Smantellato gruppo di cybercriminali, in azione le polizie di 31 Paesi: 500mila computer infetti al giorno

0
crimine informatico

ROMA – Vasta operazione internazionale contro il crimine informatico.

E’ stata smantellata una organizzazione criminale internazionale che ha gestito per anni una delle botnet più grandi e pericolose del mondo.

5 le persone arrestate, 37 le perquisizioni, 39 i server sequestrati ed altri 221 inibiti per provvedimento dell’autorità Giudiziaria. L’operazione si pone come la più grande mai eseguita con la tecnica del c.d. sinkholing per neutralizzare le botnet, e non ha precedenti per dimensioni, con oltre 800.000 domini sequestrati, inviati al sinkhole o bloccati.

La Polizia Postale e delle Comunicazioni ha preso parte ad una vasta operazione internazionale di contrasto al crimine informatico coordinata da Europol ed Interpol, che ha visto impegnate, oltre all’FBI statunitense, anche le polizie informatiche altri 30 Paesi dei cinque continenti.
L’operazione, che aveva come nome in codice “Avalanche” (“Valanga”), ha portato allo smantellamento di un’organizzazione criminale internazionale che gestiva una piattaforma ingegnerizzata allo scopo precipuo di lanciare attacchi massivi a livello globale tramite malware (codici malevoli) e per campagne di reclutamento dei cosiddetti “money mules” (corrieri di denaro), che ha causato perdite monetarie stimate nell’ordine di svariate centinaia di milioni di euro in tutto il mondo, nonostante un calcolo preciso sia alquanto difficile a causa dell’elevato numero di tipologie di malware gestite dalla piattaforma.

Il successo di una tale operazione su larga scala si è basato sull’impegno globale che ha visto il supporto cruciale di magistrati e investigatori di 30 Paesi.
Per garantire la massima efficacia sullo scenario operativo internazionale, Europol ha allestito una sala operativa nella sua sede dell’Aia, in Olanda, presso la quale i Paesi partecipanti all’operazione hanno distaccato propri qualificati rappresentanti, che a loro volta hanno assicurato lo scambio info-operativo h24 con il quartier generale dell’amministrazione di appartenenza.
Tra di essi anche gli investigatori del Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (C.N.A.I.P.I.C.) del Servizio Polizia Postale e delle Comunicazioni, che a sua volta ha garantito il coordinamento delle successive attività su tutto il territorio nazionale attraverso i propri Compartimenti regionali.
Le investigazioni hanno consentito di accertare che i gruppi criminali che operavano congiuntamente dalle diverse parti del globo utilizzavano l’infrastruttura di “Avalanche” dal 2009 per condurre attività legate alla diffusione di malware, phishing e spam. Ogni settimana venivano inviate a vittime ignare più di 1 milione di email con allegati o link malevoli.
Si è calcolato che ogni giorno la rete “Avalanche” abbia coinvolto oltre 500.000 computer infetti in tutto il mondo.
Le indagini sono iniziate nel 2012 in Germania, nella Bassa Sassonia, dopo che un encryption ransomware (il cosiddetto Windows Encryption Trojan), aveva infettato un numero considerevole di sistemi informatici, bloccandone l’accesso agli utenti.
Milioni di sistemi informatici privati e aziendali sono stati infettati dal malware, consentendo ai criminali che gestivano la rete di raccogliere un enorme numero di password bancarie e di credenziali di posta elettronica.
Con queste informazioni, i criminali sono stati in grado di eseguire bonifici dai conti delle vittime verso tutto il mondo. I proventi venivano quindi reindirizzati verso conti nella disponibilità dei criminali attraverso un’infrastruttura parallela (in gergo definita double fast flux infrastructure ), creata appositamente per mettere al sicuro i frutti delle attività illecite.

E’ proprio grazie a questa tecnica, che offre maggiore resistenza ai takedown e agli interventi delle forze dell’ordine, che l’infrastruttura di “Avalanche” fosse diventata così popolare tra i criminali informatici.
Le campagne attuate attraverso la rete comprendono circa 20 differenti tipologie di malware quali goznym, marcher, matsnu, urlzone, xswkit, e pandabanker.
Gli schemi per il trasferimento di denaro operanti su “Avalanche” riguardavano reti altamente organizzate di “muli” che acquistavano beni con i fondi rubati, consentendo ai cyber-criminali di riciclare il denaro acquisito attraverso gli attacchi a mezzo di malware o con altri metodi illeciti.
La preparazione a questa operazione congiunta è durata diversi mesi, durante i quali gli esperti hanno analizzato oltre 130 TB di dati acquisiti e identificato la struttura del server della botnet, permettendo in fase esecutiva la chiusura di migliaia di server e, di fatto, il collasso dell’intera rete criminale.
Il riuscito takedown di tale infrastruttura è stato realizzato anche con il determinante supporto della Shadow Server Foundation, del Registrar of Last Resort, dell’I.C.A.N.N. e dei registri di domini coinvolti nella fase di rimozione. Steven Wilson, Direttore di EC3, ha detto: “Avalanche è stata un’operazione altamente significativa che ha coinvolto organi di polizia, magistrati e risorse del settore industriale a livello internazionale, tutti impegnati nella lotta al crimine informatico. La complessa natura transnazionale delle indagini ha richiesto la cooperazione internazionale tra enti pubblici e privati a un livello senza precedenti, per poter avere la meglio su criminali informatici altamente qualificati. Avalanche ha dimostrato che attraverso questa cooperazione possiamo tutti insieme rendere internet un luogo più sicuro per i nostri cittadini e le nostre aziende”.

Gabriele Launhardt, vice delegato nazionale per la Germania presso Eurojust, ha detto: “La giornata di oggi ha rappresentato un momento significativo nella lotta contro la criminalità informatica ed esemplifica l’importanza strategica di Eurojust nel promuovere la cooperazione internazionale. Insieme alle autorità tedesche, ai nostri partner internazionali e con il sostegno di Eurojust ed EC3, “Avalanche”, una delle botnet più grandi e pericolose del mondo, è stata definitivamente bloccata nell’azione più vasta mai realizzata prima con la tecnica del sinkholing”.

Roberto Di Legami, Direttore del Servizio Polizia Postale e delle Comunicazioni, ha dichiarato: “Da tempo sosteniamo che la risposta al cybercrime non può che passare attraverso il partenariato e la collaborazione internazionale. L’odierna operazione ne rappresenta la conferma più evidente. Solo una perfetta sintonia tra le polizie cibernetiche di così tanti Paesi poteva portare ad una operazione così complessa, che ha visto 39 server sequestrati ed altri 221 inibiti contestualmente in 30 Paesi diversi, in quanto compromessi per garantire l’efficacia della particolarissima tecnica del c.d. “double fast flux”, mentre in tempo reale si raccoglievano i risultati delle perquisizioni e degli arresti operati in altri 11 Paesi.”

“Il fast flux è una tecnica utilizzata nelle botnet per nascondere il phishing e i siti di malware attraverso una miriade di dispositivi in rete previamente compromessi dall’inoculazione di codici malevoli, che agiscono da intermediari involontari e che cambiano in continuazione. In questa indagine, però, ci siamo confrontati con una tecnica ancora più sofisticata, conosciuta come “double-flux”, che proprio per la sua capacità di assicurare alla rete di malware uno strato addizionale di ridondanza e di sopravvivenza, ha negli ultimi tempi attirato l’attenzione di diversi gruppi criminali basati in Russia, Romania, Lituania, Ucraina e altri paesi dell’Est Europa, specializzati per gli attacchi alle istituzioni finanziarie, un business fiorentissimo per centinaia di miliardi che si pone indubbiamente tra le principali minacce informatiche, presenti e e future.”
“Purtroppo, il take down della piattaforma non ripulirà i numerosissimi computer degli utenti della rete in oltre 180 Paesi, dai malware in essi inoculati. Per tale problematica, la Specialità sta lavorando su una progettualità che porterà a brevissimo al rilascio di una piattaforma alla quale gli utenti colpiti da malware potranno “loggarsi” e, tramite un paio di semplici passaggi, potranno scaricare gratuitamente il software di pulitura”.

No comments

dodici + sedici =