Email leak, a colloquio con gli hacker che hanno scoperto Anti Public. E già si parla di un nuovo archivio di dati rubati, più grande
Rumor chasing: a caccia di pettegolezzi. Infiltrati nei forum del deep web, pronti a raccogliere ogni confidenza, attenti a ogni battuta, surfando tra lo sberleffo e le richieste di aiuto, ecco come hanno fatto i ricercatori di D3Lab a trovare nel deep web il link di Anti Public, un archivio di 450 milioni di email rubate ospitato da un provider russo. L’archivio mondiale, pieno di indirizzi italiani e con tanto di password per accedere a mailbox e servizi come Skype e Facebook, ci ricorda ancora una volta che per il cyberspazio l’età dell’innocenza è finita.
La tecnica dei cacciatori di dati
“All’inizio di maggio, ci siamo imbattuti in frammenti di dialoghi e scambi tra i frequentatori del deep e del dark web a proposito di un dump chiamato Anti Public. Ha preso così l’avvio un’azione mirata di cyber intelligence.” Parla Denis Frati, fondatore e Ceo di D3Lab a capo del team di hacker bianchi che hanno svolto le ricerche. “Il filo delle indagini ci ha portato ad intessere una fitta trama di conversazioni con cracker (hacker malevoli, ndr.) ed esponenti della criminalità informatica e ci ha condotto, alla fine, ad un ambiente web underground che, ancora oggi, ospita uno degli archivi di dati rubati più grande finora scoperto.”
Dopo la notizia data da Repubblica, la Polizia Postale ha diramato un comunicato per dire che gli indirizzi erano vecchi e frutto di passate incursioni cyber. Forse per dire che è ormai inutile e per limitare il danno d’immagine per polizia, guardia di finanza, università e ministeri coinvolti?
Anti Public: un archivio datato?
Un archivio vecchio ma non troppo. L’archivio in effetti era già circolato in forme diverse con lo stesso nome, e pare essere il risultato della collezione di milioni di indirizzi email reali e password reali come chi scrive ha potuto verificare. Come è stato creato? Probabilmente inducendo ignari utenti a cliccare su email di phishing che reindirizzano verso watering hole, “pozzi avvelenati”, cioè siti che una volta visitati infettano il computer dell’utente, oppure, secondo Mirko Gatto, di Yarix, capofila delle ricerche in corso per Var Group “Attraverso attacchi strutturati con botnet, reti di computer zombie, cioè già infetti da cavalli di troia informatici, che si attivano a comando dei criminali, o forse i dati sono il frutto di databreaches, violazioni dei database non comunicati dalle aziende proprietarie.”
Le email italiane a rischio
Nell’archivio rubato ci sono le email di impiegati del Ministero del Tesoro, del Ministero degli esteri, delle ambasciate all’estero, di alcune università, dei parlamentari italiani, alcuni dei quali diventati ministri come Angelino Alfano, agli Esteri, appunto. Alcuni non sono più in carica, altri invece sì, frequentano il Transatlantico, parlano coi colleghi e stanno sempre con lo smartphone in mano da cui, immaginiamo, leggono pure le email e accedono i social. Per loro ammissione se sono obbligati a modificare la pwd lo fanno, ma non lo fanno per gli account di servizi a cui sono resgistrati con le email finite nel database. Nell’archivio ci sono pure le email del presidente del consiglio, Paolo Gentiloni e del capo dello stato Sergio Mattarella quando erano semplici deputati. Ci sono anche quelle di Obama e Bush, ma forse sono solo le email di qualche giocherellone che si è creato un indirizzo di posta col loro nome e il suffisso della Casa Bianca.
Le ipotesi da confermare
Le cose quindi potrebbero stare diversamente da quanto riferisce la Polizia Postale. Ma lo si capirà dopo un grosso lavoro di garbage scavenging, ovvero di dumpster diving, “rovistare nell’immondizia”, per scremare il grano dal loglio.
Alcuni hacker italiani, esperti di sicurezza, hanno storto il naso di fronte alle rivelazioni di 3DLab e Yarix, sostenendo che l’archivio era vecchio e noto. A distanza Denis Frati gli risponde: “Abbiamo avviato alcuni accertamenti trovando riscontro tra i nostri clienti disponibili allo scambio di informazioni e su alcuni blog internazionali molto specialistici e frequentati da esperti di cybersecurity e i nostri clienti non avevano ancora ricevuto notizia del problema.”
Cyberintelligence e Cybersecurity
“Probabilmente ci stavano lavorando per venderlo a pezzi. E non escludo che in parte l’archivio sia stato già venduto e rivenduto al miglior offerente” Dice Pierluigi Paganini CTO di CSE CybSec. “Oppure è il risultato di una faida nel cyberspazio, hacker che hanno rubato ad altri hacker.” Nel campo delle ipotesi ce n’é un’altra: un gruppo al soldo di un governo, che dopo aver fatto quello che voleva con email e pwd istituzionali, le ha “liberate” nel cyberspace per creare confusione, depistare le attenzioni, rendere difficile l’attribuzione degli attacchi perpetrati nel passato verso quelle email o attraverso di esse.
Perciò le cose potrebbero stare ancora peggio. Vi ricordate gli attacchi ai siti dei Ministeri degli Esteri e della Difesa? Chi può dire che non vi sia nessuna correlazione tra il furto delle email dei loro funzionari raccolte in Anti Public?
La vicenda potrebbe avere un seguito. Nei meandri della rete, nel deep web, già si vocifera di un altro archivio di dati rubati più grande, da 21 giga sotto forma di file torrent.