Lucciole per lanterne. Sì, perché anche i terribili hacker legati alla Russia, come LockBit, a volte sbagliano. O meglio, prima rivendicano l’avvenuto scacco matto a un colosso della pubblica amministrazione come l’Agenzia delle entrate, scatenando un comprensibile panico generalizzato e un furioso tam tam mediatico, poi precisano con un comunicato breve ma denso di significati [riportato da un noto blog specializzato come Red hot cyber, ndr] che a fare la rivendicazione non sono stati loro, ma un loro “affiliato”, che può voler dire tutto e niente.
Questa marcia indietro è arrivata nella tarda serata di ieri, lunedì 25 luglio, dopo che la Sogei – l’azienda preposta alla sicurezza informatica, tra gli altri, dell’Agenzia delle entrate – e l’Agenzia delle entrate stessa hanno rilasciato a loro volta due comunicati in cui assicuravano che no, non c’era stata nessuna intrusione nei loro sistemi.
Viene da chiedersi se allora si sia trattato di un bluff o se alla base dell’iniziale rivendicazione di ieri da parte dei cyber criminali di LockBit vi sia stato un equivoco reale. Gli esperti tendono a propendere per questa seconda opzione. Quali esperti? Nello specifico Alessandro Curioni. Da pochi mesi security consultant presso la Leonardo Cyber & Security Academy, da oltre un decennio con la sua Digi Academy, azienda milanese di cybersecurity, vigila su una platea ben nutrita di clienti grandi e meno grandi. Da qualche tempo, Curioni ha messo in piedi con la sua Digi Academy un gruppo di analisti pronti a investigare su quanto accada dietro i nostri schermi, con particolare riferimento a casi come quello di ieri, quando lo scompiglio ha preso il sopravvento e per qualche ora si è temuto il sacco di centinaia di migliaia di dati sensibili.
Già in serata, intervistato da Zapping, il programma di Rai Radio 1, Curioni si era sbilanciato parlando di anomalie nella rivendicazione di LockBit. E in effetti non sbagliava: già poche ore dopo, lui e il suo team erano in grado di ricostruire con buona probabilità cosa fosse realmente avvenuto e ce l’hanno mostrato. Con l’esperto di cyber security e docente universitario, abbiamo navigato a vista nel mare oscuro del dark web, alla ricerca di un indizio, di una traccia che potesse rivelarci come fossero andare le cose. E di tracce ne abbiamo trovate alcune.
“Molto probabilmente – ma Alessandro Curioni ci dice che ulteriori conferme arriveranno nel corso della giornata – sono stati bucati i sistemi di uno studio professionale del Nord Italia”. Sappiamo ovviamente il nome dello studio (nel dark web non è un mistero) ma per ragioni di privacy sorvoliamo sul farlo.
Prosegue Curioni: “Abbiamo fatto alcune ricerche e incrociato diversi dati. Questo studio si caratterizza per avere sede in un luogo preciso. Analizzando poi i campioni di dati resi pubblici sul sito di LockBit, ci siamo resi conto che alcune aziende i cui dati sono coinvolti hanno la sede legale coincidente con quella dello studio”.
C’è da restare affascinati: come su una scena del crimine, gli analisti della Digi Academy hanno raccolto gli indizi e ricostruito uno scenario che, di fronte alle evidenze messe in fila, appare assolutamente credibile: “Ci sono altre società coinvolte, tutte a vario modo collegate a questo studio, la cui ragione sociale coincide con quella che si può vedere sugli screenshot diffusi sul dark web dagli hacker di LockBit [ma a questo punto dovremmo parlare dell’ “affiliato”, ndr]”.
Un filo rosso che chiunque abbia la capacità – e l’ardire – di immergersi nelle profondità della rete può verificare personalmente. Ma allora perché LockBit, inizialmente, ha rivendicato un attacco all’Agenzia delle entrate? Presto spiegato: “La vittima in questione probabilmente per alcuni clienti si relazionava con l’Agenzia delle entrate. Bucando i suoi sistemi, i cyber criminali si sono impossessati delle sue credenziali e hanno avuto accesso al sito dell’Agenzia delle entrate”.
La possibilità che gli hacker fossero invece passati attraverso il sito dell’Agenzia delle entrate, arrivando poi alla vittima [un’ipotesi passata attentamente al vaglio nelle prime fasi d’indagine], è sembrata improbabile. Un tale scenario avrebbe davvero comportato un disastro difficilmente calcolabile.
“Il problema vero – sostiene Alessandro Curioni – è stato capire cosa c’entrasse l’Agenzia delle entrate con questo attacco. È come quando a un utente poco avveduto viene svuotato il conto in banca: gli hacker hanno avuto accesso alle sue credenziali e sono entrati nel suo conto, ma non per questo si può sostenere che gli interi sistemi della banca siano stati vittima di una violazione”
I fatti e la narrazione dei fatti. È questo il punto. Perché se fa notizia un’intrusione nell’Agenzia delle entrate, molto meno mediatica è la vicenda di un privato cittadino vittima di una cyber gang, per quanto legata alla Russia di Putin. Meno mediatica, ma non meno grave. Per questo è stato necessario studiare attentamente il caso.
“Gli hacker di LockBit – aggiunge Curioni – hanno scaricato una cospicua mole di dati che probabilmente erano sui sistemi dell’Agenzia delle entrate, ma che erano relativi agli affari di un privato cittadino. Di qui forse l’errore degli stessi criminali che hanno pensato di aver fatto il colpo grosso”.
Certo, ora bisognerà capire se i 78 giga byte di “bottino” sottratto dagli hacker sia tutto materiale riferibile al professionista vittima del furto e questo è uno degli elementi che potranno essere chiariti solo attraverso analisi più approfondite, ma per adesso possiamo ragionare sul fatto che molto, troppo spesso, siamo portati a vedere nero, a considerarci (spesso a giusta ragione, sia chiaro) un colabrodo alla mercé del primo delinquente con un minimo di conoscenza informatica.
In questo caso non si è verificato il peggio, ma ricostruire quanto accaduto nei singoli passaggi, spiegando anche il perché di una notizia tutta da verificare in breve rimbalzata su tutti gli organi di stampa italiani, ci consentirà di acquisire quelle competenze che per adesso ci mancano e che ci renderanno più competitivi in quello spazio strategico del presente e del futuro che è il web.- dal lunedì al venerdì dalle ore 10:00 alle ore 20:00
- sabato, domenica e festivi dalle ore 10:00 alle ore 18:00.