ISERNIA. Concludiamo la nostra carrellata riguardante i Malware e i gruppi cybercriminali che hanno caratterizzato il 2015, con i principali attacchi info-telematici che sono stati sferrati in quell’anno.
Dobbiamo, innanzitutto, menzionare un’operazione che ha coniugato audacia, grande organizzazione e competenze eccezionali per mettere a segno un bottino di oltre un miliardo di dollari: ‘Carbanak. L’operazione è venuta alla luce perché una banca ha notato che uno dei suoi bancomat dispensava del denaro senza l’impiego di carte di credito. Le indagini rivelarono una profonda intrusione nei sistemi informatici di numerose banche, finalizzata ad alterarne i database che ne gestiscono i conti correnti. Sui conti di ignari clienti venivano provvisoriamente ‘appoggiati’ rilevanti somme di denaro; somme che, poi, venivano prelevate dai criminali. Gli aggressori erano riusciti a spiare gli impiegati delle banche, imparando a compierne
le principali operazioni, senza destare il minimo sospetto ed eludendo, in tal modo, i controlli di sicurezza. Fino ad oggi, Carbanak è stata l’operazione cybercriminale che ha causato la più ingente perdita economica.
Un’altra aggressione, che ha caratterizzato il 2015, degna di nota, è quella che è stata condotta ai danni di un’azienda milanese specializzata in sorveglianza informatica: l’Hacking Team. L’azienda italiana ha rifornito di tools di spionaggio le polizie di mezzo mondo. I 400 GB di dati sottratti ai suoi server e successivamente diffusi su ‘Wikileaks’, contengono informazioni riservate e compromettenti che hanno dimostrato l’esistenza
di software in grado di spiare qualsiasi sistema informatico senza essere individuato dai principali dispositivi di sicurezza informatica. L’attacco all’Hacking Team ha rappresentato la prima violazione ad una specie di ‘immunità’ generalmente riconosciuta, negli ambienti underground, a società operanti in simili contesti.
Inoltre, l’importanza dell’attacco deriva anche dall’enorme quantità di dati sottratti; così tanti da costringere Wikileaks a dotarsi di un apposito motore di ricerca per permettere a chiunque di spulciare, in grande comodità, l’enorme mole di informazioni raccolte. La diffusione dei codici sorgenti dei prodotti di spionaggio dell’azienda italiana ha rivelato anche un discreto numero di vulnerabilità ‘zero day’ (ossia non corrette e la cui esistenza è sempre stata accuratamente tenuta nascosta). Tra queste vulnerabilità, la più pericolosa riguardava proprio il programma ‘Flash Player’, tutt’ora utilizzato dai cyber criminali per diffondere i loro malware.La vicenda “Hacking Team” ha svelato l’esistenza di aziende che ricercano e studiano le vulnerabilità nei vari sistemi informatici non per correggerle e rendere più sicuri tali sistemi, bensì per creare e vendere strumenti di spionaggio telematico che utilizzano queste vulnerabilità proprio per penetrare (non visti) nei sistemi informatici di tutto il mondo. Infine, la violazione ha danneggiato gli stessi servizi di intelligence, rivelando ai Cybercriminali quali sono gli strumenti utilizzati, dalle varie polizie, per stanarli.
Infine, ultima in ordine temporale ma non di importanza, è stato l’attacco al sito ‘Ashley Madison’. Questo attacco ha interessato il più famoso sito di incontri amorosi clandestini, molto conosciuto negli Usa e ampiamente utilizzato per organizzare tresche amorose. L’intrusione nei suoi server ha provocato un vero e proprio terremoto in rete. I cybercriminali sono riusciti ad impossessarsi del database, contenente non solo la cronologia delle chat tenute online, ma anche (e soprattutto) le credenziali di accesso di tutti i suoi iscritti. Successivamente, questa enorme mole di informazioni è stata resa pubblica creando non pochi problemi a circa 35 milioni di persone. L’attacco informatico ad Ashley Madison può essere considerato davvero il peggiore di tutti, poiché ha provocato tre suicidi, tra i quali quello di un capitano della polizia e quello di un pastore battista sposato. Inoltre, a pochi mesi dall’intrusione, sono ancora molte le richieste di riscatto che vengono tuttora inviate ai suoi iscritti utilizzando la posta tradizionale. Molte vittime sono funzionari di enti governativi statunitensi. I ricatti sono diventati talmente numerosi da far addirittura istituire un numero verde a cui chiedere aiuto in maniera anonima. La vicenda di Ashley Madison insegna che chi ha qualcosa da nascondere dovrebbe cercare almeno di non utilizzare l’indirizzo e-mail dell’ufficio per registrarsi a siti così compromettenti (soprattutto se si lavora per enti governativi come CIA o FBI).
Occorre precisare che il 2015 è stato anche l’anno in cui i minori sono stati le principali vittime dei cybercriminali: costoro hanno continuamente teso trappole sui siti web, nelle chat e, soprattutto, sui social network. La stessa registrazione online è diventata fonte di rischio. “Vtech” è un’azienda di Hong Kong che produce giocattoli ad alta tecnologia, come piccoli computer, robot interattivi, ecc. Molti di questi prodotti necessitano di una registrazione sul web per poterne sfruttare appieno le potenzialità. Tra i dati richiesti durante la registrazione vi sono anche gli indirizzi di casa, il nome reale e l’età del bimbo. Ovviamente, molti di questi dati non sono necessari per far funzionare i giocattoli, ma vengono comunque richiesti dall’azienda. Qualcuno è riuscito ad entrare nei server aziendali della Vtech e a scaricarne il database contenente i dati personali di circa 6,4 milioni di bambini e di oltre 5 milioni di adulti! Nel database erano presenti fotografie, chat vocali, indirizzi di e-mail e date di compleanno: tutto il necessario per compiere attacchi mirati a danno di numerose famiglie ignare. Inoltre, un pedofilo avrebbe potuto servirsi di questi dati (venduti o diffusi nelle Dark Net) per individuare e approcciare minori nelle vicinanze. Fortunatamente, l’autore dell’attacco ai server della Vtech ha reso pubblica la sua intrusione e ha scelto (saggiamente) di non divulgare i dati carpiti. Quanto successo all’azienda di Hong Kong dovrebbe sensibilizzare l’opinione pubblica e far riflettere sulle possibili conseguenze che potrebbe avere un simile attacco informatico.
Il consiglio è quello di riflettere più approfonditamente sull’effettiva necessità di lasciare in rete qualsiasi informazione personale, soprattutto durante una registrazione ad un servizio. Bisogna inserire solo quei dati strettamente necessari.
I-Forensics Team
