Nikita e la rete di Gozi

Read More

Nel luglio del 2010 il ventiseienne Nikita Kuzmin sta girando l’Europa su una BMW Serie 6 cabriolet. In una pausa del viaggio dichiara ad un amico di essere innamorato: come pegno del suo sentimento vuole regalare alla fidanzata un servizio fotografico su Playboy Russia. Una foto lo ritrae sorridente al volante, con un taglio di capelli alla moda e indosso una polo bianca. Non è più il ragazzino timido che la madre ha fatto adottare al suo ex marito, il famoso cantante russo Vladimir Kuzmin, cresciuto all’ombra dei figli di quell’uomo. Nikita sta vivendo un momento di grazia: è un milionario rispettato nella sua comunità virtuale. Non solo è l’inventore del Gozi, uno dei più potenti virus mai concepiti nella storia delle frodi informatiche, ma anche il creatore del modello organizzativo del cybercrime moderno, adottato da chi ruba dati per accedere a conti bancari online e da chi mette in atto estorsioni informatiche. Il cybercrime come servizio ha democratizzato e fatto crescere in maniera esponenziale la criminalità su internet. Gran parte del merito va a Nikita.

Il modello del cybercrime

Agli inizi del ventunesimo secolo finisce per sempre l’epoca “eroica” del crimine informatico, quando un giovane geniale (di solito un maschio) nella sua stanza da letto crea un virus invisibile che infetta i computer di tutto il mondo. Oggi il sistema è costituito da gruppi ben strutturati e specializzati, come ha mostrato Jonathan Lusthaus nel suo fondamentale libro Industry of Anonymity: Inside the Business of Cybercrime (Harvard, 2018). Il leader è l’organizzatore di un progetto aziendale, può avere qualche conoscenza tecnica, ma il lavoro di codifica viene fatto da altri. Le frodi informatiche richiedono competenze diverse, che non possono essere tutte presenti in una sola persona. Il Gozi è l’esempio perfetto: il virus fu pensato nel 2005 da Kuzmin, che chiese aiuto ai quasi coetanei Deniss “Miami” Calovskis (nato in Lettonia ma residente in Russia) e al rumeno Mihai Ionut Paunescu, noto online col soprannome di ‘Virus’. Nikita voleva creare il più potente virus bancario mai esistito. Kuzmin era il CEO, l’imprenditore visionario. Deniss era il geniale programmatore che scriveva i codici, mentre Mihai gestiva i computer infettati da remoto (si tenga presente che Deniss e Mihai non sono mai stati condannati per questi reati). Altri complici venivano assunti per compiti specifici. Gli spammer organizzavano l’invio di milioni di e-mail civetta e decine di persone prelevavano il denaro nei paesi delle vittime, soprattutto in Europa e negli Stati Uniti. Secondo informazioni raccolte da Jonathan Lusthaus e dai suoi coautori per un saggio di prossima pubblicazione sull’organizzazione interna del gruppo, “c’era anche un manager che veniva pagato dai 50.000 ai 60.000 dollari l’anno”. Il gruppo di Nikita usava il sistema di messaggi istantanei Jabber e parlava russo. Dopo mesi di lavoro, il progetto era pronto e il prodotto poteva entrare nel mercato, misurandosi con potenti concorrenti, come il virus Zeus.

Gozi, il supervirus

Gozi si diffondeva attraverso una e-mail che aveva in allegato un file in formato PDF. L’ignaro destinatario cliccava sul PDF, credendo che fosse un documento legittimo e, silenziosamente, il virus penetrava nel computer e rubava le credenziali per accedere ai conti bancari online (‘mai aprire gli allegati’ e ‘mai cliccare su link sospetti’ sono i due consigli principe per proteggersi). Nikita e i suoi uomini dedicavano ore ad assicurarsi che il messaggio di posta elettronica fosse scritto in un inglese perfetto – e per questo reclutavano traduttori nel dark web – e che gli allegati fossero credibili.

Il tempo dedicato a questo scopo non era minore di quello destinato a scrivere i codici. Una innovazione tecnica fondamentale del Gozi è stata quella di includere un modulo (detto hVNC) che permetteva di stabilire una connessione diretta e segreta con il computer infetto. Il criminale aveva così accesso a tutti i dati della vittima, come ad esempio i suoi cookies o i siti internet visitati. Questi dati venivano usati insieme alle credenziali per svuotare il conto corrente. Il controllo della macchina infetta era totale e allo stesso tempo impercettibile. Quindi l’hacker poteva vendere tutte le informazioni che riguardano la sua vittima. Per un certo periodo sullo schermo il conto continuava ad apparire in attivo, mentre era già vuoto. Secondo quanto ha dichiarato il pubblico ministero per il distretto sud di New York Preet Bharara nel 2013, Gozi ha infettato milioni di computer ed è “uno dei virus che hanno prodotto il maggior danno finanziario nella storia della criminalità informatica.” Milioni di dollari di clienti e aziende americani e europei, Italia inclusa, sono scomparsi nel nulla. Questo tipo di virus continua ad essere il più richiesto nei forum criminali, come dimostra un rapporto di IntSights del 2020 dedicato al cybercrime russo. 

Servizio 76

La divisione del lavoro paga: per almeno due anni, Gozi è passato del tutto inosservato. Quando, nei primi mesi del 2007, un analista ha sospettato che ci fosse qualcosa di strano in un computer, ha condotto un test: cinque su sette dei programmi antivirus più diffusi non identificavano il file di Gozi come sospetto. Nikita non si limitò a creare un potentissimo virus attraverso la sua azienda criminale, ma pose le basi per quello che diventerà il modello organizzativo standard del cybercrime del ventunesimo secolo. Nikita lo chiamò “Servizio 76” (quel numero era il soprannome di Nikita online). Le frodi informatiche non venivano compiute direttamente dai membri della gang, ma questi vendevano un servizio a clienti con cui comunicavano attraverso un portale sicuro. In una chat del 2010, Nikita scriveva ad un potenziale cliente:

Nikita: Perché mai hai bisogno di Zeus (ndr il virus in competizione con Gozi)? Usa il mio (ndr Gozi). È molto più figo, non viene bruciato dai proattivi (ndr gli antivirus) e funziona con win7 e vista (ndr i sistemi operativi Window 7 e Vista).

Cliente: Quanto mi costa il tuo virus?

Nikita: 2mila al mese, incluso nel prezzo anche il servizio di supporto. Tu devi solo caricare il virus. Ho una squadra amministrativa efficiente

La prestazione era personalizzata. Il cliente indicava, ad esempio, la banca che voleva attaccare e Nikita creava una squadra che scriveva codici specifici per quel sito internet e per i clienti di quel particolare istituto di credito. Servizio 76 generava una versione personalizzata del Gozi, compresi i codici che servivano per passare inosservati dagli antivirus. Infine, metteva a disposizione l’infrastruttura che sarebbe poi servita al cliente per gestire le centinaia di computer infetti, con un’interfaccia facilissima da usare, modello ‘punta e clicca’. Diventava così possibile gestire senza difficoltà i computer infettati e manipolare l’interazione delle vittime con le loro istituzioni bancarie. Il servizio includeva anche l’accesso a siti sicuri dove parcheggiare i programmi e tutto quello che serviva per mettere in atto gli attacchi (il cosiddetto bulletproof hosting). Una divisione dell’azienda di Nitika si occupava anche di selezionare e istruire le persone, in genere russi con visti turistici o studenti, cui venivano trasferiti automaticamente i fondi rubati dai conti correnti stranieri e che dovevano incassare i contanti per poi spedirli al committente. L’impresa generava profitti eccezionali, ma presto emersero i primi dissapori. È anche possibile che Nikita pensasse di aver guadagnato abbastanza. In ogni caso intorno al 2009 prese una decisione: ‘Mi ritiro’. Come farebbe un qualunque imprenditore di successo, mise l’azienda in vendita. Nikita cedette i codici base a diversi clienti, con la promessa di mantenere una percentuale dei profitti futuri. Non è un caso che dopo poco lo ritroviamo a viaggiare su una BMW decapottabile in Europa, immaginandosi la fidanzata senza veli su un numero di Playboy.

Il business delle estorsioni

Nel settembre del 2014, un rapporto dell’European cybercrime centre sancisce che il modello inaugurato da Nikita è diventato lo standard: l’industria del cyber è ora un business strutturato e commercializzato. Ad esempio, il boss del gruppo Evil Corp, specializzato in estorsioni informatiche come quella che ha colpito la Regione Lazio nel 2021, ha rubato circa 100 milioni di dollari in oltre 40 paesi, attaccando almeno otto aziende nella lista dei Forbes 500. Seguendo il modello inaugurato da Nikita nei primi anni di questo secolo, anche Evil Corp non è l’autore delle operazioni, ma vende gli strumenti necessari a clienti fidati. Questo modello, denominato ‘cybercrime-come-servizio’, produce innovazione, risolve problemi complessi, riduce i rischi e genera grandi profitti. Soprattutto, i gruppi che creano i virus non sono gli stessi che poi li diffondono. Questi ultimi non hanno quasi nessuna competenza tecnica e si possono trovare in paesi diversi dai produttori. 

Il ruolo dei “forum” sul web

La banda del Gozi operava all’interno di un vasto ecosistema che comprendeva moltissime altre parti e che facilitava la sua missione. Come in tanti altri paesi, l’underground criminale russo emerse negli anni Novanta, al momento della nascita dell’internet. In questa fase preistorica, uno sparuto gruppo di hacker si ritrovava su chat antidiluviane (i cosiddetti ‘private bullettin boards’, o BBS) dove discuteva dei modi migliori per scaricare gratis i programmi di scrittura e di gestione dati. Le discussioni erano caotiche e spesso finivano in accuse personali e pesanti offese reciproche. La fase successiva, che iniziò verso la fine degli anni Novanta, consistette nella creazione di forum facilmente accessibili su internet. Il primo forum russo degno di nota si chiamava HackZone.ru, esiste ancora oggi ma non è più attivo da diversi anni.

Un amministratore organizzava il traffico, ma i temi trattati erano ancora troppi. Ben presto i forum si specializzarono, alcuni in discussioni di natura prettamente tecnica, altri si concentrarono su attività particolari, come il furto di numeri di carte di credito. E così nacque nel 2000 Carder.org. Il sito era ben strutturato e ogni discussione che eludesse quel tipo particolare di frode era bandita. Diversi altri siti specializzati in furti di carte di credito sono emersi in seguito, il più noto oggi si chiama exploit.in. Nel 2019 exploit.in aveva più di 45 mila iscritti, con una media di 1.300 commenti al giorno, secondo le stime dell’analista Andrey Yakovlev. Se avete un dubbio su come scrivere un codice, oppure cercate un conto corrente dove depositare soldi rubati, qui troverete la risposta e, se non siete soddisfatti, potete spostarvi nel forum Club2crd, dove al momento sono attivi 120mila iscritti (fonte IntSights).

Accedere a questi siti è facile, gli amministratori sono gentili, e alcuni operano in chiaro sul web e quindi si possono trovare facilmente attraverso Google, mentre altri si nascondono nel dark web, a cui è possibile accedere attraverso il programma Tor, il quale assicura anche l’anonimato. Questi ultimi si nascondono nel dark web per permettere a visitatori di altri paesi di non venire individuati dalle polizie occidentali. In uno studio di qualche anno fa per TrendsLab, l’analista Max Goncharov aveva censito 78 forum attivi in Russia. Le autorità permettono a questi siti di agire pressoché indisturbati, a patto che le vittime non siano cittadini o istituzioni russi. All’inizio della loro carriera, Nikita e i suoi complici erano molti attivi sui forum criminali per pubblicizzare il Gozi e vendere ‘Servizio 76’. Una volta iniziata la discussione, gli utenti passano poi ad utilizzare sistemi di comunicazione rapida criptati. Le due App più in auge oggi sono Telegram e, appunto, Jabber, quella usata anche dal gruppo di Nikita.

Identità virtuale e credibilità

Chi interagisce su questi forum usa, per forza di cose, un soprannome. Quello di Nikita era 76, il quale divenne anche il brand del suo servizio. È fondamentale per ogni criminale costruirsi una reputazione come persona affidabile, con cui si possano prendere accordi credibili. In questo mondo, tale reputazione è tutta racchiusa nel nome che si usa online. Per questo nessuno può permettersi che si infanghi la propria identità virtuale. A volte però questi individui si trovano costretti a dover cambiare soprannome per evitare di essere identificati dalle autorità, e quindi si vedono costretti a perdere il capitale di reputazione accumulato dal proprio brand interamente racchiuso nel nome. In un caso, qualcuno era talmente dispiaciuto di aver dovuto cambiare soprannome che scrisse in un forum: “Qui mi chiamo solv3nt, ma in altri forum sono noto col nome di dentrino.” L’hacker cercava così di non perdere del tutto il lavoro di accumulazione di credibilità fatto nel passato.

Ogni forum ha una sezione riservata per iscritti fidati. Per accedervi bisogna passare attraverso un vaglio abbastanza rigoroso. A parte raccomandazioni e a volte la richiesta di sostenere un vero e proprio ‘test’ di ammissione, un criterio fondamentale è la conoscenza del russo. L’FBI ha diversi analisti con una buona conoscenza della lingua, in genere americani nati in Unione Sovietica, ma spesso non sanno rispondere a domande di cultura televisiva recente o di vita quotidiana. Vengono così identificati come residenti negli States che cercano di farsi passare per cittadini della Russia di oggi.

Una lingua speciale

Un aspetto affascinante dei forum dell’underground russo è l’emergere di una lingua speciale, che utilizza termini inglesi ma li russifica. Ad esempio, il sistema di comunicazione Jabber diventa Zhaba. In alcuni casi, parole ordinarie assumo uno significato speciale. Due delle più note e iconiche in questo mondo sono Karton e Kartofel. Nel russo corrente la prima significa ‘scatola di carta’ e la seconda ‘patata’, mentre nel linguaggio criminale indicano la carta di credito. Paypal diventa palka, che letteralmente significa ‘bastone’. Per quanto un analista esterno possa imparare questo gergo, esso cambia in continuazione e fare errori è facile.

Oltre ai forum dove i criminali si incontrano, discutono e pianificano attacchi, in Russia vi sono decine di siti organizzati come degli Amazon illegali, dove si possono comprare merci standardizzate di tutti i tipi, senza dover interagire con nessuno. Mentre le discussioni sui forum possono andare avanti per settimane e finire in un nulla di fatto, qui la transazione è standardizzata, con pagamenti rigorosamente in bitcoin. Nati intorno al 2010, la crescita esponenziale di questi siti data da circa il 2013. Il sito più famoso, che ha operato dal 2012 al 2017 (un tempo lunghissimo in questo universo) è il Russian Anonymous Marketplace.

Il suo creatore, noto al mondo col soprannome di DarkSide, aveva proibito ogni propaganda politica e la vendita di armi e di pornografia, e i clienti dovevano essere russi. Il sito ha chiuso i battenti nel 2017 per una decisione autonoma dei nuovi amministratori e non a causa di un intervento delle autorità (si dice per frodare alcuni clienti, ma non vi è alcuna certezza). Questo mercato virtuale è stato presto sostituito da Hydra Market, che ha più di 1.740 aree specializzate, dove vengono venduti droga, documenti falsi, denaro contraffatto e quasi ogni tipo di merce digitale. Il sito è cresciuto negli ultimi tre anni del 640% e, secondo una stima, controlla il 75% del mercato, con transazioni del valore di 1,37 miliardi di dollari (in bitcoin) nel 2020, un risultato ottenuto in piena pandemia. Hydra Market, che si trova sul dark web, nasce come un portale per la vendita di droga, ma presto diversifica i prodotti.

Il glossario

Gestito da undici amministratori, offre anche un servizio di cerca-lavoro, con (al momento) quasi duemila offerte. Un ruolo particolarmente richiesto è quello di KladMan (letteralmente ‘tesoriere’), una persona che depositi droga o contanti in posti fisici designati, in buste chiuse ermeticamente, che possano essere recuperate dal cliente, come spiega un rapporto recente del centro di ricercar Flashpoint. Hydra ha insomma introdotto un pionieristico servizio Uber del cybercrime: la merce arriva dove vuoi, senza passare attraverso le poste o un corriere privato, entrambi inaffidabili anche se per ragioni diverse. Per ridurre il rischio di infiltrazioni da parte di agenti delle polizie straniere, chi vende su Hydra può incassare i propri proventi solo dopo aver portato a termine 50 transazioni e deve mantenere un conto di non meno di 10mila dollari col sito. Diversi studi hanno mostrato come i prezzi per merci e servizi illegali sono scesi in maniera significativa negli ultimi dieci anni. Il mercato è altamente competitivo e i servizi offerti di ottima qualità.

L’underground criminale russo ha un’ulteriore caratteristica unica al mondo. È il luogo dove si trovano decine di luoghi che vendono informazioni riservate. Molti analisti hanno sottolineato come il livello di accuratezza dei dati lì raccolti sia straordinario. Si possono ordinare dossier dettagliatissimi su una persona, dovunque essa si trovi, e ottenere il suo passaporto, foto, storia matrimoniale, dati sui viaggi internazionali, registrazioni di video di sorveglianza, richieste di estradizione, atti di proprietà, storia professionale e quant’altro. Il sito da seguire si chiama Probiv (che in russo significa ‘cercare’). Nel 2019 aveva più di 50.000 argomenti di discussione e 41mila iscritti. I dossier che vengono offerti da Probiv includono anche le chiamate telefoniche e la geolocalizzazione della persona. È possibile anche comprare passaporti falsi, certificati e diplomi universitari mai ottenuti. Probiv è il supermarket ideale per le agenzie di spionaggio a corto di risorse, ma anche per un partner geloso o un concorrente. L’agenzia Digital Shadows ha trovato su Probiv anche clienti americani.

I Paesi cybercriminali

C’è una pericolosa trappola analitica in cui cadono molti osservatori. Essi pensano che le attività di cybercrime avvengano esclusivamente nella sfera virtuale. Esiste invece anche una importante dimensione offline, fatta di incontri faccia a faccia, in un luogo fisico. Ad esempio, i membri centrali del gruppo di Nikita si conoscevano personalmente. Ad un certo punto di una conversazione intercettata nel 2010, Nikita scrisse, “beh, vediamoci di persona e parliamone”. Alcuni paesi tollerano questa criminalità più di altri ed è dunque più facile incontrarsi in un caffè o in un ristorante di Mosca anziché di New York.  Infatti, gli attacchi informatici non sono distribuiti uniformemente nel mondo. Alcuni paesi, per ragioni storiche e politiche, sono centri nevralgici del crimine informatico. Secondo un rapporto del Center for Strategic and International Studies (CSIS), dal 2006 al 2018, dalla Cina sono partiti almeno 108 attacchi significativi. Dalla Russia ne sono partiti almeno 98 dal 2006 (per ‘significativì il rapporto intende attacchi che hanno fatto, ognuno, più di un milione di dollari di danni). In questa graduatoria il terzo posto spetta all’Iran, seguito da Corea del Nord e India.

Secondo il Kaspersky Lab, nel periodo luglio-settembre del 2020, il 23,52% delle email spam sono partite dalla Russia, il primo Paese in questa graduatoria. Offrire una spiegazione accurata di questa lista è un compito complesso. In alcuni casi vi sono ragioni storiche e di debolezza delle forze di contrasto. Ad esempio, il dittatore rumeno Ceausescu promosse la connettività internet del suo Paese e lo studio dell’informatica negli anni Ottanta. Finito il regime, in Romania erano presenti molti giovani ben istruiti, un paese ben connesso, ma allo stesso tempo povero. La Romania divenne così un importante centro delle frodi su internet legate alla vendita di merci fittizie nell’Unione Europea. La pittoresca cittadina di Râmnicu Vâlcea, situata a 179 kilometri a nord-est di Bucarest, è stata soprannominata Hackerville dalla rivista Wired nel 2011 (nel 2018 HBO ha prodotto una serie televisiva con lo stesso titolo dedicata a Râmnicu Vâlcea). Gang specializzate erano in grado di derubare centinaia di clienti che volevano affittare case per le vacanze o comprare merci su eBay. Diversi poliziotti e politici corrotti sono stati arrestati a Râmnicu Vâlcea proprio perché proteggevano alcune di queste gang. Forse non è un caso che Mihai, il presunto complice di Nikita, fosse nato in Romania. La dimensione locale e offline permette al cybercrime di prosperare online. Questa tolleranza rende possibile alla criminalità informatica di evolvere e diventare estremamente sofisticata, simile in tutto e per tutto ad un’industria legale.

Il caso Russia

In Russia, questi gruppi operano relativamente impuniti, a patto che rispettino certe regole di fondo e, quando necessario, aiutino a promuovere gli interessi strategici del paese. Il Paese è salito agli onori delle cronache perché accusata di aver permesso il furto delle email del Partito Democratico americano nel 2016, condotto, secondo fonti occidentali, da un gruppo noto col nome di APT29. Oltre ai Democratici e al Pentagono, APT29 si è distinto per intrusioni nei siti del ministero degli Affari Esteri norvegese, del Partito Laburista britannico e del ministero della Difesa olandese, oltre a portali ufficiali in Germania e Corea del Sud. Insieme ad un gruppo simile, l’APT28, che si è specializzato in operazioni contro paesi e organizzazioni nel Caucaso e alla Nato, è in grado di diffondere virus molto difficili da individuare. Sia APT29 che APT28 creano programmi fatti su misura per una aggressione specifica, quindi richiedono un impegno significativo di risorse.

Per gli analisti di IntSights, il gruppo è una emanazione diretta dei servizi segreti (FSB e SVR). Non a caso l’FBI ha inserito nella lista dei criminali informatici most wanted due ufficiali dell’esercito russo e, nel 2018, ha formalmente accusato sette funzionari del servizio di informazione delle forze armate (GRU) per gli attacchi informatici contro siti ufficiali americani. Si sospetta fortemente che anche il Sandworm Team, nato nel 2009 e specializzato in azioni contro l’Ucraina, sia legato ai servizi dell’esercito, anche se sembra meno sofisticato di APT29 e APT28 (ovviamente i servizi occidentali non sono meno attivi nell’attacco a siti russi e ad altri paesi non amici). Eppure, è bene chiarire che il tipo di relazione tra cybercrime e autorità non è affatto quello di simbiosi. Quando necessario, gli hacker sembrano essere disposti a rendersi utili. Una volta finito il compito, tornano alla loro professione principale. Lo stesso gruppo Gozi è stato accusato dalle autorità USA di aver penetrato circa sessanta computer della NASA.

La protezione politica ha un valore inestimabile. All’inizio del 2021, un gruppo noto col nome di Bugatti, che era stato compromesso dalle autorità americane, fu fortemente criticato in un forum sul dark web. I messaggi accusavano Bugatti di aver reclutato membri non russi e quindi di essersi esposto all’infiltrazione dell’FBI. Bugatti, che si era specializzato nelle estorsioni, aveva anche fatto l’errore di mantenere alcuni server fuori dalla Russia. “La madre Russia ti aiuterà. Ama il tuo Paese e non ti succederà nulla!”, recita un messaggio di critica intercettato dalla compagnia di sicurezza informatica Advanced Intelligence. Nondimeno non vi è alcuna prova che le agenzie governative russe ricevano benefici materiali dal crimine informatico. Semplicemente chiudono un occhio e, in caso di bisogno, chiedono aiuto.

La linea Putin

Nonostante la presenza di un underground cyber che non ha equivalenti al mondo per complessità e sofisticazione, il controllo esercitato dal governo su internet è sempre più draconiano. Le autorità hanno installato programmi in ogni fornitore di servizi internet che permettono di accedere direttamente ai dati degli utenti, senza dover chiedere il permesso ad un magistrato. Il sistema, che si chiama SORM, è fornito dai servizi di sicurezza. La nuova versione, SORM 3, aumenta la capacità del governo di sorvegliare, raccogliendo, filtrando e memorizzando una ampia gamma di dati sui comportamenti online dei cittadini russi. La recente Legge sulla sovranità digitale (2019) permette al governo di disconnettere tutti gli utenti dall’internet, e quindi creare un grande muro tra il paese e il resto del mondo. Le autorità sostengono che la legge sia necessaria per proteggere l’internet da attacchi stranieri volti a disconnettere il paese.

La vita degli hacker che si oppongono al regime di Putin è molto difficile. Il gruppo più noto è la versione russa di Anonymous International, creato dal giornalista di opposizione Vladimir Anikeev. Attivo almeno dal 2013, è famoso anche col nome di Shaltai Boltai (il nome russo di Testo d’Uovo, un personaggio della filastrocca inglese di Mamma Oca). Nel 2014 e 2015 ha hackerato il twitter del Primo Ministro, diversi siti ufficiali e di figure pubbliche. Ma Anikeev è stato arrestato nel 2016 e da allora il gruppo è inattivo. Più fortuna ha avuto Ov1ru$, che nel 2019 ha rubato circa 7.5 Tetra Bytes di dati da agenzie di informazione russe, ma è probabile che l’attacco sia partito da un Paese terzo.

L’incontro dedicato alla cybersicurezza del presidente americano Joe Biden con il presidente russo Vladimir Putin. Ginevra, Svizzera, 16 giugno 2021 

Le risposte di Fbi e Gran Bretagna

Come è possibile combattere in maniera efficace la criminalità informatica? Uno studio dell’istituto Third Way pubblicato nel 2018 ha concluso che la probabilità di arrestare i colpevoli di attacchi informatici è tre su mille. Per gli attacchi estorsivi (ramsomware) la possibilità di successo è ancora più bassa. Una strategia tipica delle autorità americane consiste nel bloccare l’accesso ai forum o ai siti di compra-vendita di merci illegali. Questo avvenne in maniera clamorosa con la chiusura di Silk Road nel 2013 e la confisca di un miliardo di dollari in bitcoin. Una nota ufficiale dell’FBI comunica a chi visita quell’indirizzo internet che il sito è stato sequestrato. La polizia ha messo l’equivalente informatico dei sigilli sulla porta d’ingresso in una scena del delitto. Appena possono, le autorità arrestano i colpevoli, come in ogni altra indagine. Ma non è sempre detto che questa sia la strategia migliore. In ogni caso essa non ha alcuna possibilità di successo quando il server e i colpevoli si trovano in un paese che non ha intenzione di cooperare per ragioni geopolitiche.

Diversi ricercatori delle Università di Cambridge e di Oxford hanno suggerito in studi recenti strategie che non prevedono l’arresto o la chiusura del sito. L’idea è quella di intaccare la reputazione di venditori e compratori di merci illegali nel dark web. Le due strategie proposte consistono rispettivamente nel postare feedback falsi sulla qualità dei beni acquistati; e creare delle identità fittizie di fornitori di merce difettosa, nonostante agenti sotto copertura lascino feedback positivi. Questo gruppo di ricerca ha già cominciato a condurre esprimenti virtuali per testare se queste due strategie siano efficaci. I risultati preliminari sono incoraggianti. In presenza di queste strategie, i venditori si sono visti costretti a ridurre la qualità e il valore delle merci vendute. Il meccanismo di maggior successo consiste nello spargere voci infondate sull’affidabilità dei venditori. Quindi, oltre a cercare di arrestare i criminali e chiudere i loro siti, le polizie occidentali possono adottare tecniche più sottili, come quelle di inserire dosi di sfiducia negli scambi illegali. Tale approccio riesce a mettere in difficoltà anche chi opera in giurisdizioni dove il cybercrime è tollerato.

Nikita Kuzmin a bordo della sua BMW Serie 6 cabriolet 

Caduta e rinascita di Nikita

Una volta venduta l’azienda, Nikita decise di esplorare il vasto mondo, come Faust nella tragedia di Goethe (“Fuggine via! Via nel vasto mondo!”). Nel giugno del 2010 si trova in Svizzera durante la partita Svizzera-Honduras dei Mondiali di calcio, finita zero a zero. La squadra elvetica gioca malissimo e non passa il turno. “Qui è tutto una tragedia”, commenta con un amico. Alla fine di luglio è ancora in viaggio per l’Europa, con la sua nuova cabriolet. Un amico gli scrive chiedendo cosa ne ha fatto dell’Audi. “La Audi la uso in inverno, la cabrio è per l’estate …”. Posta alcune foto dei suoi viaggi sul sito russo YouDo, dove ha un profilo, oltre ad avere un secondo profilo sulla versione russa di Facebook. Qui si può anche trovare il suo indirizzo e-mail, che viene immediatamente hackerato. Sembra che Nikita abbia dimenticato una regola cardine del suo universo: più si condivide online, più si diventa vulnerabili. Comincia a credere di essere invincibile e non sospetta di essere un obiettivo per le autorità americane. Così commette errori. Ad esempio, durante il viaggio in Europa comunica in maniera non sicura a un cliente il suo numero di conto corrente, fornendo la prova diretta delle sue attività illegali. A novembre si trasferisce a Bangkok e, dopo quasi un mese in Tailandia, prende la decisione che gli costerà la libertà: il 27 novembre vola a San Francisco dove spera di partecipare a un convegno di informatica. Appena mette piede in territorio americano, viene arrestato. L’accusa chiede 95 anni di reclusione. Nikita segue il consiglio del suo avvocato (lo stesso che dopo qualche anno rappresenterà il figlio di Trump) e decide di collaborare: rivela i nomi dei due principali (presunti) complici e l’intera struttura del modello operativo di Servizio 76.

Mihai Ionut Paunescu viene arrestato in Romania nel 2012, con la prospettiva di passare 65 anni in galera, ma i giudici rumeni rifiutano di estradarlo e svanisce nel nulla. Anche Deniss Calovskis, il programmatore del virus Gozi, viene catturato in Latvia, con accuse che gli potrebbero costare 67 anni nelle carceri americane. Ma anche nel suo caso le autorità lettoni rifiutano l’estradizione. Nonostante questi insuccessi, la collaborazione di Nikita viene ripagata dai Federali e, nel 2016, Kuzmin viene condannato a risarcire alcune vittime per una somma di 6.9 milioni di dollari e al periodo di detenzione che ha già scontato. È di nuovo un uomo libero. Oggi è tornato a vivere in Russia. Nel frattempo, la giustizia americana è ancora alla ricerca degli altri membri della banda del Gozi. Nell’estate del 2021 un uomo tra i trenta e quaranta anni con una folta barba e una maglietta rossa si aggira per le strade di Bogotá. Dopo una breve indagine, si scopre che quell’uomo è Mihai. Quando il 29 giugno cerca di lasciare la capitale della Colombia, viene arrestato e oggi è in attesa di sapere se verrà estradato negli USA. Di nuovo rischia quasi un secolo dietro le sbarre.

I figli di Gozi

Nel frattempo, il Gozi si è trasformato in mille varianti e vive una vita propria, slegata da quella dei suoi creatori. Il piano di Nikita di vendere i codici e continuare a trarne un beneficio non ha funzionato. Ben presto, gli acquirenti sono stati a loro volta hackerati e i codici sono emersi nel dark web. Il miglior virus bancario mai creato è diventato di dominio pubblico. La struttura analitica della prima versione del Gozi è oggi presente in quasi tutti i programmi che servono a commettere furti di dati. I Gozi si sono moltiplicati in maniera esponenziale e hanno nomi quali Gozi Prinimalka, Gozi ISFB, Gozi CRM, Schnitzel Gozi, Goziv3, Neverquest, Rovnix, Vawtrack, Tepfer, Dapato, Ursnif, e molti altri ancora. Un articolo pubblicato da CheckPoint Research nell’agosto del 2020 si intitola, a ragione, ‘Gozi: il malware dai mille volti’. Nikita, che oggi ha cambiato vita, si è sposato e ha ripreso a viaggiare, ci ha avvolto in una tela di ragno che non si spezza.

BibliografiaJonathan Lusthaus, Industry of Anonymity: Inside the Business of Cybercrime, Harvard University Press, 2018.Jonatahn Lustaus et al., The Gozi Group: A Criminal Firm in Cyberspace?, 2021, manoscritto. Sono grato agli autori che mi hanno permesso di leggere e citare il loro testo ancora inedito.Jonathan Lusthaus e Federico Varese, ‘Offline and Local: The Hidden Face of Cybercrime’, Policing: A Journal of Policy and Practice, Volume 15, numero 1, marzo 2021, pp. 4–14.L. Sebagh, J. Lusthaus, E.Gallo, F. Varese, S. Sirur, Cooperation and Distrust in Cybercriminal Networks: An Experimental Study of Marketplace Disruption, manoscritto, 2021.
United States vs Nikita Vladimir Kuzmin, Sealed Complaint, 11 Cr 387 (LBS) 29 novembre 2010.Preet Bharara, Gozi Virus Press Conference, 23 gennaio 2013, trascrizione.United States vs Mihai Ionut Paunescu, Sealed Complaint, 13 Crim 41, 2013.Group IB Reports
Andrei Yakovlev, The Dark Side of Russia, IntSights Report, 2020.Russia’s Most Dangerous Cyber Threat Groups, IntSights Report, 2020.Max Goncharov, Russian Underground 2.0, TrendLabs, 2015.KrebSecurity Blog.Kaspersky Lab.European Cybercrime Centre, Report, 2014.I siti russiCarder.org = forum dedicato al furto di carte di credito. Nato nel 2000, il sito era ben strutturato e ogni discussione che eludesse quel tipo particolare di frode era bandita.
Exploit.in = forum dedicato al furto di carte di credito. Nel 2019 exploit.in aveva più di 45 mila iscritti, con una media di 1.300 commenti al giorno.
Club2crd = forum dedicato al furto di carte di credito. 120mila iscritti nel 2019.
Russian Anonymous Marketplace =sito simile ad Amazon, dove compare merci illegali, attivo dal 2012 al 2017.
HydraMarket = un Amazon illegale, con più di 1740 aree specializzate. Negli ultimi tre anni è crescito del 640% e controlla il 75% del mercato, con transazioni del valore di 1.37 miliari di dollari nel 2020. Vi si trovano quasi duemila offerte di lavoro.
Probiv = sito dedicato alla raccolta di informazioni riservate e personali. Nel 2019 aveva 50.000 argomenti di discussione e 41mila iscritti.
Evil Corp = specializzato in estorsione informatiche come quella che ha colpito la Regione Lazio nel 2021, ha messo in atto estorsioni per almeno 100 milioni di dollari in più di 40 paesi, attaccando almeno otto aziende nella lista dei Forbes 500.
Gli hackerAPT29 = gruppo di hacker a sfondo politico, si è distinto per intrusioni contro il Partito Democratico e Il Pentagono nel 2016, e contro siti del Ministero degli Affari Esteri norvegese, del Partito Laburista britannico e del Ministero della Difesa olandese, oltre a siti ufficiali in Germania e Corea del Sud.
APT28 = gruppo di hacker a sfondo politico, specializzato negli attacchi a paesi e organizzazioni nel Caucaso, in Europa dell’Est e dell’Ovest (soprattutto Francia e Germania) e alla Nato, è in grado di inserire virus (malware) difficili da individuare.
Sandworm Team = gruppo di hacker a sfondo politico, nato nel 2009 e ancora attivo, specializzato in attacchi all’Ucraina.
Anonymous International = creato dal giornalista di opposizione Vladimir Anikeev. Attivo almeno dal 2013, è famoso anche col nome di Shaltai Boltai (il nome russo di Testo d’Uovo, un personaggio della filastrocca inglese di Mamma Oca). Nel 2014 e 2015 ha hackerato il twitter del Primo Ministro, diversi siti ufficiali e di figure pubbliche. Anikeev è stato arrestato nel 2016 e da allora il gruppo è inattivo.
Ov1ru$ = gruppo di opposizione, nel 2019 ha rubato circa 7.5 Tetra Bytes di dati da agenzie di informazione russe, ma è probabile che operi dall’estero.