lunedì 20 maggio 2013

Blitz della Polizia contro Anonymous e gli hacker passano al contrattacco


Il sito internet del tribunale di Roma è stato hackerato oggi e reso irraggiungibile. L'attacco, rivendicato da Anonymous Italia, ha tutte le caratteristiche di una vendetta, dopo gli arresti domiciliari di venerdì scorso ai danni di quattro presunti hacker. L'operazione che ha portato agli arresti si chiama "Tango Down" ed è stata condotta dagli uomini del Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche della Polizia postale.

I quattro arrestati dalla polizia postale farebbero parte del gruppo di Anonymous che avrebbe attaccato anche i siti di Vaticano, governo, Banca d'Italia, Polizia postale e Carabinieri. Dopo aver compiuto gli attacchi, gli hacker offrivano alle vittime consulenza informatica per riparare i danni che loro stessi avevano creato. E' uno degli aspetti emersi nel corso dell’inchiesta avviata nel 2011 a seguito di alcuni attacchi informatici compiuti con la sigla Anonymous.

Gli agenti della Polizia Postale, diretti da Ivan Gabrielli, sono risaliti ai responsabili dopo aver analizzato piccole tracce che avevano lasciato in rete.  Il gruppo infatti si scambiava le comunicazioni attraverso chat private e blog. Per navigare utilizzava sistemi di anonimato riuscendo a ottenere indirizzi noti con l'acronimo di IP del tutto nulli che hanno reso più difficile l'indagine.

A loro carico, nel corso dell'indagine, sono stati acquisiti concreti e inequivocabili elementi probatori che hanno permesso  di ricostruire un complesso scenario criminale  in cui gli indagati erano soliti muoversi per portare a termine ripetuti attacchi informatici ai sistemi di numerose amministrazioni pubbliche ed aziende private, dalle quali venivano illecitamente carpite credenziali di autenticazione (userid e password) ed altre informazioni sensibili, successivamente pubblicate sul web.


La Polizia Postale ha riassunto le modalità messe in atto dai membri dell'associazione per compiere i diversi attacchi in danno dei sistemi informatici. Il primo passo consisteva nella scelta del target, più o meno in linea con le eventuali motivazioni del movimento. Spesso però in una sorta di vera e propria "inversione metodologica" venivano prima selezionati gli obiettivi in virtù delle rilevate vulnerabilità, individuati con vere e proprie attività di ricerca a tappeto e sui quali autonomamente erano avviate attività di information gathering.

Solo successivamente veniva scelta una motivazione ad hoc in linea con le istanze del movimento, che in un certo qual modo giustificassero la rivendicazione dell’attacco. Successivamente, attraverso chat private  IRC, il cui accesso è riservato soltanto ai consociati, veniva organizzato l’attacco nelle sue modalità tecniche e predisposta la relativa rivendicazione da pubblicare successivamente in rete.

Il tipo di vulnerabilità che hanno tentato di sfruttare sin da subito al fine di accedere abusivamente ai sistemi informatici è la cosiddetta SQL Injection, per la cui ricerca venivano utilizzati  tool automatici quali Havij, Kerinci, Acunetix, Nikto, ecc.. Questo tipo di vulnerabilità, se presente all'interno della pagina web obiettivo, consente all'attaccante di sottrarre informazioni sensibili memorizzate sul database preposto alla gestione dei contenuti del sito.

In gergo, l'attaccante effettua un dump dei nomi delle tabelle del database e subito dopo il dump del contenuto di ogni singola tabella. Generalmente, tra le tabelle del database è presente anche una tabella contenente gli username e le password, che consente di regolamentare l’accesso degli utenti ai contenuti del sito. Una volta entrati in possesso delle credenziali, si procede quindi a decifrare la password degli utenti che hanno più diritti, ovvero degli utenti amministratori che hanno il controllo completo della gestione del database e del sito web.

In questo modo si riesce ad avere accesso ad aree riservate del server web e ad inviare, modificare o cancellare file. Qualora tale possibilità fosse preclusa, ovvero se non si riuscisse a decifrare le password di accesso degli utenti con i diritti di amministrazione, si tenta con altre tecniche di attacco, di inviare file di comando verso il server web. Tali file consistono in software chiamate in gergo tecnico shell, programmati in linguaggio PHP che contattate attraverso un comune browser web, consentono di avere il controllo completo della macchina attaccata.


Il passo successivo consiste, ove possibile, nel sostituire la homepage del sito, effettuando quello che in gergo è chiamato defacement, cancellando, in alcuni casi, le tracce delle attività illecite portate a compimento. Segue poi la documentazione di ogni singolo passo dell'attacco, utile per la successiva pubblicazione in internet della rivendicazione, corredata dai dati sottratti compreso, l'elenco degli utenti del sito stesso, il tutto accompagnato da un vero e proprio comunicato con l’indicazione delle prove dell’attacco ovvero dei link a cui è possibile accedere per visionare o scaricare i dati sottratti.

Tali informazioni, generalmente, vengono scritte in dei PAD (Portable Application Description), alcuni dei quali rimangono privati e conosciuti solo ai membri del gruppo, altri vengono resi pubblici e resi generalmente accessibili. Le informazioni, quindi, sono condivise successivamente attraverso il web sia mediante account costruiti ad hoc sui principali social network, (tra i più utilizzati Twitter e Facebook), nonchè sul blog http://anon-news.blogspot.com.

Dall'esame dei file di log dei sistemi informatici attaccati e dal modus operandi del gruppo, se ne desume l’alto livello tecnico dei membri del sodalizio criminale. Un’altra tipologia di attacco informatico a cui gli indagati facevano ricorso è rappresentata dal cosiddetto DDos. Il DDos consiste nell'inviare molti pacchetti di richieste ad un sistema che fornisce un determinato servizio internet, ad esempio un sito web, saturandone le risorse fino a renderlo non più in grado di erogare il servizio stesso.

Il DDos presuppone l'utilizzo di numerose macchine attaccanti, per tale motivo spesso vengono utilizzate delle botnet, ovvero reti di dispositivi informatici collegati ad internet e infettati da malware, controllate da un’unica entità il "botmaster". Alcuni degli indagati detenevano il comando di alcune botnet, con migliaia di computer c.d. Zombie, che consentivano loro una smisurata "potenza di fuoco".

Uno degli hacker destinatario delle ordinanze di arresto era stato intervistato nel corso di un servizio della trasmissione Le Iene andato in onda il primo marzo del 2012. Nel l'intervista, dedicata proprio ad Anonymous e agli attacchi compiuti ad istituzioni italiane, il giovane con il volto coperto dalla maschera del personaggio del film "V per vendetta" asseriva di aver compiuto una intrusione informatica ai danni della società Vitrociset, azienda italiana che gestisce siti delle forze dell’ordine.

Nessun commento:

Posta un commento