Gli “hacker russi” esistono davvero

 Gli “hacker russi” esistono davvero. Da dove sono arrivati, come sono diventati celebrità e perché l’Occidente li teme?

Gli “hacker russi” sono un meme diventato popolare in Occidente un paio di decenni fa. Le loro tracce si trovano nei più gravi attacchi e crimini informatici negli Stati Uniti, e Washington non di rado li accusa di lavorare per i servizi segreti russi.  Comunque, nel dark-web russo si parla con molta cautela dell’esistenza di singole unità informatiche criminali che lavorano per l’intelligence. Da questo punto di vista concordano anche gli hacker europei: loro ritengono conveniente  la posizione ufficiale di Washington e riconoscono che sia più facile addossare i problemi agli altri piuttosto che riconoscere i propri difetti. “Lenta.ru” si è chiesto se i veri hacker russi appartenenti a gruppi potenti possano essere al servizio dello stato ed essere dietro ai più gravi attacchi informatici negli Stati Uniti.

 

“Nel dark-web nessuno recluta gli hacker”

“A me si sono rivolti più di una volta con progetti in cui si richiedeva supporto per effettuare un attacco a compagnie americane. Ma non sono mai figurate agenzie governative americane né sistemi istituzionali” dice l’hacker-freelance Aleksej (nome modificato) che ha richiesto di non usare il suo nickname. “Nel dark-web la pubblicità è ritenuta di cattivo gusto, ma il punto non è solo l’etichetta: chi ha una qualche relazione con i mass media perde la fiducia dei colleghi”.

 Alla domanda se sappia qualcosa dell’esistenza degli “hacker russi” che lavorano al servizio dell’intelligence, Aleksej invia uno smile e aggiunge: ”Per capire che lo spionaggio informatico esiste nel mondo contemporaneo non è necessario passare le giornate sui forum di hacker. Un’altra questione è che però non riesco ad immaginare una situazione in cui i collaboratori dell’FSB (servizio federale per la sicurezza), SVR (servizi segreti russi) e di altre strutture reclutino hacker tra i membri di gruppi conosciuti o che li assumano a contratto”.

Per molti criminali informatici è difficile interessarsi agli attacchi agli USA: lavorare con programmi ransomware è più sicuro.

L’interlocutore di “Lenta.ru” sottolinea che la maggior parte degli hacker mediamente non si interessa neppure agli attacchi al governo degli Stati Uniti. Lui precisa che per un lavoro del genere pagano sicuramente bene, tuttavia le conseguenze per uno specialista possono essere le più spiacevoli. Inoltre, la maggior parte dei criminali informatici non è semplicemente abbastanza qualificata per attacchi del genere.

“Probabilmente i servizi segreti russi lavorano con hacker seri, che nella storia contemporanea della Russia si possono contare sulle dita. Tali persone scompaiono per sempre dal dark-web e i loro nomi non sono mai stati collegati da nessuno ad alcun attacco serio. Devono essere dei veri intellettuali, professori del crimine informatico, nell’interesse dei quali lavorano particolari istituti di ricerca, che sviluppano tipi di programmi sempre più nuovi” suggerisce lui.

Aleksej aggiunge che l’interesse degli hacker russi per i soggetti dell’economia americana non viene prodotto dal desiderio di indispettire l’Occidente. Gli hacker non dividono le vittime sulla base della nazionalità, per loro è più importante la componente economica della questione. Proprio per questo l’infrastruttura degli Stati Uniti li attrae più spesso: semplicemente là c’è di più da rubare.

 

Gli “hacker russi” sono diventati parte della lotta politica

Sulle pagine Wikipedia in lingua inglese sono presenti diversi articoli riguardanti l’ingerenza russa nelle elezioni americane. I loro titoli sono piuttosto diversi e gli anni di pubblicazioni vari: 2016, 2018, 2020. Proprio questi attacchi, a prescindere da chi ci fosse dietro e se fossero reali o meno, hanno dato il via alla fase contemporanea delle relazioni dell’America con gli “hacker russi”.

Negli Stati Uniti sostengono che gli obiettivi degli attacchi degli specialisti russi siano cambiati col passare del tempo. Prima delle elezioni del 2016, in cui vinse Donald Trump, i fini principali probabilmente corrispondevano ai tentativi del Direttorato principale per l’informazione (GRU) di appoggiare Trump e denigrare il suo concorrente del partito democratico Hillary Clinton. Allora in rete trapelarono dei documenti e la corrispondenza dei democratici, che nel corso del tempo avevano subito alcuni attacchi di phishing. Essi misero in cattiva luce sia Clinton, sia i suoi collaboratori del partito e la sua condizione generale interna.

Le ambizioni presidenziali di Hillary Clinton sono vacillate sotto gli attacchi degli “hacker russi”

Il momento chiave dell’operazione “Progetto Lakhta” (le operazioni di ingerenza nelle elezioni hanno assunto questo nome negli Stati Uniti) è l’attacco al Comitato Nazionale del Partito Democratico degli Stati Uniti. Esso con ogni probabilità è stato architettato dai gruppi Cozy Bear e Fancy Bear, che però hanno agito indipendentemente l’uno dall’altro.  Ciò significa che il sistema del comitato è stato infettato da due tipi diversi di malware allo stesso tempo. Il primo è X-Tunnel, eseguito da remoto da una squadra di hacker tramite il sistema NAT. Il secondo è X-Agent, che trasmetteva ai criminali informatici interessati ai file e conservava i registri delle sequenze di tasti.

L’ammontare dei dati rubati è risultato colossale. Su internet è stata divulgata la prima parte delle informazioni compromettenti tre giorni prima della seduta del Partito Democratico. Le informazioni rese disponibili al pubblico hanno screditato il comitato nazionale del partito: si era creata l’impressione che inizialmente fosse di parte contro Bernie Sanders, concorrente principale della Clinton come candidato dei democratici. Il fatto si è concluso con le dimissioni del presidente del comitato. La seconda parte dei dati è stata divulgata poche ore dopo che Barack Obama aveva accusato la Russia di spionaggio informatico e i media americani avevano pubblicato informazioni compromettenti riguardo a Trump, nelle quali lui si vantava dei suoi metodi di approccio alle donne.

Nel primo caso i documenti rubati e la corrispondenza furono pubblicati da un hacker che lavora da solo e che si presenta come Guccifer 2.0, nel secondo caso, da WikiLeaks. Un mese dopo i democratici persero le elezioni.

“Il mondo del crimine informatico è apolitico” riconosce l’utente del segmento europeo della darknet Vicious, che ha rilasciato un commento a “Lenta.ru”, dopo aver saputo della preparazione dell’articolo tramite un intermediario “Ma abbiamo seguito con interesse quello che dicevano negli Stati Uniti riguardo a questi eventi. È importante per la comprensione dell’ammontare dei mezzi informatici che il governo ha a disposizione in questo settore. Purtroppo bisogna sottolineare che nessuna informazione concreta è stata fornita e tutti i riferimento ai “russi” si basano su “informazioni segrete dell’Agenzia di sicurezza nazionale”.

 

“Attacchi di tale misura possono forse essere attuati senza l’aiuto e senza essere commissionati da un intero Stato? Certo. Naturalmente, alla teoria del 2016 che tutto sia stato effettuato da un hacker solo, non credo neppure io”

               Vicious, Utente della darknet

Due anni più tardi, le accuse da parte dell’America che gli attacchi ai sistemi fossero organizzati dagli hacker associati alla Russia, si sono basate su un fatto: dopo l’effrazione della rete di uno dei candidati al Senato degli Stati Uniti, i suoi visitatori venivano reindirizzati a una risorsa in cirillico. Le elezioni si sono quindi svolte su uno sfondo di continue accuse alla Russia.

Negli Stati Uniti e nei Paesi alleati ritengono che Donald Trump sia stato eletto Presidente con l’aiuto dei russi.

Nel 2020 sono seguite nuove accuse. Esse potevano essere attribuite alla lotta elettorale tra democratici e repubblicani: Joe Biden costruì parzialmente la sua campagna sul fatto che Trump fosse diventato Presidente solo grazie alle ingerenze della Russia. Inoltre, secondo alcuni rappresentanti della parte americana, alla vigilia delle successive elezioni, accanto agli “hacker russi” iniziarono a intromettersi nella politica interna degli Stati Uniti anche i criminali informatici cinesi e iraniani. Alla fine del 2020 sono avvenuti potenti attacchi alle agenzie governative degli Stati Uniti, durante i quali diverse agenzie sono state colpite contemporaneamente.

A quel punto, i media americani hanno scritto del coinvolgimento dei russi in tutti questi attacchi come di un fatto provato. Hanno rafforzato la loro posizione tramite dati dei servizi segreti, tuttavia in cinque anni non è stata presentata nemmeno una prova univoca: tutte le informazioni che potrebbe verificare i fatti dell’ingerenza degli “hacker russi” nelle elezioni hanno continuato ad essere denominate segrete. Di conseguenza l’intelligence americana ha riconosciuto che non c’è nessuna prova diretta dell’influenza degli “hacker russi” nei risultati elettorali.

La posizione delle autorità americane si è rivelata essere abbastanza comoda per i colleghi russi: non è affatto difficile contestare le dichiarazioni di un rivale che non ha prove. Nel corso di qualche anno la parte russa ha limitato le sue risposte alle accuse utilizzando frasi pungenti, che sono risuonate sia da parte del segretario per i rapporti con la stampa del Presidente, Dmitrij Peskov, sia dal rappresentante ufficiale del Ministero degli affari esteri Marija Zacharova, sia dal leader russo Vladimir Putin. È però più difficile capire perché tutte le dichiarazioni di Washington siano rimaste infondate.

Dove i russi hanno davvero lasciato tracce, è negli incidenti con le compagnie americane nel 2021. All’inizio è finito sotto attacco il più grande oleodotto statunitense Colonial Pipeline (gli hacker hanno ricevuto come riscatto come minimo 5 milioni di dollari) a causa del quale quattro Stati americani hanno dichiarato lo stato di emergenza. Di questo attacco sono stati incolpati i criminali informatici del gruppo Dark Side. A questo è seguito l’attacco alla compagnia IT Kaseya che fornisce e gestisce software da remoto. Centinaia di loro clienti si trovavano nella zona attaccata. Le autorità degli Stati Uniti hanno dato la responsabilità di ciò che è accaduto al gruppo di hacker REvil. 

Il risultato degli attacchi è stata una telefonata di Biden a Putin con la richiesta di punire i criminali, alla quale è seguita l’improvvisa scomparsa dalla darknet dei migliori gruppi di hacker russi. Poi il Presidente degli Stati Uniti ha fatto pervenire al suo collega russo una lista di quei settori economici americani che non devono essere attaccati. Per questo i media occidentali non ritengono che REvil e DarkSide siano collegati con i servizi speciali russi. 

Il primo “hacker russo”, hooligan alla AvtoVAZ

I veri hacker oggi sono membri di organizzazioni serie con una struttura chiara, una gestione costruita in verticale, con fonti di finanziamenti attendibili e propri dipartimenti di vendita, progresso e sviluppo. Ma tutti è iniziato, come in ogni attività pericolosa, con dei romantici solitari. Molti di loro sono finiti in carcere, ma alcuni avventurieri solitari sono riusciti non solo a finire nelle liste dei criminali più ricercati, ma anche a restare liberi per molti anni. 

Comunque, il primo hacker russo famoso (condannato) non è un criminale informatico ma un hooligan-parassita, offeso dalla dirigenza della AvtoVAZ per aver infranto la promessa di aumentare la sua posizione nell’azienda e il suo stipendio. Nel 1983 Murat Urtembaev cambiò di proposito le impostazioni del programma che controllava il nastro trasportatore, e a causa di ciò il gigante togliattiano restò fermo per tre giorni. Urtembaev fu condannato ad un anno e mezzo con la condizionale e ricevette una multa. Inoltre, l’organizzatore dell’attacco fu retrocesso da programmatore a fabbro.

1.5 anni con la condizionale

ricevette l’hacker sovietico Murat Urtembaev per aver nuociuto alla AvtoVAZ

La prima grande violazione nella quale furono coinvolti i russi avvenne subito dopo la ripartizione dell’Unione Sovietica. Il microbiologo di San Pietroburgo Vladimir Levin riuscì a violare i conti della corporazione dell’americana Citibank e nel corso di tre mesi dell’anno 1994 a portare via , secondo varie stime, dai 2,8 ai 10 milioni di dollari. Alla fine quasi tutto ciò che era stato rubato tornò alla banca e Levin, dopo uno sfortunato tentativo di far perdere le sue tracce, venne trovato e processato a New York, venendo condannato a una pena detentiva che iniziò a scontare praticamente dal momento dell’annuncio della sentenza del tribunale. Nel 1998 Levin fu deportato dagli Stati Uniti e le sue tracce si persero. Comunque, gli “hacker russi” dopo anni hanno riconosciuto che in ogni caso Levin potrebbe essere diventato un giocattolo nelle mani di più seri professionisti dei gruppi internazionali.

“O si è nascosto o l’hanno ucciso”

L’hacker più importante, comparso poco dopo il periodo d’oro dei crimini informatici, si chiama Evgenij Bogačev, e lavorava con il nickname di lucky12345. Lui e i suoi complici dell’Ucraina e della Gran Bretagna crearono il virus tristemente noto come Gameover ZeuS, che ha attaccato varie imprese americane e cittadini negli ultimi dieci anni. L’importo totale delle perdite non è ancora stato conteggiato, ma quasi certamente supera i 100 milioni di dollari.

Il ransomware infettava le reti delle vittime e dopodiché richiedeva un riscatto: i privati cittadini potevano disfarsene con qualche centinaio di dollari, per le compagnie finanziarie la somma era molto più alta. L’hacker ha tuttora una pagina propria nella sezione dei più ricercati criminali dell’FBI, e per informazioni riguardo a dove si trova vengono offerti tre milioni di dollari.

100 milioni di dollari

“guadagnati” con l’aiuto del suo virus dall’”hacker russo” Evgenij Bogačev.

 

“Lucky12345 è scomparso dalla darknet a metà dello scorso decennio” ha raccontato a “Lenta.ru” l’amministratore di una delle risorse utilizzate per acquistare e vendere malware. “Non si può dire che lui fosse un utente attivo di qualche forum, ma appariva periodicamente sotto diversi nickname, alcuni dei quali erano conosciuti solo da alcuni prescelti. Ovviamente, Bogačev è l’élite, e i metodi utilizzati da lui erano piuttosto innovativi per quel periodo. I nostri fratelli in armi americani ritengono che sia stato catturato in Russia e abbia fatto un accordo di cooperazione con l’intelligence per evitare una condanna. Non posso dire che sia improbabile, è una versione piuttosto convincente”.

Evgenij Bogačev è ricercato dall’FBI già da molti anni. Non aiuta a trovarlo neppure la ricompensa promessa di tre milioni di dollari.

“Questa versione non è molto convincente” è in disaccordo Vicious “Il periodo degli specialisti del livello di Bogačev è passato da un pezzo, anche se noi parliamo ancora di eventi dai quali è passato quasi un decennio. Allora la strategia più redditizia consisteva nell’effettuare grandi e massicci attacchi fulminei, progettati per un beneficio momentaneo e lasciando molte tracce dietro di sé. Adesso, siccome il livello degli specialisti di sicurezza informatica è cresciuto, e gli ex hacker lavorano per la sicurezza delle compagnie e dei Paesi, bisogna agire in modo più attento:   penetrare di soppiatto nelle reti altrui e restarvi per anni senza essere notati, rubando non denaro ma informazioni sensibili.  I metodi di lavoro di Bogačev non sembrano suggerire che avrebbe successo nella nuova realtà dei fatti. Probabilmente, o si è nascosto o è stato ucciso”.

 

Gli USA sono stati attaccati già degli anni ‘90

Il primo grande attacco degli “hacker russi” agli Stati Uniti avvenne un paio di anno dopo l’attacco di Levin alle reti Citibank. L’incidente ricevette la denominazione romantica di “Moonlight Maze”( “Labirinto al chiaro di luna”). Nel corso di alcuni anni dei criminali sconosciuti rubarono dei dati dal Pentagono, dalla NASA, dal Ministero dell’energia degli Stati Uniti e da scienziati militari e civili. Secondo i calcoli della parte lesa, in tutto gli aggressori rubarono così tanti dati che se venissero stampati sarebbe necessaria una risma di carta da mezzo chilometro. Nell’attacco è stata trovata una “traccia russa”:  gli hacker non nascosero abbastanza accuratamente uno degli indirizzi IP, ed esso apparteneva ad un utente russo.

Questo attacco è diventato uno dei primi al mondo ad essere inserito nella classe APT( Advanced Persistent Threat, ovvero persistente minaccia grave): la sua essenza è racchiusa nel fatto di penetrare nella rete della vittima e di sopravvivervi inosservati per alcuni anni. Oggi negli Stati Uniti si ritiene che negli anni ’90 solo un’organizzazione fosse capace di ciò: i servizi di intelligence internazionale.

A Washington ritengono di resistere agli attacchi degli “hacker russi” già da più di due decenni

Negli scorsi due decenni i metodi (e anche gli strumenti concreti di programmazione, seppur perfezionati) utilizzati nell’incidente Moonlight Maze, sono emersi in qualche altro attacco, il più significativo dei quali è diventato Turla, organizzato dall’omonimo gruppo.  Ciò è stato dimostrato dagli specialisti del “Laboratorio di Kaspersky” e da alcuni studiosi inglesi. Anche negli Stati Uniti, rammentando quello stesso indirizzo IP russo nel Moonlight Maze, sono giunti alla stessa conclusione sul coinvolgimento dei russi in decine di attacchi a soggetti governativi americani.

 

In Russia hanno promesso di rinunciare all’America

“Sembra che le relazioni degli hacker russi con gli ufficiali di Washington si stiamo riscaldando” dice l’hacker freelance Aleksej, alludendo alla recente entrata in scena nello spazio pubblico del gruppo BlackMatter, che si posiziona come nuovo leader della darknet.

Un membro anonimo dell’associazione ha dichiarato che lo scioglimento di DarkSide, REvil, Avaddon, BABUK sia collegato a cause geopolitiche. Secondo le parole di Aleksej, è stato la conseguenza dell’attività da parte di un gruppo di lavoro bilaterale russo e americano, che lotta contro i ransomware. L’hacker ha inoltre notato che BlackMatter seleziona accuratamente gli obiettivi e “non pianifica attacchi a soggetti critici dell’infrastruttura statunitense” per evitare di attirare l’attenzione su di sé, nonostante sia pronto a schierarsi contro le operazioni di attacco americane nello spazio informatico.

“Questa dichiarazione può essere interpretata da molti come il riconoscimento di un collegamento tra gli hacker, le agenzie GRU, SVR e altre agenzie governative russe” aggiunge Vicious. “Sembra  davvero un ordine dall’alto che è ora di rinunciare ad attaccare gli americani”. A beneficio di questa versione aggiunge anche che è trascorso troppo poco tempo tra la scomparsa dei gruppi di élite di hacker russi e la comparsa dei BlackMatter. “Probabilmente è stato solo un processo di rebranding. Ma non pensate che se dietro agli attacchi degli ultimi anni c’erano i russi, adesso loro smetteranno improvvisamente di farlo sotto richiesta di Biden. Penso che nuove dichiarazioni di Washington sugli “hacker russi” siano ancora un prospettiva futura, ma questo è solo un modo molto comodo per giustificare i propri errori”.

 

 

FONTE: Lenta.ru, 20 Agosto 2021 – di Artur Galeev

Traduzione a cura di Benedetta Ghitti

Russia in Translation

Siamo un progetto online che si prefigge di tradurre in maniera fedele ed imparziale articoli dalle principali testate giornalistiche della Federazione Russa. Informare al meglio, raccontare storie, un’ulteriore versione dei fatti per aiutare a capire il mondo russo. In traduzione.