere a punto il
camuffamento digitale credibile che supererà la diffidenza e la vigilanza del
loro obiettivo. Una volta che è tutto pronto, l’attacco è lanciato. Ma prendere
di mira multinazionali e imprese comporta il rischio di attirare l’attenzione
di studi specializzati in sicurezza informatica e servizi statali decisi a
eliminare in futuro simili minacce di riscatti informatici. Quindi Mark e il
suo gruppo hanno pensato fosse più prudente diversificare i loro obiettivi e
orientarsi verso vittime meno in vista. “In sei anni abbiamo colpito più di
duemila obiettivi. Imprese, ma anche quadri superiori, gente che può pagare
almeno 100.000 euro in cripto-moneta. E credimi, pagano, perché altrimenti noi
pubblichiamo o vendiamo tutti i loro dati che abbiamo crittografato: dati
sensibili sulla loro impresa, avvisi giudiziari, estratti conto bancari, email
confidenziali, video compromettenti…pagano perché hanno paura del licenziamento
o della pubblicazione di fatti intimi. E noi possiamo colpire anche di nuovo,
nessun esperto informatico sarà chiamato in soccorso”.
Un altro business di Mark è il cosiddetto DDoS, in
inglese, Distributed Denial of Service, che consiste nel saturare
di connessioni un sito internet e così bloccarlo o rallentarlo, impedendogli di
funzionare normalmente, non per derubarlo ma per danneggiarlo e rovinare la sua
reputazione. E’ un tipo di attacco usato dagli hack-tivisti e gli hacker di
Stato, che possono aver bisogno dell’aiuto di hacker criminali come Mark e la
sua banda, dietro pagamento adeguato. Lo strumento usato a tale scopo è
un botnet, una rete di centinaia di migliaia di computer infettati
da un malware particolare che, senza che i proprietari se ne
rendano conto, li collegherà nello stesso istante allo stesso website. E’
sempre Mark che parla: “Abbiamo tre dei migliori botnets sul
mercato, con più di trecentomila connessioni a computer, tablet, cellulari che
possono a loro volta infettare molti altri dispositivi! Ognuno di essi è
specializzato per un tipo di obiettivi particolari. Non è da tutti avere questa
potenza d’urto, e io la noleggio a chi ne ha bisogno: possono essere attivisti,
servizi di Stato, imprese, impiegati che vogliono sabotare la loro impresa,
organizzazioni criminali, imprese…Poco m’interessa, un attacco DDoS con
il nostro botnet costa tra i 5000 e i 7000 dollari in
cripto-moneta”.
Ordinare un attacco di questo tipo è di una semplicità agghiacciante:
ancora una volta, si svolge tutto sulla dark Net. Il cliente deve attivare la
VPN (virtual private network, rete virtuale privata) sul suo computer, poi
utilizzare il browser Tor per collegarsi come anonimo a uno
dei numerosi forum dove potrà chattare con gli hacker che praticano il
“cybercrime as a service”[4] e
infine giungere ad avere una conversazione privata con uno dei membri del
gruppo. Dopo che il cliente ha indicato qual dovrebbe essere l’obiettivo da
paralizzare, l’hacker del gruppo di Mark compie una ricognizione rapida sui
suoi sistemi informativi per essere sicuro di poter fornire un servizio di
qualità, perché, a quanto dice Mark, un numero crescente di imprese utilizza
dei servizi di sicurezza efficaci contro gli DDoS, come il Cloudflare[5] ad
esempio. Quindi rispondiamo positivamente o no a seconda dei casi”.
Se l’obiettivo sembra vulnerabile, il cliente paga in anticipo la somma
pattuita sul conto in cripto-moneta del gruppo; in media, Mark e i suoi
complici effettuano dieci attacchi DDoS al mese contro ogni tipo di obiettivo.
In giugno (2021), a dire di Mark, avrebbero colpito varie multinazionali e due
ministeri europei. L’organizzazione di questi gruppi differisce da quella delle
cosche mafiose. Anzitutto in termini numerici; Mark ad esempio ha soltanto
quattro soci. Un’altra differenza riguarda i legami con l’esterno: i membri di
un cartello messicano o di un clan camorristico hanno ambedue dei collegamenti
sul territorio ben definiti, a volte legami di sangue. Mark e i suoi “colleghi”
non si sono mai incontrati e si conoscono solo attraverso degli pseudonimi. Si
sono conosciuti su dei forum specializzati del dark Net prima di decidere di
mettersi insieme, sette anni fa. Da allora, lavorano insieme 24 ore su 24 da
punti diversi del globo, tre di loro in Europa, e gli altri due in India e in
Brasile. Sono tutti sullo stesso piano per quanto riguarda la divisione degli
utili che sono suddivisi su conti in cripto-moneta, visibili e facili da
controllare. Quello che li unisce è principalmente una rara conoscenza dei lati
oscuri del web e una fatale attrazione verso l’esplorazione dei suoi lati
vulnerabili. “Ho cominciato quando avevo 15 anni”, confessa Mark. “Il mio primo
attacco è stato contro una ditta della società Solaris Sun. E’
stato un colpo di fulmine, mi sono innamorato di quel che facevo”.
Quando il carico di “lavoro” è eccessivo, usano il subappalto, ma non
acquisiscono altri soci…” Altri hacker mi forniscono dei servizi”, prosegue
Mark, “ma senza fare parte del gruppo, li pago a cottimo, cento dollari a
missione. Sono compiti facili e senza rischi. Io ne ho tre, non so quanti ne
abbiano gli altri membri del mio gruppo, non mi riguarda”. Non collaborano con
altri gruppi, mai con hack-tivisti come Anonymous. “Non abbiamo niente in
comune con loro; di gruppi che lavorano come noi ce ne sono parecchi…abbiamo contatti
con tre di loro in Europa, ma non collaboriamo. A volte ci scambiamo
informazioni su un Zero-Day (una falla informatica scoperta di
recente e non ancora sfruttata) o cose di questo tipo, ma non di più”. E per
comunicare si usano procedure segrete, mai Telegram, Signal o Whatsapp.
Anche per dei cyber-criminali consumati, la paura di un arresto è sempre
presente. Tutti loro ricordano i nomi di “colleghi” pizzicati recentemente:
Srikrishna in India nel novembre del 2020, tre individui di un gruppo sospettato
di lavare gli introiti in cripto-moneta in Ucraina, in giugno, Graham Ivan
Clark in California a luglio, “Dr Hex” in Marocco, nel marzo scorso (2021).
Certo, i soci di Mark hanno dei profili insospettabili, come lui, ma possono
essere vulnerabili soprattutto nel momento dell’attacco. “La regola è non
attaccare mai dalla città dove sei in quel momento – dice Mark – Potresti
essere localizzato. Nei momenti cruciali io mi connetto sempre da un’automobile
girando in una grande città più lontana, con un sistema che mi permette di
collegarmi a delle reti Wifi successive. Si chiama fare air cracking,
mi piace molto.”
L’altra fase rischiosa è quella dell’incasso dei soldi estorti. Convertire
le loro centinaia di migliaia di litecoins[6] in
valuta reale e rimpatriare le somme attirerebbe l’attenzione di banche e
servizi di polizia. Utilizzare direttamente le cripto-monete è difficile in
quanto le possibilità di acquisto e investimento con le valute virtuali sono
limitate. Ma il dark Net propone diversi servizi di lavaggio di cripto-monete
che permette agli hacker di usare una carta di credito bancaria caricata con
diverse decine di migliaia di dollari e pagare il proprietario in bitcoins,
litecoins o ethers[7],
con una commissione del 10% per ogni transazione. Non è nulla rispetto ai
milioni di euro che il gruppo incassa ogni anno. Non precisa nulla ma fa capire
che sta cercando di creare un sistema di lavaggio più efficace corrompendo dei
banchieri. Ma conclude. “In ogni caso, non mi interessa più che tanto perché,
per me, fare lo hacker non è solo un lavoro, ma una passione”.
[1] Professore a
l’Edhec, titolare della Cattedra “Management dei rischi criminali”. In questo
ruolo si è interessato a questa forma di criminalità online e negli anni ha
finito per stabilire rapporti confidenziali con “Mark” (l’intervistato).
[2] Neologismo
coniato su ransom in inglese= riscatto e ware, suffisso di software= programma
informatico (logiciel in francese); poi malware= programma digitale infetto
[3] EvIl in inglese
significa male, il male per antonomasia.
[4] Crimine digitale
in quanto servizio
[5] Cloudflare,
Inc., con sede a San Francisco è un’infrastruttura web americana e una
compagnia specializzata in sicurezza web che fornisce strumenti di mitigazione
e protezione contro i DDoS e servizi analoghi (wikipedia).
[6][6] Litecoin è
una cripto-valuta peer-to-peer ed un progetto di software open-source
rilasciato con licenza MIT/X11 (wikipedia). Un litecoin vale 154,96 euro (6
ottobre 2021). Nello stesso giorno, 1 bitcoin vale 47.001,34 euro.
[7] Ethereum è una
piattaforma decentralizzata del Web 3.0 per la creazione e pubblicazione
peer-to-peer di contratti intelligenti creati in un linguaggio di
programmazione Turing-completo. Per poter girare sulla rete peer-to-peer i
contratti di Ethereum pagano l’utilizzo della sua potenza computazionale con
una unità di conto detta ether, che differisce dalle altre cripto-valute perché
funge anche da carburante per far girare i contratti basati su Ethereum. Ha
avuto valori diversi come moneta virtuale, nel 2021 ha avuto un picco di oltre
4.370 dollari. Turing-completo o equivalente significa che il modello di
calcolo ha lo stesso potere computazionale di una macchina di Turing universale
(wikipedia).
Nessun commento:
Posta un commento