Tutti i prezzi sono validi al momento della pubblicazione. Se fai click o acquisti qualcosa, potremmo ricevere un compenso.

Hacker, rubava e vendeva dati di accesso ai database della PA. Arrestato un italiano

22 Novembre 2019 104

Il bottino che l'hacker italiano arrestato dalla Polizia di Stato nell'ambito dell'operazione PEOPLE1 è indubbiamente considerevole: è formato da centinaia di credenziali di accesso a dati sensibili e a migliaia di informazioni contenuti negli archivi informatici della pubblica amministrazione. Dati riconducibili a cittadini e ad imprese italiane archiviati nei database di enti come l'Agenzia delle Entrate, l'INPS, l'ACI e infocamere e relativi, tra l'altro a posizioni anagrafiche, contributive e di previdenza sociale.

Il principale sospettato, R.G., è un sessantaseienne della provincia di Torino e residente a Sanremo con numerosi precedenti penali e un'approfondita conoscenza delle tecniche che permettono di violare i sistemi informatici. L'accusa è di aver agito in collaborazione con altri sei complici - tutti impiegati in agenzie investigative e di recupero crediti - al fine di sottrarre e rivendere i dati sopraccitati.

Della vicenda sono rilevanti diversi aspetti: la tecnica di attacco impiegata e le metodologie di vendita dei dati raccolti - oltre alla riconferma che le Forze dell'Ordine italiane sono sempre attive per contrastare i "nuovi reati" che utilizzano strumenti informatici (è di pochi giorni fa, ad esempio, la notizia della chiusura del Berlusconi Market, uno dei più importanti mercati del Dark Web).

LO SCHEMA D'ATTACCO

E' uno schema strutturato a più livelli che prende prima di mira le amministrazioni periferiche dei piccoli comuni, per poi arrivare al vero obiettivo. Come sarà evidente, uno degli anelli deboli è sempre rappresentato dal fattore umano e dalla scarsa attenzione per gli aspetti della sicurezza, che purtroppo si riscontra anche presso enti che gestiscono informazioni molto sensibili. Più nel dettaglio, schematizzando:

  • FASE 1
    • Bersaglio: migliaia di dipendenti delle amministrazioni centrale e periferiche
    • Strumento: phishing.
      • Ai dipendenti venivano inviati messaggi di posta elettronica, apparentemente provenienti da istituzioni pubbliche, contenenti malware
      • Un click sull'allegato era sufficiente ad installare il virus e a prendere il controllo del computer
  • FASE 2:
    • L'insieme dei computer infettati formava una BOTNET controllata dall'hacker attraverso un centro di controllo (C&C in gergo) installato su un server situato all'estero
    • Sfruttando la potenza di calcolo della BOTNET, l'hacker era in grado di sferrare l'attacco informatico verso le strutture informatiche degli enti ed acquisire i dati di accesso ai database:
      • Tra le funzionalità consentite dal malware figurava la capacità di eseguire automaticamente all'avvio della macchina programmi in grado di catturare i caratteri digitati sulla tastiera (keylogging, in gergo), compresi quelli che formavano le credenziali di accesso alle banche dati centralizzate
  • FASE 3:
    • I dati di accesso ai database venivano trasferiti su server esteri (principalmente in Canada, Russia e Ucraina) gestiti direttamente dall'indagato
LA RIVENDITA DEI DATI

Dopo l'opera di sottrazione si passa a quella di rivendita ed entrano in scena i 6 complici: gli inquirenti sottolineano che commissionavano all'hacker di sottrarre le credenziali di accesso ai database per utilizzare i dati di cittadini e imprese nell'ambito delle proprie attività professionali (indagini private e recupero crediti, come detto in apertura). Ma c'è di più, visto che R.G. aveva realizzato un vero e proprio portale, PEOPLE1, per offrire clandestinamente i suoi servizi.

In primo luogo, a fronte del pagamento di un canone, i soggetti interessati potevano installare tramite una pen drive il software per accedere ai database delle istituzioni ed eseguire direttamente le ricerche dei dati. Chi invece aveva necessità di effettuare solo alcune ricerche di dati sensibili, poteva optare per l'acquisto della singola interrogazione secondo un tariffario che prevedeva il prezzo di 1 euro a dato, oppure optare per "pacchetti di dati sensibili". In breve, una sorta di negozio virtuale di dati acquistabili in blocchi, a pezzi sciolti o in abbonamento.

Gli inquirenti sottolineando che R.G. si è inoltre avvalso della consulenza di hacker stranieri - ingaggiati nel Dark Web (ricordate cosa è?) - per lo sviluppo di righe di codice grazie alle quali gli accessi non autorizzati riuscivano a superare le misure di sicurezza dei sistemi informatici degli enti. Le indagini proseguono per individuarli.


104

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Frederik

Bè a me questo sembra uno che ne sa a pacchi nn un m1inchione che ruba il login a un suo amico

salvatore esposito

appunto, allora concordo... migliaia di ottimi professionisti contro diversi milioni di polli che fanno casini ogni giorno, saltano i corsi di aggiornamento (però il cartellino lo timbrano), ecc...

Davide

Non voglio continuare a difendere la Pa, perchè ha i suoi bei difetti..ma parli di un'"azienda" da 3 milioni di dipendenti, quindi ovvio che trovi i polli, come trovi migliaia di ottimi professionisti ;)

salvatore esposito

ah, ma si, io parlo in generale, poi chiaro che ci sia qualcuno con un cervello e voglia di lavorare nella PA.
ma per fregare un intero db basta un pollo, come per fregare un intero nas (o server che sia) con un ransomware basta un pollo e nella PA c'è ne sono tanti

Davide

Grande imprenditore? sono un semplice dipendete di una softwarehouse..e ti assicuro che la tua è una generalizzazione..

salvatore esposito
masterblack91

Non esiste antivirus che ti protegge al 100%,oggi viene scoperto e bloccato un virus,domani ne escono 2 varianti e via si ricomincia.
Puoi avere tutto aggiornato e il miglior antivirus ma se domani esce un'altro exploit Intel e apri l'allegato,sei a rischio come tutti fino a quando non esce un fix.

Indovina che succede se non hai nessun antivirus e non clicchi sull'allegato? Nulla.

Marco
Davide

"la stragrande maggioranza dei dipendenti della PA": fonte?
Perchè collaboro con 15 comuni in lombardia e hanno tutti sistemisti che controllano queste vaccate..consapevole che 15 su 9000 non sia un dato attendibile, vorrei però sapere la tua fonte..

Nino

vedi che dicevo la stessa cosa tua!! intendevo proprio questo, alcuni non hanno titoli, e chi ne ha, ha al massimo la patente europea(che è un po peggio di una puttanata!) quello che intendevo io è che non puoi punire l'impiegato entrato con la terza media (o un diploma equivalente!) 30 anni fa perchè non ha idea di cosa sia l'informatica. devi punire chi non li ha mai istruiti o affiancati correttamente! i colpevoli sono sempre gli "stessi". nel 90% dei problemi di questo ex glorioso Paese! (il 10% lo lascio a noi popolazione che non facciamo niente in concreto se non lamentarci sui socials!) e ricorda che c'è chi fa comodo avere l'amministrazione pubblica in mano a gente spesso inetta e impreparata.....

matteventu

Scusa se mi intrometto ma cos'è esattamente questa patente europea?

MikaHakkinen

Ancora che si confonde la parola Hacker con quella Cracker...

Salvatore Provino

Usa anche VMWare sai?? Ma non conosco bene i dettagli, fa anche il sistemista anche per altre aziende, é molto in gamba secondo loro ma io non ci capisco molto ad oggi. Il problema é che la maggior parte degli impiegati non vuole aggiornarsi e non avere a che fare con software nuovo ed é una guerra continua :(

Marco

A parte che la patente europea è una puttanata da tipo sempre, ma vabbè, cosa vogliamo fare? Non si possono punire e quindi va bene così? Tutti a preoccuparsi della privacy, di Google che ci spia, ma in realtà lasciamo i nostri dati personali, senza possibilità di poter scegliere diversamente, in mano a enti pubblici gestiti in maniera estremamente grossolana e insufficiente?

Ok.

salvatore esposito

la stragrande maggioranza dei dipendenti della PA genera account del tipo
username: CognomeNome
password: Cognome-anno

rispettando di fatto la lunghezza minima di 8 caratteri e la presenza di almeno 1 maiuscola, 1 numero e 1 carattere speciale.
fermo restando che sia buono mettere queste imposizioni perché altrimenti diventerebbe tutto un
username: pippo
password: pass
ma ha l'effetto collaterale di generare schemi che rendono in molti casi una password troppo semplice da indovinare.

però è bravissimo a dare downvote a tutti quelli che gli sbattono in faccia la realtà :D

esattamente.
E se la vittima usa un password manager, la passowrd non la conosce memoria, quindi nemmeno gli può venire un sospetto che quei caratteri la rappresentino.

Alessandro Apo

Quel doc sta girando ovunque nelle PA... “Il contenuto è bloccato, clicca abilita contenuto per visualizzarlo”.... SBRRAAAAM!

Nino

secondo quello che dici, in qualunque ufficio ci dovrebbero essere solo informatici....ora dato che faccio questo lavoro, non è che mi dispiacerebbe, però in realtà basterebbe assumerne qualcuno in più. anzi qualcuno....dato che molti uffici pubblici ne sono sprovvisti (e ovviamente devono essere anche responsabili.....)

Nino

l'antivirus è obbligatorio per il 99% degli utenti. ma protegge non piu del 50% dei rischi. un pc AGGIORNATO(il maiuscolo è volontario) con un firewall anche base porte router e pnp disattivate e ovviamente essere del campo tolgono un altro buon 40% ma qualunque utente sia esperto che non, non avrà mai il 100%. al massimo è in grado di capire se qualcosa non va e dipende l'importanza dei suoi data formatta piu spesso che ogni 12 anni(ehm....) cmq una semplice macro, anche un pdf e l'antivirus se ne frega(tranne che la macro sia gia ben conosciuta)

Nino

no dai... exe js e qualche altro la maggior parte dei servizi di posta seri li blocca.....ma pdf docx xlsx.....li ci si diverte!

Nino

mail, 100%. conosco anche gente semi esperta aprire allegati con una naturalezza da mettere i brividi!

Nino

ma tu sai chi sono i responsabili in moltissimi enti pubblici(ovviamente mi riferisco a quelli che conosco) che amministrano l'IT?? alcuni hanno la patente europea.....ma alcuni, non tutti!! per capirci......li vuoi punire? come quando a scuola (ma fortunatamente sono "vecchio" e non è piu cosi) l'insegnante di matematica 50enne dopo 10 ore di corso, ci faceva informatica!! ahahaha le risate che non ti immagini....

Nino

il 90% dei pc dentro enti pubblici non solo non è protetto ma è libero, spesso è stra infetto di tutto a livelli che non si può immaginare. e se anche poi i pc protetti(che sono quel paio che servono per particolari azioni) sono nella stessa rete....vedi la sicurezza. il problema che nei posti sensibili dovrebbero esserci responsabili IT sempre, ma non chi ha preso la patente europea e gestisce l'itera rete di un comune.....lasciamo perdere, meglio fermarsi qui(ovviamente mi riferisco a realtà che conosco, la speranza è che non sia ovunque cosi....)

Dea1993

dopo questa uscita non meriti neanche risposta guarda.
dico solo che se tu usi uno strumento per lavoro, dovresti un minimo imparare ad usarlo... non serve essere un tecnico per capire che certi link sono fraudolenti e malevoli, non serve un tecnico per capire che un'email a caso che ti manda un exe o altri file, non vanno aperti.
non serve un tecnico per capire che un'email che ti chiede username e password e' sicuramente una truffa visto che nessun addetto dell'assistenza ti chiedera' mai la password per un determinato servizio.
poi appunto chi sta allo sportello di una PA non necessariamente deve essere un esperto di pc, ma stai comunque usando un pc, certe cose devi saperle

matrix

Potreste passare alle VDI con VMWare Horizon.
Le macchine virtuali possono essere floating, ed ad ogni riavvio o disconnessione, vengono ripristinate allo stato iniziale.

matrix

Ma quale buon senso? Lo capite si o no che ci sono dipendenti che non sono tecnici? E' gente come te che deve sviluppare del buon software che deve impedire di fare errori ai dipendenti poco capaci. Invece ca.ca.te codice che non funziona mai come si deve...

matrix

Devi crescere ancora e stuadiare!!!
Quindi secondo la tua logica gente che lavora da più di 20 anni, quando i computer non esistevano che devono fare? spararsi? Li dobbiamo licenziare?

Fanno dei corsi ma più di tanto non riescono a fare.

matrix

Kaspersky non ha bloccato un doc che aveva una macro vba che faceva partire un comando powershell che a sua volta scaricava altre cose.

matrix

questo dove? Se nella PA ci sono sistemisti con i controco..ni simili password non esistono, anche perchè ora è obbligatorio per legge implementare delle politiche di sicurezza

Edoardo Motta

L’articolo l’ho letto benissimo, infatti un antivirus decente blocca pure gli allegati infetti.

Altro?

masterblack91

Leggere l'articolo no eh...Indovina un pò com'è entrato,con il phishing,per colpa di UTENTI CHE APRIVANO ALLEGATI DI EMAIL.
Guarda un pò,forse chi dice quella frase ha ragione?

Dea1993

in comune non ti assumono con il cv xD
passa tutto per i concorsi, ed e' per questo che spesso c'e' gente incompentente davanti ai pc, e che una volta entrati (magari a tempo indeterminato) il loro unico lavoro diventa lamentarsi tutto il giorno e provare a passare quelle 6 ore che devono fare, perche' tanto prima di essere licenziato devi avere 3 richiami scritti.
e quindi mentre tu sei li a scaldare la sedia, fuori c'e' gente volenterosa che vorrebbe prendere il tuo posto ma non puo' perche' e' in fondo alla graduatoria :)

tranquillo dicevo per scherzare (anche se con fondo di verita').

Dea1993

non sono d'accordo che un lavoratore non e' tenuto ad informarsi.
sono un programmatore, se non mi informassi, e non facessi un po di studio da solo, sarei in enormi difficolta' perche' questo mondo e' in continua evoluzione.
non puoi sempre sperare e aspettare che qualcuno ti paga un corso (e magari in orario lavorativo cosi' che molti dicono... evvai non si lavora).
tu fai un lavoro, e' giusto che mostri anche un po di interesse, non puo' sempre pioverti tutto dal cielo perche' ormai sei dentro.
poi chiaro... il lavoratore che sta allo sportello non c'e' bisogno che sa riparare un computer o amministrare un sistema operativo, ma non deve neanche essere una scimmia pigiatasti.
l'azienda cosa deve fare? un corso per dire non aprite la prima email che capita? ma deve stare anche un po nel buon senso del dipendente.

Dea1993

ogni volta fare distinzione tra cracker e hacker mi sembra abbastanza inutile, in fin dei conti fanno un cracker fa sempre parte della categoria degli hacker, poco cambia

Girolamo
densou

sardine.bat
capitan_findus.reg
gattini.mao

densou

quindi un altro nonno di se stesso come: https://media1.giphy.com/me...

uncletoma

Ecco: di norma. Purtroppo la norma non è applicata ovunque (ovviamente pippo e 1234 è una boutade, l'altra molto meno)

SuperDuo

9 volte su 10 il baco è di carne e ossa. Niente di nuovo.

ghost

Dal titolo pensavo fosse una cosa alla mr
Robot con backdoor ecc invece scopri che utilizzavano phishing

Marco

Tralasciando le "cose da film", se il PC di un tizio random allo sportello ha i permessi di admin e si piglia i trojan e i keylogger da mail fasulle, il problema è, soprattutto, di chi DOVREBBE gestire la sicurezza.

Finché la cosa verrà vista come un inutile costo e i responsabili non subiranno ripercussioni particolarmente pesanti, si continuerà con le password "1234", i post-it attaccati al monitor e i PC con i permessi di admin dati a chiunque.

Dipendesse da me, data la gravità della cosa (si parla di dati personali e di aziende rubati dai sistemi di enti statali), i responsabili andrebbero licenziati in tronco, multati e, perché no, la cosa dovrebbe risultare in qualche maniera nella fedina penale.

Un conto è che, sfruttando qualche exploit e vulnerabilità nascosta, qualcuno possa penetrare in un sistema; ma se tu, amministratore IT, non segui almeno le basi della sicurezza (in contesti così delicati) sei neanche tanto indirettamente complice.

Marco

Nell'articolo si parla di mail fraudolente con allegati infetti.

Eugenio Volcov

Da quel che ho capito nella chiamata del sito che manda la richiesta di login, usando una api inversa fa vedere in chiaro la password, però non può uscire dalla "box" del sito quindi per "fregartela" estrapola dal foglio di stile css formattando in colonna i caratteri della password e li ripropone poi mischiati dentro un captcha finto. Fino a qui il phiser agisce alla cieca. Quando premi verifica captcha tu di fatto nella box hai reinserito la tua password e mandata al malintenzionato "mischiata" lui per ogni carattere del finto captcha avrà un id, li mette in ordine ha la password. Almeno così ho inteso io.

Eugenio Volcov

Sottovaluti che di qualunque sistema super sicuro resta sempre il fattore umano.. Per dire fossi un hacker bravo e se sapessi il fatto mio per avere accesso diretto alla rete di mps centrale di roma, mi basterebbe allacciarmi le scarpe e attaccare un tongle alla porta ethernet del tizio referente business coi pc belli in vista sotto al tavolo. C'era pure un articolo di uno che è entrato incurante fino ai server di una banca, e dopo che si era fatto 3 piani al quarto uno si era insospettito, ha vuotato il sacco dicendo la verità (che era un consulente di sicurezza che faceva la prova del 9 del sistema della banca e che ha fallito visto che è stato "fermato") il tizio poi da bravo ragazzo ha risposto ah ok, e senza verificare niente l'ha lasciato proseguire.. Paion cose da film, ma la vita reale non si discosta molto da serie come mr robot e gente negligente.

Eugenio Volcov

Di norma utente e psw sono generati e consegnati ai dipendenti.. Manca solo lasciare libero arbitritrio nel decidere queste cose e consentire di usare password simili bucabili sia di brute Force sia con i hash di psw comuni mappate (previo precedente attacco al database per recuperare le credenziali cifrate)

Vublich

era il condor :P

uncletoma

username: pippo
password: 1234
Questo è il livello medio dei dipendenti delle PA
alternativa
utente: nome_cognome
password: data di nascita

Cerbero

Pensa che Didier Auriol campione francese di rally guidava ambulanze prima di approdare a veicoli da piu' di 400CV da guidare su tutti i tipi di strade...

Nickever Professional™
Android

Recensione Honor Pad 9: un buon tablet, venduto con un'ottima offerta di lancio!

Articolo

Netflix: tutti i film e le serie TV in arrivo ad aprile 2024

Recensione

Recensione MSI MPG 271QRX, immagini di alta qualità a 360 Hz

Mobile

Swisscom acquisisce Vodafone Italia per 8 miliardi: verrà integrata con Fastweb