(IPA/Fotogramma)
Pubblicato il: 22/11/2019 08:59
La polizia, sotto la direzione della Procura di Roma, ha messo a segno una della più articolate attività di indagine nel settore del cybercrime, l’operazione ‘People 1’. Gli investigatori specializzati del Servizio Polizia Postale e delle Comunicazioni hanno dato esecuzione ad un’ordinanza di custodia cautelare in carcere ed eseguito sei decreti di perquisizione sul territorio nazionale; destinatarie anche diverse agenzie investigative.
Le indagini hanno scoperto che erano state intercettate illecitamente “centinaia di credenziali di accesso a dati sensibili, migliaia di informazioni private contenute in archivi informatici della pubblica amministrazione, relativi a posizioni anagrafiche, contributive, di previdenza sociale e dati amministrativi appartenenti a centinaia di cittadini e imprese del nostro Paese“. Il principale sospettato, R.G., cittadino italiano di anni 66 originario della provincia di Torino, residente a Sanremo, con un know how informatico di altissimo livello e numerosi precedenti penali e di polizia, è stato posto in arresto su provvedimento del gip presso il Tribunale di Roma.
L’uomo è ritenuto “il principale responsabile di ripetuti attacchi ai sistemi informatici di numerose Amministrazioni centrali e periferiche italiane, attraverso i quali sarebbe riuscito ad intercettare illecitamente centinaia di credenziali di autenticazione (userID e password)”.
“Dapprima attaccando i sistemi informatici di alcuni Comuni italiani”, sottolinea la polizia, “il sospettato è riuscito ad introdursi in banche dati di rilievo istituzionale, appartenenti ad Agenzia delle Entrate, Inps, Aci ed Infocamere, veri obiettivi finali dell’attività delittuosa” da questi portando via “preziosi dati personali di ignari cittadini ed imprese italiane”.
Denunciate a piede libero sei persone ritenute “complici dell’arrestato, tutti a vario titolo impiegate all’interno di note agenzie investigative e di recupero crediti operanti in varie città d’Italia”. “Questi, in particolare – come ricostruito dalla polizia – commissionavano a R.G. gli accessi abusivi ed il furto delle preziose credenziali, per poi farne uso nelle rispettive attività professionali di investigazione privata, in tal modo riuscendo a profilare illecitamente, a loro insaputa, centinaia di cittadini e imprese”.
Le indagini degli uomini del Cnaipic ha permesso di ricostruire come l’arrestato, nel corso degli anni, “avesse ingegnerizzato un vero e proprio sistema di servizi, tra cui il portale illecito ‘People1’, commercializzato clandestinamente ed offerto alle agenzie interessate, che, pagando una sorta di canone, potevano istallare il software con una semplice pen-drive Usb, e riuscire così a connettersi clandestinamente alle banche dati istituzionali e fare interrogazioni dirette”.
Per ottenere l’accesso clandestino a tali banche dati, il gruppo criminale utilizzava sofisticati virus informatici, con i quali infettava i sistemi degli Uffici pubblici riuscendo ad ottenere le credenziali di login degli impiegati. La tecnica utilizzata prevedeva, anzitutto, il confezionamento di messaggi di posta elettronica (phishing), apparentemente provenienti da istituzioni pubbliche, ma in realtà contenenti in allegato pericolosi malware. I messaggi, ricostruisce la polizia, “arrivavano a migliaia di dipendenti di amministrazioni centrali e periferiche, in particolare a quelli dei piccoli Comuni e dei patronati, che venivano, con l’inganno, portati a cliccare sull’allegato malevolo aprendo così la porta al sofisticato virus informatico che, in poco tempo, consentiva agli hacker di assumere il controllo dei computer”.
A questo punto il gruppo criminale, potendo contare su una rete vastissima di computer infettati, li metteva in rete sommandone le potenze di calcolo, costruendo quella che, tecnicamente, è definita una Botnet, controllata da remoto dall’indagato arrestato, R.G., grazie ad una centrale (cosiddetta Command and Control) che egli aveva installato su server all’estero”. Secondo gli investigatori la “potente rete di computer infetti veniva quindi utilizzata dall’indagato per sferrare gli attacchi informatici massivi, compromettere i database delle amministrazioni pubbliche ed esfiltrare i dati personali dei cittadini”. “La persistenza delle attività illecite era in particolare assicurata dallo stesso malware, che arrivava a modificare le chiavi di registro in modo da eseguire automaticamente, all’avvio della macchina infettata, specifici programmi in grado di autoinstallarsi sul computer della vittima e registrare, tra l’altro, i caratteri digitati sulla tastiera (keylogging) tra i quali, appunto, le credenziali di autenticazione alle banche dati centralizzate – spiega la polizia – I dati venivano poi inviati su una serie di server all’estero, principalmente in Canada, Russia, Ucraina ed Estonia, direttamente gestiti, come dimostrato nel corso di complesse attività di intercettazione telematica e telefonica, da R.G., e quindi utilizzati per accedere abusivamente alle banche dati di interesse pubblico ed eseguire la profilazione di imprese e privati cittadini”.
Nel corso della sua attività criminale, l’arrestato si è avvalso anche “della ‘consulenza’ di hacker freelance stranieri ingaggiati all’interno del Darkweb, allo stato in fase di identificazione”. Come ricostruito dalla polizia, gli hacker, dietro pagamento, sviluppavano righe di comando attraverso le quali la piattaforma veniva implementata proprio per aggirare le misure di sicurezza delle piattaforme obiettivo dell’attività criminale.
Ingenti i proventi dell’attività criminale, se si pensa alle decine di migliaia di interrogazioni illecite su commissione già accertate e che una singola interrogazione delle banche dati istituzionali veniva venduta a partire da 1 euro “a dato”, anche attraverso sistemi di pagamento evoluto e attraverso l’acquisto in modalità prepagata di “pacchetti di dati sensibili”.
Le articolate e complesse indagini sono iniziate nel mese di maggio 2017 dopo una segnalazione della società di sicurezza informatica Ts-Way (che per prima ha individuato la minaccia sul territorio nazionale) nella quale veniva evidenziata una campagna di spear-phishing volta a diffondere codici malevoli ed avente quale primo obiettivo i sistemi informatici di numerose infrastrutture critiche italiane.