“Attenti, i cybercriminali stanno colpendo la rete italiana”
Due hacker italiani lanciano l’allarme: “Anche l’Italia è sotto attacco” di una variante della botnet Mirai. L’obiettivo è rubare i dati alle grandi imprese di telecomunicazioni del nostro paese e alle sue banche. Ma non se ne parla
di ARTURO DI CORINTO per La Repubblica del 7 Marzo 2017
LE AZIENDE e i governi sono spesso restii a farlo sapere quando accade per evitare danni d’immagine, ma un attacco su larga scala sta colpendo in queste ore migliaia di siti bancari, commerciali e istituzionali in tutto il mondo. Anche in Italia. L’obiettivo dei criminali che stanno portando questa offensiva alla rete è di rubare i dati, testare la vulnerabilità di siti e servizi e costruire nuove armi cibernetiche. La notizia, resa nota dall’italiano Pierluigi Paganini, ha prodotto un notevole allarme registrato anche dal Computer Emergency Reponse Team della Pubblica amministrazione italiana. Ma non è proprio una novità.
LEGGI Cyber security report: il vademecum anti-hacker
L’attacco, che va avanti da alcuni mesi è però diventato così massiccio che un hacker indipendente, un cacciatore di virus, di nome MalwareMustDie!, il 27 febbraio scorso ha deciso di renderne noti i dettagli per evitare conseguenze potenzialmente disastrose sul funzionamento di molti servizi essenziali. Verificata la gravità del fatto, Paganini e Odissesus, nome in codice di un altro hacker italiano, nella notte tra venerdì e sabato scorsi hanno verificato che l’attacco stava colpendo alcuni server della penisola per rubarne i dati, tra cui quelli di Telecom, Fastweb, Intesa San Paolo, la sede Fao di Roma, le università di Roma e Milano, e altre infrastrutture critiche dopo aver reclutato una botnet di smart device, i dispositivi intelligenti di case e ufficio costantemente collegati in rete. E infatti secondo uno dei due ricercatori italiani l’attacco starebbe utilizzando una variante della botnet Mirai, una rete di computer compromessi da virus, simile a quella che a ottobre aveva oscurato tutta l’Internet della costa orientale americana bloccando perfino Twitter e il New York Times.
L’analisi degli attacchi è preoccupante: sono 4000 i siti americani attaccati, 190 quelli russi, 140 quelli italiani. Si tratta infatti di un’attività su larga scala operata da una organizzazione criminale specializzata, secondo Paganini, nella commercializzazione di dati relativi a carte di pagamento, un’attività che in gergo si dice di “data harvesting”, ovvero volta alla raccolta (mietitura, harvesting) di informazioni di milioni di utenti come credenziali di accesso ai servizi web e relativi indirizzi email.
Quindi i criminali in questo caso hanno ideato un modello di attacco che sfrutta dispositivi dell’Internet delle cose come parte attiva della tecnica: dapprima prendono di mira siti vulnerabili in tutto il mondo e collezionano da essi indirizzi email e credenziali di accesso e una volta raccolti questi dati cercano di utilizzarli per autenticarsi a portali di pagamento come PayPal, per bucarli, ma invece di andare direttamente sul sito principale (il front-end) cercano di sfruttare le procedure tipiche dei sistemi mobili. Le stesse credenziali sono poi utilizzate per violare account su una moltitudine di siti che spaziano da quelli di Gaming (PlayStation, Mojang, etc) ai principali social network (Linkedin e Facebook) ed altri portali come Yahoo, Yandex, Rambler, or Mail.RU.
Paganini e Odisseus hanno identificato gli indirizzi IP di 140 importanti mail server italiani con possibile compromissione di migliaia di account. Una porzione dell’elenco include anche gli indirizzi IP di Fincantieri, Leonardo, Carige, Dadanet, e della Siae. Ma i criminali, la cui identificazione non è ancora certa, hanno usato la stessa rete di dispositivi per cercare di violare account SSH relativi ai principali server di posta elettronica in rete con attacchi di brute-forcing, usando dei software capace di generare ad altissima frequenza tutte le possibili combinazioni delle password necessarie a penetrare nei servizi web potenzialmente ricchi di dati.
Una situazione molto pericolosa se si pensa che da un account email compromesso non solo si possono estrarre dati personali – familiari, sanitari e finanziari – ma che è possibile anche resettare tanti servizi a pagamento che usiamo ogni giorno e fingersi di essere qualcun altro nella dichiarazione fiscale, nell’accredito bancario e via di questo passo.
Secondo Corrado Giustozzi del Cert (Computer Emergency Response Team) Pa: “Dal punto di vista tecnico la vulnerabilità sfruttata è piuttosto oscura, riguardando il protocollo SSH (Secure Shell) che viene comunemente utilizzato dagli amministratori di sistema per ottenere connessioni sicure tramite cui effettuare attività di gestione e manutenzione di computer remoti”. Mentre secondo Mirko Gatto, CEO e Founder di Yarix, società di cybersecurity “Non è da escludere che possa trattarsi di test dietro ai quali si nasconde un disegno ancora più esteso”.
Possibili finalità sono anche il semplice furto di credenziali da rivendere nel dark web, oppure la creazione di malware mirati, tipo CryptoLocker, una forma di ransomware che prende in ostaggio i dispositivi elettronici su cui si installa rendendone impossibile l’utilizzo, oppure per creare software che inviano false email da parte del datore di lavoro. È già successo con Snapchat Il 3 marzo del 2016 con un attacco di phishing che aveva sottratto le informazioni personali di 700 impiegati di Snapchat facendogli credere che il direttore dell’azienda di messaggistica istantanea, Evan Spiegel, voleva da loro informazioni come nomi, numeri della sicurezza sociale, e buste paga.