venerdì 17 maggio 2013

Anonymous, tutti i dettagli dell'operazione Tango Down

Il comunicato stampa ufficiale delle forze dell'ordine.

Operazione “TANGO DOWN”
tango downRoma, 17 maggio 2013 - La Procura della Repubblica di Roma e la Polizia postale e delle Comunicazioni hanno portato a termine un’articolata operazione, frutto di lunghe e laboriose indagini che hanno permesso di delineare un’associazione criminale, che operava alle spalle del movimento “anonymous”, resasi nel tempo responsabile di numerosi attacchi ai danni dei sistemi informatici di importanti infrastrutture critiche, siti istituzionali e di importanti aziende.
4 persone sono state sottoposte alla misura cautelare degli arresti domiciliari, mentre altri 6 indagati sono stati denunciati a piede libero per il reato di associazione per delinquere finalizzata al danneggiamento di sistemi informatici, all’ interruzione illecita di comunicazioni informatiche e telematiche, all’accesso abusivo a sistemi informatici, nonché alla detenzione e diffusione di codici di accesso a sistemi informatici.

Eseguite perquisizioni in diverse città italiane. Sequestrati numerosipersonal computer e altri dispositivi utilizzati per commettere gli attacchi.
Determinante, in tale contesto, e’ stato il ruolo del personale del Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche – cnaipic del Servizio Polizia Postale e delle Comunicazioni impegnato per mesi in indagini sotto copertura finalizzate all’identificazione dei soggetti celati dietro fantasiosi nickname e che spesso agivano con la sicurezza garantita dai vari servizi di anonimizzazione.
L’indagine
Nella mattinata odierna, è stata avviata la fase conclusiva dell’operazione “Tango Down”[1], un’articolata attività di indagine coordinata dal Procuratore Aggiunto Giancarlo Capaldo e dal Sostituto Procuratore Perla Lori della Procura della Repubblica di Roma, condotta dagli investigatori specializzati del Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche – CNAIPIC del Servizio Polizia Postale e delle Comunicazioni, che hanno dato esecuzione a quattro ordinanze di applicazione degli arresti domiciliari e proceduto a 10 perquisizioni sul territorio nazionale.
I provvedimenti cautelari, emessi dal GIP del Tribunale di Roma, sono stati eseguiti nei confronti di quattro cittadini italiani, vertice dall’associazione criminale: G.P. di anni 34 originario della provincia di Lecce, L.L. di anni 20 originario della provincia di Bologna, S.L. di anni 28 originario della provincia di Venezia, e J.R. di anni 25 originario della provincia di Torino.
Sono invece state denunciate a piede libero, altre 6 persone facenti parte anch’esse dell’associazione per delinquere, che nel tempo si è resa responsabile di diversi, seri attacchi informatici.
A loro carico, nel corso dell’indagine, sono stati acquisiti concreti e inequivocabili elementi probatori che hanno permesso di ricostruire un complesso scenario criminale in cui gli indagati erano soliti muoversi per portare a termine ripetuti attacchi informatici ai sistemi di numerose amministrazioni pubbliche ed aziende private, dalle quali venivano illecitamente carpite credenziali di autenticazione (userid e password) ed altre informazioni sensibili, successivamente pubblicate sul web. A tal proposito, si riportano gli eventi delittuosi contestati agli indagati, in danno di strutture sia pubbliche che private, responsabilità accertata nel corso delle indagini e riscontrate dall’attività sotto copertura:
1) Presidenza del Consiglio dei Ministri;
2) Ministero della Difesa;
3) Polizia di Stato;
4) Carabinieri;
5) Corpo delle Capitanerie di Porto – Guardia Costiera;
6) Comune di Torino;
7) Sindacato Autonomo della Polizia Penitenziaria;
8) Banca d’Italia;
9) Vitrociset S.p.A.;
10) Enav S.p.A.;
11) Banco di Lucca S.p.A.;
12) Università LUISS Guido Carli;
13) Trenitalia S.p.A.;
14) Equitalia S.p.A.;
15) Enel S.p.A.;
16) S.I.A.E.
Le indagini sono state avviate nel 2011.
Quello che in realtà è emerso nel corso delle attività è stata l’enucleazione di un vero e proprio consorzio criminale che più che integrarsi ed essere quindi parte del movimento internazionale Anonymous ne sfruttasse il “marchio”.
I vertici dell’organizzazione non disdegnavano infatti reclutare altri soggetti, magari meno esperti, per compiere attacchi più banali che ne permettessero l’identificazione da parte degli investigatori, o addirittura arrivavano a proporsi come fonte per arrivare a denunciare altri soggetti e “giustificare” con la collaborazione il loro prendere parte attiva agli attacchi.
In un mondo in cui la comunicazione è tutto, appare significativo come diversi tra gli indagati abbiano cercato di acquisire notorietà e visibilità, non esitando a rilasciare interviste, anche in video.
Da alcune intercettazioni appare chiaro come mentre alcuni fossero mossi dalla volontà di aderire alle istanze del più ampio movimento internazionale Anonymous, coscienti nel creare una sorta di “cellula di avanguardia”, per altri invece traspariva il secondo fine: quello di creare problemi ad aziende come hacker o meglio come “cracker” per proporsi successivamente come soluzione al problema.
In tale contesto un ruolo centrale è stato assunto dalle attività di indagine sottocopertura (strumento previsto dalla legge 155/2005) durate per vari mesi, nell’arco delle quali gli ufficiali di P.G., fingendosi per l’appunto pericolosi cracker, sono riusciti a penetrare il mondo sotterraneo del web e ad acquisire la fiducia dei componenti dell’associazione per delinquere.
Aggirandosi con discrezione in un ambiente popolato dai più disparati e peculiari soggetti, gli investigatori del CANIPIC sono riusciti a dare un nome reale ai vari anonimi nickname dietro cui si celavano gli autori degli attacchi, nonché a raccogliere molteplici prove del loro coinvolgimento negli stessi.
Approfondimenti
Le tecniche di attacco utilizzate
Si riassumono di seguito le modalità messe in atto dai membri dell’associazione per compiere i diversi attacchi in danno dei sistemi informatici, presenti in contesti di assoluto rilievo, sia del settore pubblico che di quello privato. Il primo passo consisteva nella scelta del target, più o meno in linea con le eventuali motivazioni del movimento..
Spesso però in una sorta di vera e propria “inversione metodologica” venivano prima selezionati gli obiettivi in virtù delle rilevate vulnerabilità, individuati con vere e proprie attività di ricerca a tappeto e sui quali autonomamente erano avviate attività di information gathering[2].
Solo successivamente veniva scelta una motivazione ad hoc in linea con le istanze del movimento, che in un certo qual modo giustificassero la rivendicazione dell’attacco.
Successivamente, attraverso chat private IRC[3], il cui accesso è riservato soltanto ai consociati, veniva organizzato l’attacco nelle sue modalità tecniche e predisposta la relativa rivendicazione da pubblicare successivamente in rete.
Il tipo di vulnerabilità che hanno tentato di sfruttare sin da subito al fine di accedere abusivamente ai sistemi informatici è la cosiddetta Sql Injection, per la cui ricerca venivano utilizzati tool automatici quali Havij, Kerinci, Acunetix, Nikto, ecc..
Questo tipo di vulnerabilità, se presente all’interno della pagina web obiettivo, consente all’attaccante di sottrarre informazioni sensibili memorizzate sul database preposto alla gestione dei contenuti del sito.
In gergo, l’attaccante effettua un dump[4] dei nomi delle tabelle del database e subito dopo il dump del contenuto di ogni singola tabella.
Generalmente, tra le tabelle del database è presente anche una tabella contenente gli username e le password, che consente di regolamentare l’accesso degli utenti ai contenuti del sito.
Una volta entrati in possesso delle credenziali, si procede quindi a decifrare la password degli utenti che hanno più diritti, ovvero degli utenti amministratori che hanno il controllo completo della gestione del database e del sito web.
In questo modo si riesce ad avere accesso ad aree riservate del server web e ad inviare, modificare o cancellare file.
Qualora tale possibilità fosse preclusa, ovvero se non si riuscisse a decifrare le password di accesso degli utenti con i diritti di amministrazione, si tenta con altre tecniche di attacco, di inviare file di comando verso il server web.
Tali file consistono in software chiamate in gergo tecnico shell[5], programmati in linguaggio PHP[6] che contattate attraverso un comunebrowser web, consentono di avere il controllo completo della macchina attaccata.
Il passo successivo consiste, ove possibile, nel sostituire la homepage del sito, effettuando quello che in gergo è chiamato defacement, cancellando, in alcuni casi, le tracce delle attività illecite portate a compimento.
Segue poi la documentazione di ogni singolo passo dell’attacco, utile per la successiva pubblicazione in internet della rivendicazione, corredata dai dati sottratti compreso, l’elenco degli utenti del sito stesso, il tutto accompagnato da un vero e proprio comunicato con l’indicazione delle prove dell’attacco ovvero dei link a cui è possibile accedere per visionare o scaricare i dati sottratti.
Tali informazioni, generalmente, vengono scritte in dei pad[7] , alcuni dei quali rimangono privati e conosciuti solo ai membri del gruppo, altri vengono resi pubblici e resi generalmente accessibili.
Le informazioni, quindi, sono condivise successivamente attraverso il web sia mediante account costruiti ad hoc sui principali social network, (tra i più utilizzati twitter e facebook), nonchè sul blog http://anon-news.blogspot.com.
Dall’esame dei file di log dei sistemi informatici attaccati e dal modus operandi del gruppo, se ne desume l’alto livello tecnico dei membri del sodalizio criminale.
Un’altra tipologia di attacco informatico a cui gli indagati facevano ricorso è rappresentata dal cosiddetto ddos[8].
Il ddos consiste nell’inviare molti pacchetti di richieste ad un sistema che fornisce un determinato servizio internet, ad esempio un sito web, saturandone le risorse fino a renderlo non più in grado di erogare il servizio stesso.
Il ddos presuppone l’utilizzo di numerose macchine attaccanti, per tale motivo spesso vengono utilizzate delle botnet, ovvero reti di dispositivi informatici collegati ad internet e infettati da malware, controllate da un’unica entità il “botmaster”.
Alcuni degli indagati detenevano il comando di alcune botnet, con migliaia di computer c.d. Zombie, che consentivano loro una smisurata “potenza di fuoco”.
Il CNAIPIC
Nel quadro delle strategie di protezione delle infrastrutture critiche informatizzate, l’istituzione, all’interno del Servizio Polizia Postale e delle Comunicazioni, del Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC) si propone come modello operativo di assoluto carattere innovativo, anche in relazione al contesto internazionale.
Ai sensi dell’art. 7 bis della legge 31 luglio 2005 n. 155 (che ha convertito con modificazioni il decreto legge 27 luglio 2005 n. 144, recante “Misure urgenti per il contrasto del terrorismo internazionale”) il CNAIPIC è incaricato, in via esclusiva, dello svolgimento di attività di prevenzione e contrasto dei crimini informatici, di matrice criminale comune, organizzata o terroristica, che hanno per obiettivo i sistemi informatici o le reti telematiche a supporto delle funzioni delle istituzioni e delle aziende che erogano o gestiscono servizi o processi vitali per il Sistema Paese, convenzionalmente definite infrastrutture critiche informatizzate e che, sempre ai sensi della citata norma di legge, sono state individuate come tali con il decreto del Ministro dell’interno del 09 gennaio 2008.
Il CNAIPIC interviene, quindi, in favore della sicurezza di una gamma di infrastrutture connotate da una criticità intersettoriale (in virtù dei sempre più stretti vincoli di interconnessione ed interdipendenza tra i differenti settori infrastrutturali) e su una tipologia di minaccia che può avere tanto un’origine extraterritoriale quanto una proiezione ad “effetto domino” e transnazionale delle sue conseguenze.
Il modello operativo si fonda, inoltre, sul principio delle partnership “pubblico-privato”: il CNAIPIC, infatti, assume (mediante un Sala operativa disponibile h24 e 7 giorni su 7) una collocazione centrale all’interno di un network di realtà infrastrutturali critiche (istituzionali ed aziendali), ed opera in stretto collegamento con organismi di varia natura (nazionali ed esteri), impegnati tanto nello specifico settore quanto sul tema della sicurezza informatica, con i quali intrattiene costanti rapporti di interscambio informativo e provvede (attraverso Unità di intelligence e di analisi) alla raccolta ed all’elaborazione dei dati utili ai fini di prevenzione e contrasto della minaccia.
Il suddetto rapporto di partenariato trova il proprio momento di formalizzazione nella stipula di specifiche convenzioni; dal 2008 ad oggi sono state stipulate convenzioni, tra le altre, con i seguenti enti ed aziende: ENAV, Terna, ACI, Telecom, Vodafone, FFSS, Unicredit, RAI, Consob, ANSA, ATM – Azienda Trasporti Milanesi, ABI, Banca d’Italia, SIA SSB, INTESA SANPAOLO, ENEL, FINMECCANICA, H3G, ATAC, EXPO 2015.
[1] Espressione usata in gergo militare per indicare che un nemico è stato abbattuto. La stessa viene usata dai membri di Anonymous quando un loro attacco va a buon fine.
[2] Processo di raccolta di informazioni
[3] Internet Relay Chat
[4] Il dump è un riepilogo della struttura delle tabelle di un database e/o dei relativi dati.
[5] Una shell è un programma che permette agli utenti di interagire con il sistema, impartendo comandi e richiedendo l'avvio di altri programmi.
[6] Linguaggio di programmazione utilizzato principalmente per sviluppare applicazioni web lato server ma può essere usato anche per scrivere script a riga di comando
[7] L’equivalente di un blocco appunti ma in formato elettronico. Un esempio è rappresentato dal sito pastebin.com oppure dal sito piratepad.net
[8] Sigla inglese che sta per Distributed Denial of Service, letteralmente: negazione del servizio

Nessun commento:

Posta un commento