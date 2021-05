Che cos’è Darkside, il gruppo hacker dietro l’attacco all’oleodotto americano

29 Maggio 2021 – 6:14

Negli anni ’90, il collasso dell’Unione Sovietica lasciò senza lavoro un elevato numero di ingegneri, programmatori e tecnici informatici. Dell’ambiziosa e imponente infrastruttura tecnologica sovietica (ben raccontata nel saggio Red Web) restarono solo le macerie e i professionisti del settore si ritrovarono alla deriva. Tre decenni più tardi, la situazione non è particolarmente cambiata: le giovani generazioni russe hanno a disposizione eccellenti corsi accademici di fisica, scienze informatiche e matematica, ma pochi sbocchi per mettere lavorativamente a frutto le competenze acquisite.

Per loro, insomma, niente aziende in stile Silicon Valley pronte a competersi a suon di stipendi a cinque zeri i migliori talenti fuoriusciti dalle università. “E che cosa vedono quando vanno online?”, si chiede, parlando con il New Yorker, il responsabile della sicurezza di Kaspersky, Sergey Golovanov. “Vedono che le loro competenze e abilità rendono possibile guadagnare milioni di dollari come se niente fosse. Una certa percentuale di queste persone decide allora che vale la pena di infrangere la legge”.

Se le aziende tecnologiche – con qualche eccezione – non sono ciò per cui la Russia è nota nel mondo, lo stesso non si può dire delle organizzazioni cybercriminali: dai gruppi direttamente supportati dal Cremlino, come APT29 o FancyBear, fino alle miriadi di organizzazioni che eseguono attacchi ransomware prendendo di mira grandi società, non si può certo dire che la Russia sia una nazione in cui i gruppi hacker scarseggiano.

Tra questi c’è anche DarkSide, il gruppo di cybercriminali responsabile, da ultimo, del clamoroso attacco a Colonial Pipeline, il più grande oleodotto USA, che ha rischiato di lasciare senza benzina metà della costa est statunitense. L’attacco – che ha sollevato parecchi segnali d’allarme, avendo colpito un’infrastruttura strategica – è stato condotto tramite ransomware, un tipo di malware che blocca l’accesso ai dati contenuti nel dispositivo colpito fino al pagamento di un riscatto, e ha bloccato le operazioni dell’oleodotto fino al pagamento di un riscatto di 4,4 milioni di dollari in bitcoin.

Si tratta probabilmente del principale colpo messo a segno da questo gruppo hacker, che si è presentato al mondo nel novembre 2020, su un forum specializzato in lingua russa, con il seguente messaggio: “Abbiamo creato DarkSide perché non eravamo in grado di trovare il prodotto perfetto per noi. Adesso ce l’abbiamo”. Parole che sembrano uscite dalla presentazione di una qualche startup in cerca di finanziamenti e invece segnalavano la decisione di DarkSide di mettersi in proprio e non utilizzare più i servizi forniti da un altro celebre gruppo hacker, REvil.

E qui è il caso di fare un’importante distinzione: DarkSide, come REvil e altri, offre il cosiddetto ransomware-as-a-service. Vale a dire che non è lei a occuparsi di eseguire l’attacco hacker vero e proprio (condotto invece da gruppi partner), ma si occupa invece di fornire il codice informatico necessario a effettuare l’attacco, di gestire in maniera professionale la negoziazione con la vittima e di accordarsi per i dettagli relativi al pagamento, sobbarcandosi anche quegli aspetti “sociali” che spesso e volentieri non rientrano nelle abilità classiche degli hacker. A fronte di questi servizi, DarkSide richiede una parcella che va dal 25%, per i riscatti inferiori al milione di euro, al 10% per quelli che invece lo superano. Per incentivare al pagamento, nella maggior parte di questi attacchi vengono anche sottratti i dati sensibili di un’azienda, con la minaccia di diffonderli nel caso in cui il pagamento non venga effettuato per tempo.

Quanto si guadagna con un’attività del genere? Un’analisi condotta dalla società specializzata in sicurezza delle criptovalute, Elliptic, ha portato all’individuazione del portafoglio digitale – ovviamente anonimo – in cui DarkSide custodisce i bitcoin ricevuti. Da marzo a oggi, compreso il pagamento di Colonial Pipeline, in questo portafoglio sono confluiti qualcosa come 17,5 milioni di dollari. Visti i guadagni, non stupisce che questa organizzazione, come le altre più importanti, si comporti come una vera e propria società, con tanto di ufficio stampa e azioni benefiche (recentemente hanno donota 20mila dollari a due organizzazioni no-profit) per posizionarsi come delle specie di Robin Hood. DarkSide ha addirittura un codice di condotta che impedisce loro di attaccare scuole, organizzazioni no-profit, ONG e realtà socialmente rilevanti.

Se non bastasse, le negoziazioni vengono condotte nel modo più professionale possibile. La Reuters ha raccontato come in una di queste trattative (la vittima era l’agenzia di viaggio CWT) gli hacker avessero offerto un 20% di sconto per il pagamento puntuale, avessero lasciato aperta la chat anche in seguito al pagamento – nel caso in cui la società avesse avuto difficoltà a recuperare i dati criptati – e come il tono fosse sempre stato all’insegna della professionalità; come se si stesse discutendo di un rimborso con la propria assicurazione.

Ma per tutte le realtà che operano sul ruolo russo, la regola aurea è soprattutto una: mai attaccare aziende appartenenti a nazioni dell’ex Unione Sovietica. A partire ovviamente dalla Russia. Nel caso di DarkSide, il codice del malware è addirittura in grado di verificare le lingue utilizzate nelle postazioni attaccate; se individua il russo, non si attiva e si auto-cancella. La ragione è ovvia: le forze dell’ordine russe tendono a chiudere un occhio verso gli hacker che colpiscono solo obiettivi stranieri e al di fuori della sfera d’influenza del Cremlino. Non solo: i servizi segreti russi spesso considerano queste realtà più delle risorse che delle minacce, sfruttandone per esempio le azioni per facilitare le loro operazioni di spionaggio.

Questa volta, però, DarkSide potrebbe aver esagerato. Il 14 maggio, il sito internet dell’organizzazione è andato offline e loro stessi hanno dichiarato di aver perso l’accesso a molti dei loro strumenti di comunicazione e pagamento. Non solo: il forum specializzato in cybercrime XSS ha deciso di bannarli. DarkSide è arrivata addirittura a scusarsi per l’azione (intrapresa peraltro contro una struttura socialmente rilevante, e che quindi potrebbe aver violato il loro codice di condotta), spiegando che in futuro avrebbero analizzato meglio la situazione prima di agire.

L’attacco contro Colonial Pipeline, pur avendo portato loro profitti milionari, rischia di trasformarsi in un boomerang. Secondo molti esperti, l’organizzazione probabilmente si ritirerà dietro le quinte per qualche tempo in attesa che le acque si plachino, per poi riemergere con un nuovo nome. Proprio come fanno le grandi aziende dopo aver affrontato un grave scandalo.

The post Che cos’è Darkside, il gruppo hacker dietro l’attacco all’oleodotto americano appeared first on Wired.

Fonte: Wired