OPERAZIONE " GLAAKI"

Sin dal febbraio dello scorso anno, con il drammatico dilagare dell’epidemia da covid-19, la dimensione globale del cybercrime ha conosciuto aumenti significativi, tanto nella quantità quanto, soprattutto, nella qualità della minaccia cibernetica.
L’emergenza covid-19, infatti, ha offerto ai gruppi cyber-criminali un’ulteriore occasione per strutturare e dirigere attacchi ad ampio spettro, volti a sfruttare per scopi illeciti la situazione di particolare esposizione e maggior vulnerabilità in cui il paese è risultato, e tuttora risulta, esposto.
Alcune delle più rilevanti infrastrutture sanitarie (Enti governativi, ospedali, istituti di ricerca), impegnate nel trattamento dei pazienti “covid” sono state oggetto di campagne di aggressione portate in vario modo da attori ostili: campagne di cyber-estorsione volte alla veicolazione all’interno dei sistemi ospedalieri di sofisticati ransomware, concepiti allo scopo di cifrare e rendere perciò inservibili, dati sanitari necessari ai programmi di cura; intrusioni informatiche nei sistemi critici attraverso sofisticati malware, volte alla esfiltrazione di informazioni riservate riguardanti lo stato di avanzamento della pandemia e l’elaborazione di misure di contrasto, specie con riguardo all’approntamento di vaccini e terapie anti-Covid; frodi informatiche, anche milionarie, nell’approvvigionamento di dispositivi sanitari,  sia attraverso il clearweb che all’interno delle piattaforme di black market allocate sul darkweb; attacchi di phishing ai danni di enti ed imprese, veicolati attraverso messaggi di posta elettronica i quali, dietro apparenti comunicazioni di Ministeri, organizzazioni sanitarie ed altri enti, relative all’andamento del contagio o alla pubblicazione di misure di contrasto, nascondevano in realtà sofisticati virus informatici in grado di assumere il controllo dei sistemi attaccati e procedere così alla esfiltrazione di dati personali e sensibili, alla captazione di password di accesso a domini riservati.
Proprio in tale scenario, si colloca l’operazione condotta dal personale del Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (C.N.A.I.P.I.C.) della Polizia Postale e delle Comunicazioni, è stata data esecuzione, con l’ausilio del Compartimento Polizia Postale di Bari, alla perquisizione locale, personale ed informatica nei confronti di un cittadino italiano residente nella provincia di Taranto resosi responsabile di una complessa attività criminale volta all’illecita acquisizione di credenziali personali ai danni di ignari cittadini.
All’indagato vengono contestati i reati di “detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici” (art. 615 quater c.p.) e “diffusione di programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico” (art.615 quinquies c.p.).
Il provvedimento, emesso dalla Procura della Repubblica di Roma che ha coordinato le indagini, è stato eseguito all’interno dell’abitazione ove l’indagato risiede insieme ai genitori.
Nel corso della perquisizione è stata rinvenuta e sequestrata un ingente quantità di materiale informatico a riscontro dell’attività investigativa svolta dal centro e che sarà oggetto di successiva analisi forense da parte degli specialisti del Centro.
L’indagine, denominata “Glaaki”, nome[1] dato dagli esperti di sicurezza informatica che per primi sono incappati della campagna di attacco sino a quel momento sconosciuta, origina da uno spunto investigativo emerso nel corso delle analisi svolte in collaborazione con la società di sicurezza informatica Ts-way s.r.l. ed è stata avviata nel febbraio del 2020, in piena emergenza epidemiologica da Covid. Questo Centro è venuto a conoscenza di una campagna di spear phishing[2] perpetrata attraverso l’invio massivo di email dirette ad ignari cittadini destinatari di un messaggio contenente un allegato malevolo avente ad oggetto proprio le parole “Covid-19”.
Proprio l’impatto psicologico dovuto all’emergenza agli inizi di febbraio 2020, ha consentito all’hacker di massimizzare gli effetti della campagna di spear phishing.
Con il pretesto di fornire aggiornamenti sullo stato di avanzamento del contagio, il cyber criminale ha indotto i destinatari delle email ad aprire un allegato infetto, contenente un codice malevolo di tipo keylogger che, inoculato all’interno del pc del destinatario della email, ha consentito all’indagato di appropriarsi delle password digitate, delle credenziali bancarie e dei dati personali delle vittime.
Le sofisticate tecniche utilizzate per indurre i destinatari dell’attacco ad aprire l’allegato vengono in gergo denominate “spoofing” e hanno visto l’attaccante modificare i campi mittente utilizzando “nomi di mittenti credibili”, inducendo le vittime ad aprire l’allegato proveniente da un indirizzo mail “trusted”.
Una volta aperte le porte del sistema informatico della vittima infatti, l’hacker esfiltrava i contatti della rubrica della casella di posta elettronica, a loro volta potenziali vittime e quindi successivamente mittenti fittizi per nuovi messaggi vettori del virus.
Le complesse attività di analisi del traffico prodotto dal malware, dai computer violati verso altri spazi web, hanno consentito di ricostruire il funzionamento del codice malevolo e quindi l’origine del traffico dati, fino ad arrivare all’individuazione di alcuni IP in uso al possibile attaccante.
La conferma del complesso quadro investigativo è emersa durante le perquisizioni informatiche, nel corso delle quali gli specialisti del Centro hanno rintracciato ed isolato, su un dispositivo in uso all’indagato, il codice malevolo creato ad hoc per la campagna di spear phishing.
L’hacker, C.G. di 45 anni residente in provincia di Taranto, è un informatico esperto in codici di programmazione.
Le indagini, tuttora in corso, permetteranno di individuare gli eventuali complici dell’hacker ovvero i possibili acquirenti dei dati sottratti.
Purtroppo nel corso della pandemia gli attacchi informatici, anche meno complessi di quello oggetto d’indagine, hanno visto una pericoloso innalzamento segnando un incremento del 246%, mentre le frodi telematiche che spesso sfruttano i dati sottratti hanno visto un più 64%.

 

 

[1] Glaaki è uno dei c.d. Grandi Antichi, creature semidivine immaginarie create dalla penna dello scrittore H. P. Lovecraft. Gli esperti di sicurezza informatica spesso “battezzano” con nomi di fantasia le minacce cibernetiche sconosciute, proprio come nel caso di quella evidenziatasi nel corso dell’indagine.

[2] Lo spear phishing è una truffa tramite comunicazioni elettroniche o e-mail indirizzata a una persona, un'organizzazione o un'azienda specifica. Sebbene abbia spesso l'obiettivo di sottrarre dati per scopi dannosi, i cybercriminali potrebbero anche voler installare malware sul computer dell'utente preso di mira.