la-repubblica-it-logo

E gli hacker italiani presero il controllo di una rete criminale

Quando è l’attaccante ad essere attaccato. Un rete di computer zombie ruba credenziali in Italia ma viene infiltrata e smontata da un hacker italiano che si introfula nell’email dei criminali che la dirigono

di ARTURO DI CORINTO per La Repubblica del 31 agosto 2018

L’ATTACCO è stato massiccio. I bersagli caduti parecchi. Ma i responsabili hanno le ore contate. Hacker malevoli, forse di origine russo-macedone, hanno rastrellato migliaia di account e password attraverso una rete di computer zombie, una botnet, per operare al posto dei legittimi proprietari e rubare segreti personali e commerciali. L’operazione criminale condotta in tutto il mondo ha fatto la maggior parte delle sue vittime negli Stati Uniti e nel Canada. In Italia ha colpito il settore del lusso e del Made in Italy, regioni, comuni, cliniche e ospedali.

La botnet è nota, si tratta della rete Ursnif/Gozi, protagonista di campagne di “phishing” bancario, ma stavolta comandata attraverso altri server da attori che scrivono in cirillico. A scoprire l’attività di spionaggio cibernetico un giovane ingegnere italiano, Marco Ramilli, a capo di una nota startup di cybersecurity, Yoroi, e ha subito avvisato le autorità. Ma non si tratta di una semplice segnalazione, frutto di comportamento civico, perché Ramilli ha fatto di più che avvisare la polizia o proteggere i suoi clienti: ha infiltrato la rete degli attaccanti fino a risalire alle loro email.

Il Computer emergency response team nazionale, il Cert, sta studiando il codice degli strumenti usati per lo spionaggio dagli hacker malevoli e il Cnaipic, la nostra polizia che si occupa di cybercrime, ha già avviato le indagini dal giorno della segnalazione, il 27 agosto. Spiega Marco Ramilli: “Potrebbe trattarsi di un gruppo criminale molto ben strutturato non solo per i tool che utilizza ma anche per la complessità e diversificazione dei centri di comando e controllo, che sono almeno su tre livelli, e per il fatto che il codice malevolo era particolarmente ben nascosto, offuscato”. E continua: “Considerata la gravità dei furti di credenziali di pagamento abbiamo deciso di avvisare subito la polizia. Ma la rete che abbiamo infiltrato è fatta probabilmente di milioni di computer zombie distribuiti in tutto il mondo. Siamo agli inizi, perciò l’abbiamo chiamata ‘Operazione Turizao’, che vuole dire ‘canna da pesca’ in giapponese”.

Ma non si tratta di una qualsiasi “responsible disclosure” come la chiamano gli informatici, cioè la “denuncia responsabile” di aver infranto la legge per evitare danni maggiori ai concittadini e denunziare dei criminali, ma è forse il primo caso di hacking back reso noto in Italia. Un tema questo dell’hacking di ritorno contro azioni criminali nel cyberspazio che non riguarda solo gli specialisti. Nei paesi atlantici e nordeuropei si discute da tempo infatti dell’opportunità di rispondere ai criminali usando le stesse tecniche e gli stessi strumenti, applicando una sorta di legittima difesa di fronte al ladro cibernetico che ti entra in casa. Secondo i suoi fautori, se ammesso consentirebbe alle vittime di identificare i presunti responsabili dell’aggressione informatica e di prendere contromisure per recuperare o distruggere i dati rubati, fino a “friggergli i computer” come è stato già proposto e parzialmente approvato negli Usa. Una discussione che, insieme alla protezione degli hacker buoni che denunciano falle di reti e sistemi, comincia a farsi sentire anche in Italia.