La Polizia di Stato sta eseguendo a Torino, Sondrio, Livorno e Pisa perquisizioni e arresti nei confronti di una sofisticata organizzazione di hacker di livello internazionale, responsabile di numerosi attacchi in danno di sistemi informatici di importanti infrastrutture critiche nazionali e siti istituzionali.
L’ultimo bersaglio della “crew” i sistemi informatici di EXPO 2015.
All’opera i poliziotti della Polizia Postale e delle Comunicazioni del Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (C.N.A.I.P.IC.) nell’ambito dell’Operazione denominata “UNMASK”, coordinata dalla Procura della Repubblica di Roma.
La Polizia di Stato ha portato a termine un’articolata operazione, frutto di lunghe e laboriose indagini che hanno permesso di individuare una cellula criminale al vertice dell’attuale panorama hacktivista italiano, responsabile nel tempo di numerosi attacchi ai danni dei sistemi informatici di importanti infrastrutture critiche, siti istituzionali e di rilevanti realtà economiche del paese, da ultimo anche i sistemi informatici di Expo 2015 e del Ministero della Difesa nell’ambito della campagna Antimilitarist (#2), con pubblicazione di un corposo leak di materiale proprio nella giornata di ieri.
Due le persone ristrette ai domiciliari dalla Polizia Postale e delle Comunicazioni con il coordinamento della Procura della Repubblica di Roma, un’altra denunciata per associazione a delinquere finalizzata al danneggiamento di sistemi informatici, all’interruzione illecita di comunicazioni informatiche e telematiche, all’accesso abusivo a sistemi informatici, nonché alla detenzione e diffusione di codici di accesso a sistemi informatici.
Denunciate inoltre due persone per favoreggiamento personale.
Nel corso delle perquisizioni che hanno interessato diverse città del centro nord sono stati sequestrati numerosi personal computer e altri dispositivi utilizzati per commettere gli attacchi.
Le attività investigative sono state condotte con il fondamentale apporto dei Compartimenti regionali della Polizia Postale e delle Comunicazioni della Lombardia, della Toscana e del Piemonte, nonché con il supporto operativo della personale della Questura di Livorno e del Servizio Polizia Scientifica.
Determinante, in tale contesto, è stato il ruolo del personale del Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (C.N.A.I.P.I.C.) del Servizio Polizia Postale e delle Comunicazioni titolare delle indagini, impegnato per mesi in complesse attività tecniche sotto copertura finalizzate all’identificazione dei soggetti nascosti dietro fantasiosi nickname che agivano con la sicurezza garantita dai vari servizi di anonimizzazione.
L’articolata attività di indagine è stata coordinata dal Procuratore Aggiunto Giancarlo Capaldo e dal Sostituto Procuratore Eugenio Albamonte della Procura della Repubblica di Roma e condotta dagli investigatori specializzati del Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (C.N.A.I.P.I.C.) del Servizio Polizia Postale e delle Comunicazioni.
I provvedimenti cautelari sono stati eseguiti nei confronti di due cittadini italiani: un livornese di 31 e un 27 originario della provincia di Sondrio, vere e proprie “star” del mondo underground, noti rispettivamente con i nickname aken e otherwise
Denunciati inoltre un 36enne originario della provincia di Torino (nickname h[a]te) e due giovani originari della provincia di Livorno, un 27enne e un 31enne.
A loro carico, nel corso dell’indagine, sono stati acquisiti concreti e inequivocabili elementi probatori che hanno permesso di ricostruire un complesso scenario criminale in cui gli indagati erano soliti muoversi per portare a termine ripetuti attacchi informatici ai sistemi di numerose amministrazioni pubbliche ed aziende private, dalle quali venivano illecitamente carpite credenziali di autenticazione (userid e password) ed altre informazioni sensibili, successivamente pubblicate sul web, attraverso veri propri canali social noti nell’ambiente.
Le indagini effettuate dal C.N.A.I.P.I.C. hanno portato ad appurare, tra l’altro, come i nickname otherwise e aken, corrispondenti a quelli degli organizzatori dell’associazione e promotori delle azioni delittuose, fossero già emersi nel corso di precedenti indagini.
Otherwise è stato infatti il promotore della campagna nota come “oprevenge/optrasparenza” nell’ambito della quale il gruppo ha effettuato attacchi informatici a sistemi di enti istituzionali e di forze di polizia, nonché della cosiddetta “million mask march”, mentre aken è il fondatore e leader indiscusso del “canale” di livello internazionale noto come “operation greenrights”, ossia della campagna in cui sono stati riuniti gli attacchi di matrice ambientalista.
Attraverso particolari servizi tecnici si è avuto modo di rilevare l’estrema accortezza dei due capi della cellula criminale nell’utilizzo delle utenze, nella navigazione in rete, grazie all’uso di sofisticate tecniche di anonimizzazione (vpn e reti tor) e addirittura di antenne direzionali in grado di sfruttare connessioni WIFI altrui, fino quasi a arrivare a comportamenti paranoici, arrivando a dissimulare gergalità dialettali diverse, e particolare attenzione a non fornire il minimo particolare della propria vita reale.
Da ultimo l’esecuzione dei provvedimenti ha necessitato un particolare dispositivo operativo che ha permesso grazie al diretto coinvolgimento del personale impiegato in attività sotto copertura ed al coordinamento delle operazioni sul territorio, di sorprendere gli esperti hacker con i computer accesi, evitando quindi la cifratura dei contenuti.
Il sodalizio criminale nel tempo ha attaccato i sistemi informatici di importanti istituzioni ed infrastrutture critiche quali Corte Costituzionale, Presidenza del Consiglio, i Ministeri dell’Interno, della Giustizia, della Salute, dello Sviluppo Economico, laProcura della Repubblica ed il Tribunale di Torino (campagna NO TAV), la Polizia di Stato, l’Arma dei Carabinieri, le Regioni Veneto, Calabria, Piemonte, Equitalia, i sindacati di Polizia COISP e SIULP e della Polizia Penitenziaria SAPPE ed OSAPP, ENI e Enel.
Recentemente infine il sodalizio criminale, che aveva diretto la propria attenzione ai sistemi informatici di EXPO 2015 fiancheggiando “virtualmente” i violenti scontri dello scorso 1 maggio, era stato altresì oggetto di indagini della Procura milanese e del Compartimento Polizia Postale.
Nella giornata di ieri infine i soggetti si sono resi responsabili di attacchi ai sistemi della Difesa, pubblicando dati sensibili trafugati dai siti istituzionali di quel Dicastero nell’ambito della campagna Antimilitarist(#2) (allegato 1).
Le attività odierne hanno quindi permesso di acquisire determinanti e definitivi riscontri per le indagini delle Procure di Roma e Milano.
Semplificando le azioni criminose portate a termine dall’organizzazione si possono distinguere sostanzialmente in tre tipologie:
– gli attacchi di tipo ddos, che hanno lo scopo di rendere irraggiungibile per un determinato periodo di tempo il sito bersaglio dell’attacco, bloccandone quindi i servizi;
– le intrusioni informatiche, che hanno il duplice scopo di carpire dai database dei siti attaccati e dai sistemi di posta elettronica dati riservati e sensibili;
– il danneggiamento dei sistemi informatici come ad esempio nel caso del cosiddetto defacement con il quale viene effettuata la sostituzione della homepage di un sito web con un messaggio di rivendicazione.
Con riferimento agli attacchi di tipo ddos, sono da evidenziare i recenti attacchi nei confronti di siti dedicati riconducibili ad Expo 2015, eseguiti nell’ambito della campagna #opnoexpo e rivendicati sull’account twitter @operationitaly.
Le tecniche di attacco utilizzate
Queste le modalità messe in atto dai membri dell’associazione per compiere i diversi attacchi in danno dei sistemi informatici, presenti in contesti di assoluto rilievo, sia del settore pubblico che di quello privato.
Il primo passo consiste nell’individuazione del sito target, oggetto di successive scansioni per la ricerca di vulnerabilità ed effettuate per mezzo di tool automatici di vulnerability scanning (i più usati sono havij, acunetix, kerinci e nikto).
Successivamente, se il sito risulta essere vulnerabile, i leader discutono su canali privati irc circa le modalità con cui effettuare l’attacco ed iniziano a redigere il documento di rivendicazione che verrà diffuso al termine dell’azione, riportante le motivazioni che hanno determinato la scelta di quel particolare sito.
La tipologia di attacco che principalmente il gruppo tenta di porre in essere è la sql injection, tecnica che consente a chi attacca di sottrarre informazioni sensibili memorizzate sul database preposto alla gestione dei contenuti del sito web.
Chi attacca effettua cioè quello che in gergo viene detto il dump del contenuto di ogni singola tabella costituente il database del sito, tra cui solitamente è presente quella su cui sono memorizzate in forma criptata le credenziali di accesso (username e password) degli utenti accreditati, comprese quelle dei gestori/amministratori del sito.
Una volta entrati in possesso di tali credenziali e decifrato il loro contenuto, gli hacker hanno accesso alle aree riservate del sito e sono in grado di inviare, modificare o cancellare file.
Spesso a questo punto chi attacca tenta di inviare al web server particolari file, detti shell, che consentono di avere il controllo completo da remoto della macchina oggetto di attacco.
Un’ultima operazione che può essere fatta avendo ottenuto il controllo del server consiste nel sostituire l’originale homepage del sito con un’altra creata ad hoc, spesso con contenuti di rivendicazione diretta, effettuando quello che in gergo è chiamatodefacement.
Segue infine la pubblicazione dei dati sottratti, o di parte di essi e del comunicato di rivendicazione, la cui diffusione è solitamente effettuata per mezzo dei più noti social network.
Ben più pericolosa infine ed ad alto impatto mediatico è la violazione di interi sistemi di posta elettronica attraverso i quali il sodalizio criminale è venuto illecitamente in possesso di corrispondenza elettronica e di documentazione, anche di natura istituzionale, successivamente pubblicata in rete.
