TERAMO – Nelle prime ore del 15 luglio la Polizia di Stato ha portato a termine un’operazione che ha permesso di individuare i componenti di due gruppi criminali responsabili di decine di attacchi ai danni dei sistemi informatici d’infrastrutture critiche, siti istituzionali e aziende private del paese.

In totale sono 15 le persone denunciate dalla Polizia Postale e delle Comunicazioni, nel corso delle attività coordinate dalle Procure di Roma, Perugia e di quelle presso il Tribunale per i minorenni sempre del capoluogo umbro. Sono accusati di concorso nel danneggiamento di sistemi informatici, nell’interruzione illecita di comunicazioni informatiche e telematiche, per accesso abusivo a sistemi informatici, e per danneggiamento di dati e programmi informatici utilizzati dallo Stato o altro Ente pubblico o di pubblica utilità.

Nel corso delle perquisizioni, che hanno interessato dieci regioni italiane (tra cui Marche e Abruzzo), sono stati sequestrati numerosi personal computer e altri dispositivi utilizzati per portare a compimento gli attacchi. All’alba del 15 luglio si è conclusa l’operazione New generations. I provvedimenti sono stati eseguiti nei confronti di quattordici giovani, alcuni minorenni e un 40enne con diversi precedenti penali.

Le indagini si sono basate in particolare su attività di osint (open source intelligence) svolte su fonti aperte. Si è trattato di una vera e propria attività di ricerca nella rete finalizzata al rintraccio d’indizi ed elementi che hanno permesso l’effettiva identificazione degli hacker, con i doverosi riscontri dati da tradizionali attività investigative.

Il primo filone d’indagine, seguito e portato a conclusione dal personale del C.N.A.I.P.I.C., riguarda la crew nota come anonymousiag, nata presumibilmente nel settembre del 2012 e formata da cinque sedicenti hacktivisti dediti ad attacchi informatici nei confronti d’istituzioni e infrastrutture critiche. Tra i siti attaccati figurano il portale della stessa Polizia Postale commissariatodips.it, i siti delle Camere del lavoro in Lombardia, della Uil e della Fiom, i siti esercito.difesa.it, dps.tesoro.it, urp.cnr.it e quello dell’Agenzia del Territorio. Il gruppo prende il nome dal più grande e noto collettivo anonymous, con l’aggiunta dell’acronimo “iag” che sta per “italiananonymousgroup”. Il fondatore, e figura apicale della crew, che celava la propria identità sotto i nickname anondb e aj3dx, è un 40enne residente in provincia di Torino con precedenti per rapina, ricettazione, concorso in associazione per delinquere, lesioni personali, falso in scrittura privata, guida senza patente, porto abusivo di armi e altri reati, risultato vicino a famiglie camorriste. E’ da evidenziare la peculiare personalità autocelebrativa del soggetto che in passato ha rilasciato diverse interviste in cui si definiva come il capo della crew: nell’ultima in ordine di tempo, subito dopo la recente operazione “Unmask”, aveva promesso addirittura azioni di ritorsione. Spesso agli attacchi seguiva la pubblicazione dei dati sottratti, o parte di essi, e del comunicato di rivendicazione, la cui diffusione era solitamente effettuata per mezzo dei più noti social network, quali Twitter o Facebook, del noto sito pastebin.com e attraverso il blog ufficiale del gruppowww.anonymousiag.blogspot.it.

Semplificando, le azioni criminose portate a termine dalle crew si possono distinguere sostanzialmente in tre tipologie: attacchi di tipo ddos, aventi lo scopo di rendere irraggiungibile per un determinato periodo di tempo il sito bersaglio dell’attacco, attacchi di tipo sqlinjection, con lo scopo di sottrarre informazioni sensibili memorizzate sul database preposto alla gestione dei contenuti di un sito web. L’attaccante enumera le tabelle del database e compie quello che in gergo viene detto dump, ovvero preleva, oltre ai nomi delle tabelle, anche il contenuto di ogni singola tabella costituente il database, tra cui solitamente è presente quella contenente le credenziali di accesso degli utenti (solitamente in forma cifrata), e quelle degli amministratori del sito, che l’attaccante può utilizzate per accedere ad aree riservate, con la possibilità di inviare, modificare o cancellare file. Infine defacement che consistono nel sostituire la homepage originale del sito con un’altra pagina creata ad hoc, spesso con contenuti di rivendicazione diretta.

Il secondo filone d’indagine, condotto dal personale del Compartimento Polizia Postale di Perugia, riguarda la crewthcsquadGli investigatori, dopo aver verificato che i sistemi informatici di alcuni istituti scolastici perugini erano stati oggetto d’intrusioni attuate con identiche modalità operative, decidevano di sottoporre a costante attività di monitoraggio i canali di comunicazione utilizzati dagli hackers. La corretta scelta investigativa e l’elevata preparazione tecnica del personale addetto alle indagini consentivano di identificare l’intera crew nota con il nome di thcsquad. I soggetti individuati, tra cui emergono anche minorenni, risultano aver agito secondo uno schema ben preciso e collaudato: dopo aver attentamente individuato gli obiettivi e attaccato i siti acquisendo le credenziali di accesso, s’introducevano abusivamente all’interno dei web server e dei database, copiando i dati personali degli utenti e modificando il contenuto delle pagine web, per ostacolarne la normale e corretta successiva consultazione. Gli attacchi rivendicati sono oltre 150 dello stesso tipo di quelli precedentemente descritti.

I sistemi maggiormente colpiti sono stati quelli attinenti al mondo dell’istruzione, tanto che la crew aveva messo in atto una vera e propria “operazione scuole”, mossa dall’intento di introdursi abusivamente, sia singolarmente sia in gruppo, nei siti d’istituti scolastici, di università e di enti di ricerca, non disdegnando, in ogni caso, anche siti istituzionali di governo, regioni, comuni, associazioni di forze di polizia e imprese private.

Le perquisizioni effettuate presso le abitazioni degli hacker tra le province di Roma, Monza, Milano, Napoli, Ancona, Torino, Modena, Verona, Udine, Brindisi, Teramo e Varese (con la collaborazione della Polizia locale) hanno consentito di sottoporre a sequestro numerosi sistemi e supporti informatici, la cui analisi tecnica da parte dagli esperti della Polizia Postale consentirà (in sinergia con le competenti Autorità Giudiziarie) sia di delineare esattamente i ruoli dei soggetti coinvolti e sia di ricostruire dettagliatamente tutte le modalità operative utilizzate nell’esecuzione del piano criminoso.

Le indagini sui due gruppi sono state svolte di pari passo tenuto conto della contiguità tra le crew, tanto che alcuni membri facevano parte di entrambe. Ecco i nickname utilizzati dagli hacker: anondb, aj3dx, guyfawkes, anonrvg, deathpower, dark_baba, anonhackoder, cyberghost, easter, snow, eagle, nerdology, william, king, syned, denon, d3417.

Copyright © 2017 Riviera Oggi, riproduzione riservata.
(Letto 800 volte, 1 oggi)