Il malware non esce dal nulla, né nasce spontaneamente dalle viscere della rete. Ogni singola variante mai esistita è stata creata da qualcuno, realizzata amorevolmente da zero o modificata rapidamente a partire da codice esistente nel tentativo di sfuggire ai sensori antivirus.

Tuttavia, mentre ci sono (letteralmente) innumerevoli criminali informatici sul Web, solo poche élite si sono guadagnate il diritto di definirsi gli hacker più pericolosi del mondo. E oggi abbiamo pensato di compilare un elenco di alcuni di questi individui, gruppi e organizzazioni. Le persone che cercheranno sempre di farti del male.

… detto questo, l'elenco non è del tutto completo: i criminali informatici più affermati sono infatti quelli che stanno molto attenti a non farsi mai scoprire o che addirittura non lasciano la minima traccia della loro presenza. Questo significa che buona parte degli elenchi come questo riportano uomini e organizzazioni che non si preoccupano o che addirittura vogliono far sapere al mondo della loro esistenza. Fin qui tutto bene, nessuno negherà mai che Gary McKinnon, che ha hackerato l'NSA ed è costato agli Stati Uniti 700.000 dollari, sia un problema. Ma nel più ampio universo degli hacker, McKinnon e gli altri come lui sono considerati più una seccatura che dei portenti, quantomeno se paragonati all'autore ancora ignoto del worm SoBig.F, che ha causato 37,1 miliardi di dollari di danni in tutto il mondo.

In ogni caso, ecco alcuni dei più potenti e pericolosi gruppi e hacker di cui siamo a conoscenza che ancora oggi costituiscono una minaccia.

Anonymous

La maschera di Guy Fawkes di Anonymous

Forse il gruppo di hacker più conosciuto di questo elenco, Anonymous potrebbe non essere quello più spaventoso o minaccioso, ma la sua sola esistenza si è dimostrata un segnale preoccupante di come saranno le proteste e le ribellioni nel nostro mondo sempre più dipendente dalla tecnologia.

Nato nel 2003 sul famoso sito Internet 4chan, questo gruppo ha preso il nome dal fatto che chiunque pubblicasse qualcosa sui loro forum senza un nome utente appropriato fosse accreditato come "Anonymous". Tuttavia, non costituivano un vero e proprio gruppo a quei tempi, piuttosto un semplice collettivo di utenti annoiati che si erano messi insieme per congegnare burle innocue. Ad esempio, nel 2006 hanno invaso il social network finlandese Habbo Hotel utilizzando avatar tutti uguali per bloccare l'accesso alla piscina digitale. Di tanto in tanto hanno anche realizzato scherzi telefonici in Skype.

Non si sono realmente organizzati come gruppo con un chiaro obiettivo in mente fino al 2008, con il progetto Chanology. Nell'ambito di questa "dichiarazione di guerra" contro il gruppo sempre più aggressivo di Scientology, nell'intento di infastidire e ostacolare la chiesa, hanno organizzato scherzi telefonici, attacchi DDoS e "fax neri" che fanno esaurire l'inchiostro. Hanno proseguito nella loro crociata sociale con l'Operazione Payback nel 2010, quando hanno sfidato le organizzazioni che tutelano il copyright dopo la chiusura di Pirate Bay.

Nel 2011 hanno sostenuto le rivolte della Primavera araba e i movimenti Occupy Wall Street e nel 2012 hanno sabotato il sito di porno-vendetta di Hunter Moore. Nel 2014 hanno bloccato il sito Internet della città di Ferguson in seguito all'uccisione di Michael Brown e hanno rivelato informazioni personali sul poliziotto che aveva sparato al dodicenne Tamir Rice uccidendolo. E negli anni successivi la loro attività è cresciuta, prendendo di mira chiunque, dalla Corea del Nord ai siti di pedopornografia.

Il rischio con Anonymous è che tutti i partecipanti, non importa quanto siano estreme le loro azioni, siano legittimati per definizione

Ma il vero pericolo di Anonymous non risiede nel loro programma "canonico", Piuttosto, è il fatto che spingono le cose troppo in là e che il loro nome è stato usato da molti altri gruppi e individui per screditare il programma sociale del gruppo "base" e per mascherare le proprie attività.

Nel 2011, ad esempio, alcuni hacker hanno attaccato il servizio PlayStation Network e sottratto i dati degli utenti lasciando un biglietto da visita firmato "Anonymous" per depistare le autorità. Nel 2012, qualcuno ha reso pubblicamente disponibili i codici sorgente vitali, per quanto obsoleti, di Norton Antivirus e ha dichiarato di collaborare con Anonymous. Da quando il gruppo ha fatto la sua comparsa sui notiziari, spacciandosi per Anonymous diversi hacker hanno copiato illegalmente software, sottratto denaro e truffato le persone. E anche il gruppo "canonico" ha rilasciato pubblicamente nomi e indirizzi di persone innocenti fin troppe volte.

Ma poiché chiunque può essere Anonymous, per la sua stessa natura, non possiamo definire "falsi" questi ladri e impostori.

Indipendentemente da quello che pensi del loro orientamento politico o del loro programma, i governi di tutto il mondo hanno iniziato ad applicare tolleranza zero sui membri di Anonymous ogni volta che sono stati scoperti. Alcuni di loro sono stati incarcerati e hanno dovuto pagare una sanzione, ma queste misure non servono a molto quando si tratta di fermare il collettivo intenzionato a sostenere una delle varie cause a cui si interessa. Non sembra probabile che ci sbarazzeremo mai di loro e forse, dopotutto, è meglio così.

Perché per quanto Anonymous sia allarmante, un mondo in cui non può esistere sarebbe ancora più preoccupante.

Evgeniy Mikhailovich Bogachev

È molto raro che un criminale informatico così abile venga scoperto, ma anche un malware della grandezza e della potenza distruttiva di GAmeover ZeuS è altrettanto raro. La botnet che questo hacker ha congegnato è riuscita a infettare milioni di computer in tutto il mondo tramite ransomware, oltre a sottrarre tutti i dati archiviati nei sistemi colpiti. Questa operazione non solo gli ha fruttato una quantità smisurata di denaro oltre a procurare danni per più di 100 milioni di dollari, ma gli è valsa anche l'attenzione del governo russo, che sembra abbia attinto alla sua rete per indagare e verosimilmente intromettersi negli affari internazionali.

All'FBI e ad altre organizzazioni criminali internazionali ci sono voluti due anni solo per scoprire il nome di quest'uomo e ora offrono tre milioni di dollari, la taglia più alta mai posta sulla testa di un criminale informatico, a chiunque sia d'aiuto per consegnarlo alla giustizia. Sfortunatamente, sembra che le autorità russe non abbiano nessuna intenzione di incassare la taglia. Vive tutt'altro che in clandestinità ad Anapa, una località balneare sulle sponde del Mar Nero nella Russia meridionale, circondato da auto di lusso e uno yacht privato.

Per intenderci, il governo russo non ha mai ammesso di collaborare con lui, ma il rifiuto di arrestarlo e l'eccessivo tempo libero e i mezzi economici di cui dispone fanno certamente sorgere il dubbio.

Di questi tempi, opera sotto diversi nomi quali slavik, lucky12345, pollingsoon e altri ancora. E quale sarà la sua prossima mossa? Molto probabilmente non lo sapremo mai.

Equation Group e Shadow Brokers

Gli Shadow Brokers si guadagnano da vivere vendendo le cyber-armi dell'Equation Group dell'NSA

Non si può parlare di hacker famosi e pericolosi senza citare quelli sponsorizzati dallo stato.

Equation Group è il nome informale dell'unità Tailored Access Operations (o TAO) della National Security Agency (NSA) degli Stati Uniti. Lo so che ho fatto molti nomi, ma ti assicuro che la questione si farà ancora più complessa.

Fondato intorno al 2001, il gruppo era un segreto di stato accuratamente mantenuto finché non è stato "scoperto" nel 2015 quando due tipi di malware di spionaggio, EquationDrug e GrayFish, sono stati ricollegati all'organizzazione. È anche risaputo che hanno fatto incetta di vulnerabilità note per assicurarsi che i loro attacchi non venissero scoperti ed è anche stato teorizzato che ci fossero loro dietro a Stuxnet, il worm che ha sabotato il programma nucleare iraniano.

Come buona parte degli attori statali, Equation Group esiste per promuovere il proprio programma nazionale negli Stati Uniti e all'estero, con la maggior parte del "lavoro" svolto in Iran, Russia, Pakistan, Afghanistan, India, Siria e Mali. Forse la cosa sarebbe potuta finire lì: non c'è niente di insolito negli hacker al servizio delle autorità. Stavano anche riuscendo a tenere sotto silenzio le loro attività.

Ma, a quel punto, sono arrivati gli Shadow Brokers.

L'origine degli Shadow Brokers è alquanto misteriosa. "Scoperti" nel 2016, c'è chi ritiene che il loro nome sinistro sia in effetti un riferimento da veri nerd, ispirato a un information broker con un nome simile della serie di videogiochi Mass Effect. Non siamo sicuri se sia stato intenzionale o meno, perché proprio come la loro origine (gli esperti ipotizzano di tutto, da membri dell'NSA a spie estere), rimane ancora un mistero per noi. Se non altro, da un certo punto di vista questo gruppo è all'altezza del suo nome: ci lasciano brancolare nel buio.

Ma se la loro natura è avvolta nel mistero, le loro imprese sono fin troppo reali. Nell'agosto del 2016, un account Twitter apparentemente di proprietà del gruppo, @shadowbrokerss, ha annunciato una pagina Web e un repository GitHub contenenti istruzioni per partecipare a un'asta il cui vincitore avrebbe ricevuto una serie di strumenti utilizzati... rullo di tamburi... dall'Equation Group! All'epoca, l'"asta" sembrava estremamente sospetta, ma adesso sappiamo esattamente cosa stavano offrendo: EternalBlue, EternalRomance e altri exploit essenziali per la creazione di alcuni degli attacchi malware più pericolosi del 2017, inclusi i famigerati ransomware Wannacry e NotPetya.

Gli Shadow Brokers hanno attinto alle risorse dell'Equation Group, svendendone i segreti al miglior offerente

Ma non si sono fermati qui. Nei mesi successivi sono andati oltre: rivelando un elenco di server e strumenti utilizzati dall'Equation Group e offrendo un "dump di dati del mese" a chiunque fosse disposto a pagare, hanno dato dimostrazione di essere in grado di accedere in modo apparentemente illimitato all'NSA. E dal momento che a quanto pare non abbiamo indizi sull'identità di queste persone, tutto quello che possiamo fare è abbozzare ipotesi e cercare di prepararci per il prossimo attacco.

Che si tratti di hacker al servizio dello stato o di infiltrati che forniscono informazioni alle autorità, una tendenza è inconfutabile: gli Shadow Brokers sembrano prendere di mira esplicitamente l'Equation Group. E con gli Shadow Brokers che a quanto pare hanno una corsia preferenziale per le loro attività e un'inclinazione a condividere i loro segreti con il miglior offerente, hai pronta una ricetta per la catastrofe di cui abbiamo avuto tutti un assaggio negli ultimi due anni.

E non c'è motivo di pensare che finirà tanto presto.

Ufficio 121

L'Ufficio 121 di hacking della Corea del Nord

Le ambizioni digitali della Corea del Nord sono cresciute grazie a un esercito di hacker in continuo aumento che lavora giorno e notte per raccogliere fondi per il regime e seminare il caos tra gli stati nemici. Benché il loro ramo armato, chiamato Ufficio 121, abbia indubbiamente delle responsabilità in innumerevoli crimini e attacchi informatici, hanno messo a segno alcuni attacchi di alto profilo che meritano una menzione speciale.

Il primo e forse il più famoso è stato l'attacco ransomware Wannacry. Se gli Shadow Brokers possono aver collaborato alla sua creazione grazie agli strumenti dell'NSA per la cyber-guerra, sono stati i nord coreani a realizzarlo e distribuirlo, infettando circa 300.000 dispositivi e causando danni per quattro miliardi di dollari.

Gli hacker nord coreani rientrano tra le vittime come il resto della popolazione

Sono stati anche responsabili di una massiccia violazione dei dati contro Sony Pictures nel 2014, una rappresaglia in seguito alla produzione di un film di Seth Rogen sull'umiliazione e l'assassinio del "caro leader" Kim Jong Un. Nel corso di questo attacco, sono state lasciate trapelare innumerevoli email e informazioni personali e la Sony ha speso circa 15 milioni di dollari per rimediare ai danni.

Ma prima di iniziare ad accusare gli hacker, non dimentichiamoci che sono anche loro vittime del regime, come qualsiasi altro cittadino nord coreano. Stipati in appartamenti affollati e spesso surriscaldati con pesanti controlli di sicurezza e libertà limitata, agli hacker nord coreani viene richiesto di "guadagnare" e quindi consegnare dai 60.000 ai 100.000 dollari l'anno con qualsiasi mezzo necessario. E se non riescono a raggiungere questo obiettivo, le conseguenze sono inevitabilmente sgradevoli.

Se c'è mai stato un momento in cui è stato appropriato dire "non prendertela con il giocatore, prenditela con il gioco", è proprio questo.

Fancy Bear

Fancy Bear, un nomignolo carino per una pericolosa organizzazione di hacker

È un nome incantevole, vero? Se solo il gruppo assomigliasse maggiormente all'immagine evocata dal nome, questo elenco potrebbe non essere così deprimente. Sfortunatamente, la realtà è un'altra…

Fancy Bear (che opera anche sotto molti altri pseudonimi) è un gruppo fortemente associato al governo russo e sembra supportarne le operazioni di cyber-guerra. Anche se non abbracciano tutte le attività che la Russia svolge online (quale gruppo singolo lo ha mai fatto, per una nazione del primo mondo?), sono i più pericolosi e sono stati responsabili di alcuni degli attacchi di più alto profilo del decennio.

Sono nati nel 2008, quando hanno attaccato il governo georgiano per gettarlo nel caos proprio prima che l'esercito russo invadesse il paese. E da allora, sono stati coinvolti in innumerevoli conflitti e controversie in quella regione svolgendo ogni tipo di attività: minacce a giornalisti e manifestanti contrari al Cremlino, attacchi informatici al parlamento tedesco per oltre sei mesi nel 2014, minacce di morte alle mogli del personale dell'esercito degli Stati Uniti, disattivazione del 20% dell'artiglieria ucraina tramite un'app corrotta e la celebre violazione delle email della Convenzione nazionale democratica… che non sarà la prima né l'ultima volta in cui il gruppo è stato collegato alle elezioni, dal momento che i loro sforzi per manipolare la democrazia sono stati scoperti in occasione delle elezioni in Germania, Francia e Ucraina.

Fancy Bear ha costruito la sua reputazione interferendo con le elezioni

Nonostante sia uno dei gruppi di hacker più pericolosi al mondo, Fancy Bear non si prende quasi mai il merito del proprio lavoro: il più delle volte opera in nome di Anonymous o dell'ISIS. Tuttavia, un minimo di analisi della metodologia e degli strumenti utilizzati tradisce in genere la vera identità dell'aggressore. Naturalmente, Mosca ha negato che Fancy Bear sia in qualche modo associato al governo russo, motivo per cui non possiamo essere assolutamente certi che tutte queste attività siano state promosse dalle autorità russe…

In ogni caso, Fancy Bear non sembra intenzionato ad andarsene nell'immediato futuro ed essendo questo un altro anno di elezioni, non c'è dubbio che prima o poi finiranno in prima pagina.

Alexsey Belan

A 29 anni, questo ragazzo di origine lettone ha indubbiamente già causato la sua buona dose di fastidi. Molto prima degli attacchi che lo hanno portato sotto i riflettori, era conosciuto tra i pirati informatici con il nickname di M4G ed era un assiduo frequentatore delle comunità di hacker, oltre a gestire un blog semi-popolare sulla pirateria, anche se non descriveva in dettaglio le sue attività più illecite. Oltre a prendere di mira server di videogiochi, un fornitore di cloud computing con sede in Israele e siti Web dedicati alle comunicazioni con ICQ, ha iniziato a guadagnare una fortuna operando come consulente per altri hacker e rivendendo i dati privati degli utenti online. Nel 2011 era nel radar delle forze dell'ordine e nel 2012 era ufficialmente ricercato per i suoi crimini.

Alexsey Belan ha sottratto dati da oltre 700 milioni di account dal 2013 al 2016

L'attacco a Yahoo del 2013 è stato semplicemente la più grande fuga di dati della storia, con tutti i suoi tre miliardi di account violati. Tuttavia, non è stato Alexsey Belan il responsabile, per quanto ne sappiamo: invece, è da imputare a lui l'attacco del 2014, in cui sono stati hackerati oltre 500 milioni di account. Non è niente in confronto… ma rientrava nell'ambito di un attacco compulsivo della durata di tre anni in cui Alexsey Belan è stato coinvolto tra il 2013 e il 2016, prendendo di mira siti Web di e-commerce in California e in Nevada, incluso Yahoo. Per tutto questo tempo, ha hackerato e sottratto dati da un totale di 700 milioni di account: 500 milioni da Yahoo e 200 milioni da altre fonti. Si tratta di una quantità spropositata di dati personali.

Ma quando le forze dell'ordine internazionali sono andate a prenderlo, si era già dato alla fuga. E benché nessuno sappia con certezza dove potrebbe nascondersi... tutto lascia pensare alla Russia. Perché ovviamente si tratta della Russia.

Unità 8200

Unità 8200, il ramo della cyber-intelligence israeliana

Non c'è mai stato un gruppo più impressionante - e più spaventoso - dell'Unità 8200, il ramo della cyber-intelligence pseudo clandestina del governo israeliano. L'Unità 8200 è un modello di efficienza e abilità, con una comprovata esperienza nel servizio pubblico e nell'attività antiterroristica e, aspetto singolare per il mondo della cyber-security, è costituita più da donne che da uomini. Sono responsabili di alcuni dei malware più efficienti e terrificanti mai prodotti, oltre che di operazioni di spionaggio di massa e sfruttamento di informazioni di governi e civili di una portata senza precedenti in tutto il mondo.

Stando agli esperti, l'Unità 8200 è l'élite dell'élite

Fondata nel 1952 come seconda unità del servizio di intelligence, da allora è cresciuta fino a diventare la più vasta unità delle Forze di difesa israeliane. Benché molte delle attività condotte siano clandestine (che è il normale modus operandi per le organizzazioni di questo tipo), alcune delle imprese di questa unità sono trapelate. Hanno sventato attacchi terroristici in tutto il mondo, contribuito a sviluppare il virus Stuxnet e prodotto Duqu 2.0, un malware di spionaggio così avanzato che Kaspersky lo ha definito in anticipo di diverse generazioni. Hanno anche intrapreso un'accesa battaglia contro il gruppo degli hacktivisti pro-palestinesi, come durante gli attacchi #OpIsrael del 2013.

L'Unità 8200 è l'élite dell'élite e può essere definita al meglio con una citazione di Peter Roberts, ricercatore del Royal United Services Institute britannico: "L'Unità 8200 è probabilmente la principale agenzia di intelligence tecnica al mondo ed è allo stesso livello dell'NSA per tutto tranne che per la portata. Estremamente concentrati sui propri obiettivi, sicuramente più concentrati dell'NSA, conducono le loro operazioni con una tenacia e una passione senza confronti."

Unità 61398 dell'Esercito popolare di liberazione

L'Unità 61398 dell'Esercito popolare di liberazione, l'unità militare di pirateria informatica cinese

Abbiamo dedicato parecchio tempo alla presentazione dei tanti hacker sponsorizzati dagli stati in svariate parti del mondo, ma l'elenco non sarebbe completo senza un accenno ai nostri amici dell'Estremo Oriente, in Cina.

Fino a poco tempo fa, la Cina negava categoricamente di essere coinvolta in attività online illecite o addirittura di avere un gruppo di hacker a sua disposizione. La situazione è cambiata drasticamente nel 2015 quando la Cina ha ammesso apertamente di avere un team di cyber-difesa, rifiutandosi tuttavia di scendere nel dettaglio delle attività effettivamente portate avanti. Questa tendenza a dichiararsi estranea ai fatti è perfettamente normale, ma abbiamo comunque una vaga idea dei traffici in cui è stata coinvolta.

Forse il più grande scandalo associato al gruppo è l'Operazione Shady RAT, che con molta probabilità è il più esteso attacco online sponsorizzato da uno stato mai condotto: nel corso di cinque anni, dal 2006 al 2011, l'Unità 61398 dell'Esercito popolare di liberazione si è infiltrata e ha sottratto dati da oltre 70 aziende, governi e organizzazioni non profit in tutto il mondo.

L'Unità 61398 dell'Esercito popolare di liberazione sembra concentrarsi esclusivamente sul furto di dati da governi, aziende ed enti non profit

In linea di massima, tuttavia, è proprio questo il limite dell'attività dell'Unità 61398 dell'Esercito popolare di liberazione: sottrarre dati da importanti attori internazionali. Ad esempio, nel 2014 sono stati accusati di un attacco nel corso del quale sono stati rubati innumerevoli documenti sensibili relativi al sistema di difesa missilistico israeliano. E proprio di recente, hanno iniziato di nuovo a prendere di mira le aziende statunitensi dopo una breve pausa.

Alla fine, l'Unità 61398 dell'Esercito popolare di liberazione è estesa (si stima che utilizzino ben oltre mille server), focalizzata e, con molta probabilità, è solo la punta dell'iceberg. O, più precisamente, è l'élite di un imponente esercito online di hacker che può essere schierato senza il minimo preavviso.

Piuttosto preoccupante, vero?

Marcus Hutchins

Marcus Hutchins è una figura molto importante nel mondo della cyber-security di oggi, forse la più importante, poiché il futuro di questo "ex cattivo" diventato eroe potrebbe drasticamente cambiare il modo in cui gli hacker vedono il mondo e la loro posizione negli anni a venire.

In breve: Marcus Hutchins era un esperto di sicurezza informatica piuttosto asociale che lavorava da casa dei suoi genitori per un'azienda di sicurezza da quattro soldi, la Kryptos Logic. Mentre si trovava in vacanza, il famigerato ransomware WannaCry è stato diffuso in tutto il mondo e Marcus è stato richiamato per collaborare con altri esperti nel tentativo di arrestare questa cyber-minaccia… durante lo studio del ransomware, ha scoperto un "kill switch" fino ad allora sconosciuto in grado di neutralizzare completamente il malware. Con una brillante scoperta, ha arrestato l'attacco di più alto profilo del 2017 diventando un eroe nel mondo della cyber-security ed è stato trattato come un re al DEF CON di quell'anno, la conferenza di hacker più importante del mondo.

Ma proprio allora, tra le lodi e l'ammirazione dei colleghi, Marcus è stato arrestato, accusato di sei crimini federali correlati al suo presunto ruolo nella creazione e diffusione del virus Kronos, un malware in grado di sottrarre credenziali bancarie tramite browser dai dispositivi infetti.

Non sappiamo se sia innocente o colpevole: non sarebbe comunque il primo hacker black hat, poi diventato white hat, ad aver trascorso del tempo in prigione. Ma il procedimento giudiziario ancora in corso a carico di Marcus viene tenuto d'occhio attentamente da esperti di sicurezza informatica e hacker di tutto il mondo, dal momento che è stato arrestato sulla base del Computer Fraud and Abuse Act, tuttora motivo di risentimento per gli hacker white hat.

Questo perché è formulato così male che potrebbe essere, e con molta probabilità verrà, usato per arrestare hacker white hat che svolgono semplicemente controlli e test di exploit di routine… o per la scrittura di codice che potrebbe, più o meno consapevolmente, diventare malware. Quindi se Marcus venisse scagionato dall'accusa di avere intenzionalmente creato Kronos, ma scontasse comunque la sua pena in prigione a causa del proprio inconsapevole contributo, si tratterebbe di un terribile precedente per gli hacker.

Marcus Hutchins si è involontariamente trovato a combattere una battaglia non solo per la sua libertà, ma per il futuro degli hacker white hat agli occhi della legge. Non ci resta che sperare che giustizia sia fatta.

AVG AntiVirus FREE Download GRATUITO