Gli hacker di DarkSide

La storia è arcinota: la Colonial Pipeline (società che gestisce la più importante rete di condotte petrolifere degli Stati Uniti) è stata vittima di un attacco hacker che ha provocato l'interruzione di quasi la metà della fornitura di carburante della costa orientale americana, la carenza di benzina nel sud-est degli USA e la conseguente cancellazione di voli di alcune compagnie aeree. Dopo molti di tentativi di recuperare l'operatività dei propri sistemi informatici, la società si arrende e paga un riscatto di 5 milioni di dollari. Meno evidenti sono i successivi recenti sviluppi di questa vicenda, e le relative possibili implicazioni.

In linea con i principi che caratterizzano le Intrusioni di Maskelyne (nome della rubrica periodica di cui fa parte questo articolo), sinteticamente alcuni commenti per le riflessioni di chi ci legge.

L'attacco è il risultato di DarkSide, vera e propria industria: gli hacker di DarkSide sviluppano e commercializzano ransomware, poi li rivendono ad altri criminali affiliati che li usano per fare gli attacchi veri e propri.

Secondo Elliptic, società di analisi blockchain (la tecnologia dei bitcoin impiegati per pagare il riscatto), negli ultimi nove mesi il giro di affari di DarkSide è stato di almeno 90 milioni di dollari provenienti da ben 47 vittime di attacchi cyber; del totale, 15,5 milioni sono andati a DarkSide, mentre 74,7 milioni sono finiti agli affiliati.

Altro elemento dichiarato da Elliptic: il portafoglio Bitcoin di DarkSide conteneva 5,3 milioni di dollari di valuta digitale prima che i suoi fondi venissero prosciugati; è da questo punto che emerge l'ultima considerazione.

L'FBI ha ufficialmente dichiarato di aver recuperato 2,3 milioni di Bitcoin provenienti dal riscatto della Colonial Pipeline. Per ovvie necessità legate alla "protezione del mestiere", mentre ha rifiutato di fornire informazioni sulla tecnica impiegata per identificare e per accedere al portafoglio, ha ammesso che la leggerezza degli hackers nell'impiegare anche l'infrastruttura ICT americana, ha di fatto aperto una finestra legale che ha permesso il recupero di parte del riscatto tramite un ordine del tribunale.

Nella conferenza stampa, il Vice Procuratore Generale americano Lisa Monaco ha sottolineato come questa operazione rappresenti "un ribaltamento delle situazioni". Si tratta oggettivamente di un primo concreto ed evidente segnale della svolta politica americana, ma la minaccia cyber rimane persistente e, soprattutto, viene largamente sottostimata. Si pensi alla testimonianza rilasciata in settimana alla commissione del Senato degli Stati Uniti Stati Uniti da Joseph Blount (CEO della Colonial Pipeline): "gli hackers sono stati in grado di entrare nel sistema rubando una singola password" precisando però che "era una password complicata…Non era una password di tipo Colonial123".

Tutti abbiamo da tempo sperimentato come la maggior parte degli accessi ai sistemi informatici utilizzino la cosiddetta "autenticazione a due fattori", un sistema di verifica del proprio account digitale che si basa sull'utilizzo congiunto di due distinti metodi di autenticazione individuali (es username e password digitate nel browser, combinate ad un codice ricevuto via SMS).

L'hacking della Colonial Pipeline ha (tristemente) dimostrato invece che parte dei sistemi ICT delle società che gestiscono importanti infrastrutture critiche rimane altamente vulnerabile: uno status questo, che fa comprendere meglio come sia stato possibile per DarkSide incassare 90 milioni di riscatti in pochi mesi.