Chi sono i cybercriminali
di Bertrand Monnet (*)
Per quanto riguarda l’Italia, il pericolo di attacchi informatici a importanti strutture pubbliche con momentanea paralisi dei servizi connessi è clamorosamente emerso l’estate scorsa, con il blocco dei servizi sanitari della Regione Lazio. Ma da vari anni si moltiplicano in tutto il mondo i casi di sabotaggio a grandi società, a centri di ricerca e ad aziende private, con richiesta di riscatti esosi, pena la distruzione di montagne di dati o blocco di servizi essenziali alla comunità. Il fenomeno è più diffuso di quanto si pensi, poiché la maggior parte degli attacchi meno gravi rimane segreta: le vittime pagano, tacciono e non divulgano per ragioni di privacy e di reputazione. Il fatto che i riscatti vengano pagati in cripto-moneta, prevalentemente bitcoin, la cui produzione tra l’altro è estremamente energivora, suggerirebbe che uno strumento per limitare se non eliminare questo genere di delitti potrebbe essere l’abolizione da parte delle istituzioni finanziarie internazionali delle cripto-monete e l’impossibilità (totale) di cambiarle in valuta a corso legale. Un bel colpo a tutte le economie sporche. Ma viene il dubbio, e più che un dubbio, che non si voglia fare questo, che il flusso di denaro sporco sia talmente incistidato dentro il funzionamento dell’economia finanziaria mondiale “pulita”, che sia utopistico pensare che si possa realizzare.
Mi è parso comunque utile tradurre quasi per intero un servizio apparso quest’estate sul quotidiano “Le Monde weekend” che esordisce con un’intervista a un protagonista di questo nuovo genere di delinquenza digitale. Un singolare tipo di mascalzoni con laurea e in giacca panciotto e cravatta, apparentemente insospettabili. (Kumba Diallo)
CYBER-CRIMINALITA’
ALLA RICERCA DELLA “FALLA”
di Bertrand Monnet[1]
Geopolitica delle mafie: In tutto il mondo diversi gruppi di pirati informatici praticano il ransomware[2], la versione 2.0 del sequestro con richiesta di riscatto. Il fenomeno è diventato talmente frequente che Interpol è arrivato a considerarlo una questione prioritaria.
“Dal mese di gennaio abbiamo guadagnato 37 milioni di euro in cripto-moneta, e l’anno non è ancora finito, i soldi ci piovono addosso ogni giorno!” L’uomo che pronuncia queste parole si trova in una grande capitale europea e fa parte di un potente gruppo di cyber-criminali. Mark, chiamiamolo così, è ben lontano dall’immagine che possiamo avere dello hacker, un ragazzotto maniaco di informatica davanti al suo computer in qualche casolare di campagna o garage. E’ invece un quadro trentenne di una società di ingegneria informatica, ha una specie di doppia vita, e la sua seconda identità gli frutta certamente ben di più di quella ufficiale.
Su Internet coesistono molti tipi di pirati informatici; alcuni, come Anonymous, sono degli hack-tivisti e assicurano di svolgere una missione sociale, bloccando ad esempio i siti di imprese che inquinano, o infiltrandosi in quelli della polizia di Minneapolis in nome della lotta contro il razzismo. Altri gruppi di pirati, noti con gli pseudonimi di APT12, APT41 o Lazarus, sono in un certo modo “hackers di Stato”, mercenari digitali che attaccano migliaia di imprese e amministrazioni per conto di servizi segreti, in particolare russi, cinesi e nord-coreani, che evitano così di lasciare tracce che possano allertare i loro rivali occidentali. Mark e i suoi complici appartengono ad un’altra categoria. Non servono né una causa né uno Stato. Il loro unico obiettivo sono i soldi, come i narcos sudamericani e i mafiosi italiani. La loro specialità è il ransomware, ovvero la versione 2.0 del sequestro con richiesta di riscatto. Questo tipo di attacco cyber si basa sull’installazione di un malware, un programma maligno, sul computer o sul server della vittima. Una volta installato, il programma crittografa tutte le informazioni ivi contenute e le rende inaccessibili.
Quando sono hackerati in questo modo, i soggetti bersagliati scoprono sullo schermo un messaggio di questo tipo:” I suoi dati sono stati crittografati. Non abbia paura, lei ha 96 ore per pagarci 40 bitcoins e così ottenere la chiave per recuperarli. Trascorso questo intervallo, i suoi dati saranno distrutti o pubblicati su Internet. Se pagherà prima di 48 ore avrà uno sconto speciale del 25%. Se lei non possiede bitcoins, segua questo link per aprire un tutorial che l’aiuterà a creare il suo portafoglio in cripto-moneta”. In pochi anni il ransomware è diventato un crimine così diffuso che Interpol ha organizzato un forum su questo argomento il 12 luglio scorso. Il suo segretario generale, il tedesco Jürgen Stock, ha dichiarato che la lotta contro questo flagello deve mobilitare gli stessi mezzi di quelli utilizzati per combattere organizzazioni criminali del calibro della ‘Ndrangheta, la mafia calabrese.
 |
|
Joan Mirò |
Infatti questi furti informatici possono avere ripercussioni a livello planetario. Nel 2017 i malware finalizzati al riscatto WannaCry e NotPetya –quest’ultimo era verosimilmente un virus mascherato da ransomware – provocarono dei terremoti digitali paralizzando centinaia di amministrazioni e infrastrutture nodali in 150 paesi e impedendo l’attività di migliaia di imprese per parecchi giorni. Tra loro c’era anche Maersk, il principale armatore mondiale, cui questo attacco costò 300 milioni di dollari in dieci giorni. Ogni giorno decine di attacchi del genere vengono lanciati attraverso il pianeta, sia che si tratti di cyber-criminali come Mark o di hacker di Stato decisi a danneggiare i loro nemici mascherandosi da criminali comuni. In questi ultimi mesi diversi fatti clamorosi hanno reso evidenti le dimensioni del fenomeno. Il 7 maggio, negli Stati Uniti, uno degli oleodotti che alimentano di carburante la Costa Est ha dovuto essere bloccato per due giorni: i server che controllano il sistema di fatturazione del proprietario, Colonial Pipeline, erano stati crittografati. Privata d’accesso al database, l’impresa non poteva più sapere a chi l’oleodotto distribuiva il carburante. Dopo due giorni in cui gli automobilisti si precipitavano alle stazioni di servizio e un aumento fugace dei prezzi alle pompe, Colonial Pipeline ha pagato un riscatto di 4,5 milioni di dollari in bitcoin agli hacker del gruppo Dark Side (lato oscuro), all’origine dell’attacco. Dopo di che il servizio è stato riattivato. Il 2 luglio è stata la catena di supermercati svedese Coop a dover chiudere 800 punti vendita in poco più di 24 ore per un caso di forza maggiore: i registri di cassa non funzionavano più. La società che fornisce il software di gestione delle casse utilizza il programma VSA dell’impresa americana Kaseya, i cui server erano stati crittografati da un ransomware probabilmente installato dagli hacker russi di un gruppo chiamato REvil[3]. Kaseya rifornisce 40.000 clienti in tutto il mondo. Solo negli Stati Uniti 1000 clienti sono stati colpiti dal malware. E’ stato lo stesso Presidente USA a doversi interessare al problema, ordinando un’inchiesta per determinare l’implicazione eventuale della Russia in questo attacco digitale di un’ampiezza mai osservata dal 2017.
Bouygues, Saint-Gobain, Telefonica, NZX (la Borsa della Nuova Zelanda), la compagnia marittima CMA-CGM…in questi ultimi quattro anni migliaia di imprese sono state prese di mira, ma anche centri amministrativi, università, ospedali, e milioni di individui. Secondo l’Agenzia nazionale per la sicurezza dei sistemi informatici (Anssi), il numero di attacchi denunciati nel 2020 è aumentato del 255% rispetto al 2019. Non tutti hanno ceduto al ricatto.
Per i cyber-criminali questo business è tanto più un affarone in quanto l’investimento necessario (per realizzarlo) è di dimensioni ridotte. A quanto afferma Mark, il suo gruppo lavora con un malware comprato sul dark Net, il mercato nero di Internet, per 2500 dollari in bitcoin, un dispositivo che loro stessi hanno migliorato. I riscatti pagati dalle loro vittime vanno da 100.000 a un milione di euro, in funzione delle loro dimensioni e della capacità stimata di pagamento. Risultato: il rendimento di un’operazione oscilla tra 4500% e 45.000%!
 |
|
Joan Mirò |
Tuttavia realizzare questo tipo di estorsioni richiede metodo. Il phishing, cioè l’invio di grandi quantità di email fraudolenti, o l’invito a caricare delle applicazioni infette, il furto di password, sono tutte tecniche che servono a inserirsi su un computer e installarvi il malware. “In genere il mio gruppo usa la stessa vittima designata come porta d’ingresso del malware”; da qui l’importanza di procedere prima a un lavoro esplorativo su internet per identificare l’obiettivo giusto, ultimamente puntando l’attenzione sui quadri dirigenti di grandi banche.
La prima tappa consiste nel passare in rivista le multinazionali finanziarie: si tratta di identificare i nomi, le funzioni e gli indirizzi mail di vicepresidenti e direttori accessibili da parte del pubblico. Una volta deciso l’obiettivo si invia una mail facendo credere che l’allegato o il link proposto siano perfettamente sicuri mentre sono già stati “caricati” con il software infetto. Se la vittima clicca sulla trappola, il ransomware migra immediatamente sul suo computar e sui server cui è collegato. Per far sì che questi morda l’esca, Mark e i suoi complici devono riuscire a camuffarsi dietro l’email di un corrispondente abituale della vittima o di un negozio online dal quale compera frequentemente. Per arrivare a questo, il gruppo criminale passa al pettine tutto l’entourage dell’obiettivo attraverso le tracce informatiche lasciate: Linkedin, Facebook, Twitter, Instagram, amici e relazioni professionali, le scuole e università frequentate, numeri di telefono, ecc. Si arriva a identificare la sua banca, la sua assicurazione sanitaria, l’hotel dove ha passato le vacanze, i suoi abbonamenti a Amazon, a Netflix e via dicendo. Queste informazioni più personali vanno cercate sul dark Net, quella parte oscura del web dove, in mezzo a una marea di video pornografici, traffici di droga e armi, è possibile comprare per poche decine di dollari montagne di informazioni riservate su milioni di individui, rubate da altri hacker ad amministrazioni e imprese mal protette e messe in vendita su delle piattaforme conosciute dagli iniziati. Anche per degli hacker esperti, questo lavoro minuzioso richiede settimane; si tratta di mettere a punto il camuffamento digitale credibile che supererà la diffidenza e la vigilanza del loro obiettivo. Una volta che è tutto pronto, l’attacco è lanciato. Ma prendere di mira multinazionali e imprese comporta il rischio di attirare l’attenzione di studi specializzati in sicurezza informatica e servizi statali decisi a eliminare in futuro simili minacce di riscatti informatici. Quindi Mark e il suo gruppo hanno pensato fosse più prudente diversificare i loro obiettivi e orientarsi verso vittime meno in vista. “In sei anni abbiamo colpito più di duemila obiettivi. Imprese, ma anche quadri superiori, gente che può pagare almeno 100.000 euro in cripto-moneta. E credimi, pagano, perché altrimenti noi pubblichiamo o vendiamo tutti i loro dati che abbiamo crittografato: dati sensibili sulla loro impresa, avvisi giudiziari, estratti conto bancari, email confidenziali, video compromettenti…pagano perché hanno paura del licenziamento o della pubblicazione di fatti intimi. E noi possiamo colpire anche di nuovo, nessun esperto informatico sarà chiamato in soccorso”.
 |
|
Schema del DDoS, da Le Monde |
Un altro business di Mark è il cosiddetto DDoS, in inglese, Distributed Denial of Service, che consiste nel saturare di connessioni un sito internet e così bloccarlo o rallentarlo, impedendogli di funzionare normalmente, non per derubarlo ma per danneggiarlo e rovinare la sua reputazione. E’ un tipo di attacco usato dagli hack-tivisti e gli hacker di Stato, che possono aver bisogno dell’aiuto di hacker criminali come Mark e la sua banda, dietro pagamento adeguato. Lo strumento usato a tale scopo è un botnet, una rete di centinaia di migliaia di computer infettati da un malware particolare che, senza che i proprietari se ne rendano conto, li collegherà nello stesso istante allo stesso website. E’ sempre Mark che parla: “Abbiamo tre dei migliori botnets sul mercato, con più di trecentomila connessioni a computer, tablet, cellulari che possono a loro volta infettare molti altri dispositivi! Ognuno di essi è specializzato per un tipo di obiettivi particolari. Non è da tutti avere questa potenza d’urto, e io la noleggio a chi ne ha bisogno: possono essere attivisti, servizi di Stato, imprese, impiegati che vogliono sabotare la loro impresa, organizzazioni criminali, imprese… Poco m’interessa, un attacco DDoS con il nostro botnet costa tra i 5000 e i 7000 dollari in cripto-moneta”.
Ordinare un attacco di questo tipo è di una semplicità agghiacciante: ancora una volta, si svolge tutto sulla Dark Net. Il cliente deve attivare la VPN (virtual private network, rete virtuale privata) sul suo computer, poi utilizzare il browser Tor per collegarsi come anonimo a uno dei numerosi forum dove potrà chattare con gli hacker che praticano il “cybercrime as a service”[4] e infine giungere ad avere una conversazione privata con uno dei membri del gruppo. Dopo che il cliente ha indicato qual dovrebbe essere l’obiettivo da paralizzare, l’hacker del gruppo di Mark compie una ricognizione rapida sui suoi sistemi informativi per essere sicuro di poter fornire un servizio di qualità, perché, a quanto dice Mark, un numero crescente di imprese utilizza dei servizi di sicurezza efficaci contro gli DDoS, come il Cloudflare[5] ad esempio. Quindi rispondiamo positivamente o no a seconda dei casi”.
 |
|
Joan Mirò |
Se l’obiettivo sembra vulnerabile, il cliente paga in anticipo la somma pattuita sul conto in cripto-moneta del gruppo; in media, Mark e i suoi complici effettuano dieci attacchi DDoS al mese contro ogni tipo di obiettivo. A giugno (2021), a dire di Mark, avrebbero colpito varie multinazionali e due ministeri europei. L’organizzazione di questi gruppi differisce da quella delle cosche mafiose. Anzitutto in termini numerici; Mark ad esempio ha soltanto quattro soci. Un’altra differenza riguarda i legami con l’esterno: i membri di un cartello messicano o di un clan camorristico hanno ambedue dei collegamenti sul territorio ben definiti, a volte legami di sangue. Mark e i suoi “colleghi” non si sono mai incontrati e si conoscono solo attraverso degli pseudonimi. Si sono conosciuti su dei forum specializzati del dark Net prima di decidere di mettersi insieme, sette anni fa. Da allora, lavorano insieme 24 ore su 24 da punti diversi del globo, tre di loro in Europa, e gli altri due in India e in Brasile. Sono tutti sullo stesso piano per quanto riguarda la divisione degli utili che sono suddivisi su conti in cripto-moneta, visibili e facili da controllare. Quello che li unisce è principalmente una rara conoscenza dei lati oscuri del web e una fatale attrazione verso l’esplorazione dei suoi lati vulnerabili. “Ho cominciato quando avevo 15 anni”, confessa Mark. “Il mio primo attacco è stato contro una ditta della società Solaris Sun. E’ stato un colpo di fulmine, mi sono innamorato di quel che facevo”.
Quando il carico di “lavoro” è eccessivo, usano il subappalto, ma non acquisiscono altri soci…” Altri hacker mi forniscono dei servizi”, prosegue Mark, “ma senza fare parte del gruppo, li pago a cottimo, cento dollari a missione. Sono compiti facili e senza rischi. Io ne ho tre, non so quanti ne abbiano gli altri membri del mio gruppo, non mi riguarda”. Non collaborano con altri gruppi, mai con hack-tivisti come Anonymous. “Non abbiamo niente in comune con loro; di gruppi che lavorano come noi ce ne sono parecchi…abbiamo contatti con tre di loro in Europa, ma non collaboriamo. A volte ci scambiamo informazioni su un Zero-Day (una falla informatica scoperta di recente e non ancora sfruttata) o cose di questo tipo, ma non di più”. E per comunicare si usano procedure segrete, mai Telegram, Signal o Whatsapp.
Anche per dei cyber-criminali consumati, la paura di un arresto è sempre presente. Tutti loro ricordano i nomi di “colleghi” pizzicati recentemente: Srikrishna in India nel novembre del 2020, tre individui di un gruppo sospettato di lavare gli introiti in cripto-moneta in Ucraina, in giugno, Graham Ivan Clark in California a luglio, “Dr Hex” in Marocco, nel marzo scorso (2021). Certo, i soci di Mark hanno profili insospettabili, come lui, ma possono essere vulnerabili soprattutto nel momento dell’attacco. “La regola è non attaccare mai dalla città dove sei in quel momento – dice Mark – Potresti essere localizzato. Nei momenti cruciali io mi connetto sempre da un’automobile girando in una grande città più lontana, con un sistema che mi permette di collegarmi a delle reti Wifi successive. Si chiama fare air cracking, mi piace molto.”
 |
|
Operazione di lavaggio del denaro sporco |
L’altra fase rischiosa è quella dell’incasso dei soldi estorti. Convertire le loro centinaia di migliaia di litecoins[6] in valuta reale e rimpatriare le somme attirerebbe l’attenzione di banche e servizi di polizia. Utilizzare direttamente le cripto-monete è difficile in quanto le possibilità di acquisto e investimento con le valute virtuali sono limitate. Ma il dark Net propone diversi servizi di lavaggio di cripto-monete che permette agli hacker di usare una carta di credito bancaria caricata con diverse decine di migliaia di dollari e pagare il proprietario in bitcoins, litecoins o ethers[7], con una commissione del 10% per ogni transazione. Non è nulla rispetto ai milioni di euro che il gruppo incassa ogni anno. Non precisa nulla ma fa capire che sta cercando di creare un sistema di lavaggio più efficace corrompendo dei banchieri. Ma conclude. “In ogni caso, non mi interessa più che tanto perché, per me, fare lo hacker non è solo un lavoro, ma una passione”.
[1] Professore a l’Edhec, titolare della Cattedra “Management dei rischi criminali”. In questo ruolo si è interessato a questa forma di criminalità online e negli anni ha finito per stabilire rapporti confidenziali con “Mark” (l’intervistato).
[2] Neologismo coniato su ransom in inglese= riscatto e ware, suffisso di software= programma informatico (logiciel in francese); poi malware= programma digitale infetto
[3] EvIl in inglese significa male, il male per antonomasia.
[4] Crimine digitale in quanto servizio
[5] Cloudflare Inc., con sede a San Francisco è un’infrastruttura web americana e una compagnia specializzata in sicurezza web che fornisce strumenti di mitigazione e protezione contro i DDoS e servizi analoghi (wikipedia).
[6][6] Litecoin è una cripto-valuta peer-to-peer ed un progetto di software open-source rilasciato con licenza MIT/X11 (wikipedia). Un litecoin vale 154,96 euro (6 ottobre 2021). Nello stesso giorno, 1 bitcoin vale 47.001,34 euro.
[7] Ethereum è una piattaforma decentralizzata del Web 3.0 per la creazione e pubblicazione peer-to-peer di contratti intelligenti creati in un linguaggio di programmazione Turing-completo. Per poter girare sulla rete peer-to-peer i contratti di Ethereum pagano l’utilizzo della sua potenza computazionale con una unità di conto detta ether, che differisce dalle altre cripto-valute perché funge anche da carburante per far girare i contratti basati su Ethereum. Ha avuto valori diversi come moneta virtuale, nel 2021 ha avuto un picco di oltre 4.370 dollari. Turing-completo o equivalente significa che il modello di calcolo ha lo stesso potere computazionale di una macchina di Turing universale (wikipedia).
traduzione di Kumba Diallo – da qui
