La Repubblica: Dark Basin e i suoi fratelli, i segreti degli hacker mercenari

Dark Basin e i suoi fratelli, i segreti degli hacker mercenari

Il gruppo Dark Basin ha attaccato ambientalisti, giornalisti e realtà finanziare. Ma non sono gli unici che fanno hacking a pagamento. E’ un mercato molto affollato

di ARTURO DI CORINTO per La Repubblica del 12 Giugno 2020

Il gruppo hacker Dark Basin ha colpito giornalisti e ambientalisti. I guastatori informatici iraniani hanno preso di mira il sistema idrico israeliano e i trojan bancari continuano a bersagliare aziende e piccoli risparmiatori anche in Italia. Ma chi si cela dietro questi attacchi? Chi sono questi hacker mercenari? Chi li paga? È un universo ancora tutto da scoprire.

È notizia di questi giorni che il Citizen Lab di Toronto ha scoperto una vasta operazione di hackeraggio ai danni di giornalisti, attivisti e istituzioni finanziarie. Non si tratta di hacker qualsiasi, ma di “hacker in affitto” e, secondo le prime ricostruzioni, sarebbero collegati a un’azienda indiana di sicurezza, la BellTroX. Il loro nome è Dark Basin (Bacino Oscuro). L’azienda di cybersecurity NortonLifeLock (ex Symantec), che ha condotto una investigazione parallela sul caso, li ha chiamati “Mercenary.Amanda” e gli ha attribuito circa 1800 attacchi verso 200 target distinti negli ultimi tre anni, tutti elencati su Github.

Chi sono i mandanti?

I Collegamenti di Dark Basini con BellTroX sono evidenti. Intanto il direttore della BellTroX, Sumit Gupta, è stato incriminato in California dopo un’inchiesta dell’Fbi per una vicenda molto simile di hacker in affitto per campagne di email phishing; l’impronta temporale delle email è compatibile con gli orari di lavoro indiani come scoperto dalla Electronic Frontier Foundation in una campagna rivolta ai sostenitori della Neutralità della rete; i servizi che accorciano le email, gli shortner, sono tutti indiani. Infine, il gruppo ha lasciato copie del codice sorgente del proprio kit di phishing online, probabilmente per testarlo. È una pratica comune tra gli hacker criminali quella di sottomettere il codice malevolo a servizi di analisi malware come Virus Total per vedere se sono in grado di individuarlo. E se ci riescono, lo modificano fino a che diventa invisibile. Inoltre tra gli Ip usati dagli hacker in affitto almeno uno era indiano. Se non bastasse, tra i documenti confezionati per il phishing è stato trovato il cv di alcuni dipendenti di BellTroX accorciati con gli shortner di cui sopra. E poi, incredibile, ma vero, hanno pubblicato dei post sui social media che descrivono tutte queste tecniche per farsi pubblicità e presentarsi come hacker etici e “Certified Ethical Hacker.” Con lo slogan di BellTroX’s: “tu lo desideri, noi lo facciamo!” Ma gli hacker etici – quelli veri – non la pensano affatto così, anzi ritengono questo comportamento riprovevole.

Ma chi sono questi hacker mercenari?

Esistono tante tipologie di hacker. Dalla nascita, negli anni ’60, la parola hacker ha assunto molti significati per identificare diversi comportamenti riconducibili al concetto di hacking ma è solo in base alle finalità perseguite che è possibile distinguere tra “ninja hacker” (i mercenari), “hacktivist” (gli attivisti informatici), “bio-hacker” (quelli che modificano le molecole biologiche e farmacologiche) o “growth hacker” (si occupano di web marketing). Da quando la parola è entrata nella terminologia criminologica il collegamento tra i hacker bianchi, cioè i buoni, e quelli neri, i cattivi, è fatto dagli hacker grigi, quelli che possono scivolare da una parte all’altra della barricata. Un hacker etico, uno che assume come comportamento responsabile la divulgazione di falle nel software sfruttabili dai criminali, è difficile che diventi un ladro. L’hacker etico per definizione condivide quello che sa con tutti per favorire il bene comune. Nel caso di Dark Basin si ritiene che siano assunti da investigatori privati e che i loro clienti finali siano grandi società e studi legali che agiscono, secondo Bloomberg, sotto le spoglie della corporate intelligence.

Quali sono le loro armi?

Le tecniche di hacking di Dark Basin sono prevalentemente basate sul phishing. Il furto di credenziali viene ottenuto sfruttando servizi che accorciano le Url, cioè gli indirizzi dei siti web, per portare le vittime su siti clone da cui sottrarre i dati dei malcapitati. Ma la peculiarità, secondo il Citizen Lab, sarebbe la dettagliata conoscenza del target, che tipicamente si acquisisce con operazioni di Open source intelligence (Osint), cioè con la raccolta di informazioni relative al bersaglio da fonti aperte: dai media ai social network.

Il phishing, il dossieraggio e tutte le altre tecniche di ingegneria sociale che sfruttano la fiducia ingenua verso il prossimo fanno quasi sempre parte dell’armamentario di questi hacker. E poi ci sono i “software exploits”, cioè strumenti usati per cancellare interi database e interferire col normale funzionamento di un pc, fino ai virus trojan e agli spyware per intercettare le comunicazioni e alle botnet per paralizzare siti web con attacchi DDoS (Attacco distribuito da negazione di servizio). Ma è intorno al mercato degli zero-days, le vulnerabilità del software chiamati così perché le aziende hanno “zero giorni” per ripararle prima che i criminali ne approfittino, che si sono costruite vere e proprie realtà commerciali. Tra queste Zerodium, fondata da Chaouki Bekrar, la prima azienda a trasformare in un’attività legale l’hacking dei dispositivi che usiamo ogni giorno con tanto di tariffe differenziati per Android, Apple, Windows. Noto come il Darth Vader della cybersecurity è odiato dagli hacker etici e amato dai governi autoritari che sono tra i suoi migliori clienti. Infine esiste tutta una galassia di mercenari che, come nel caso dell’Iran, vengono reclutati di volta in volta nelle università e nelle imprese private per condurre attacchi APT, cioè gli attacchi avanzati e persistenti dei gruppi paramilitari che si introducono nei sistemi di governi e multinazionali per sabotarli.

I cacciatori di bug

Insieme a queste realtà di hacker in affitto, venute alla ribalta con i negozi illegali del Dark Web, oggi chiusi, come Hamsa e Silk Road, si aggiunge un mercato legittimo dell’hacking, ed esistono numerose comunità sparse per il mondo che insieme si dedicano a migliorare le protezione delle infrastrutture critiche delle nostre società. Una di queste è HackerOne, che ha un programma di Bug Bounty, una sorta di caccia al tesoro che ricompensa chi trova difetti nel codice informatico. Nota è la figura di Santiago Lopez, un ventenne che in cambio di ricompense milionarie ha individuato circa 2000 falle di funzionamento grazie alla sua collaborazione con loro; oppure Thomas DeVoss, uno degli oltre cinquemila hacker iscritti ad HackerOne che hanno guadagnato finora più di un milione di dollari per un lavoro di poche ore al giorno.

The Hiver, l’alveare, invece, è il marketplace degli hacker creato da un intraprendente e rubicondo israeliano, Reuven Aronashvili, che, su richiesta dei suoi clienti, testa la difesa delle imprese attraverso una sorta di gara collettiva. Usano una sorta di videogame online che permette di spezzettare il compito di analisi di bachi ed errori facendo lavorare in parallelo gli hacker che partecipano all’attacco da tutto il mondo. Chi ci riesce viene pagato. Da mercato di competenze è diventata la piattaforma di gamification (ovvero la trasformazione di un compito in un’attività ludica) della cybersecurity tra le più importanti al mondo.

Cookie	Durata	Descrizione
connect.sid	1 hour	This cookie is used for authentication and for secure log-in. It registers the log-in information.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
nyt-a	1 year	This cookie is set by the provider New York Times. This cookie is used for saving the user preferences. It is used in context with video and audio content.
nyt-gdpr	6 hours	No description available.
nyt-purr	1 year	No description available.

Cookie	Durata	Descrizione
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_5VXPW099ZB	2 years	This cookie is installed by Google Analytics.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.