Il malware non esce dal nulla, né nasce spontaneamente dalle viscere della rete. Ogni singola variante mai esistita è stata creata da qualcuno, realizzata amorevolmente da zero o modificata rapidamente a partire da codice esistente nel tentativo di sfuggire ai sensori antivirus. Tuttavia, mentre ci sono (letteralmente) innumerevoli criminali informatici sul Web, solo poche élite si sono guadagnate il diritto di definirsi gli hacker più pericolosi del mondo. E oggi abbiamo pensato di compilare un elenco di alcuni di questi individui, gruppi e organizzazioni. Le persone che cercheranno sempre di farti del male. Quelle che permetteranno a noi di avere il lavoro garantito.

… detto questo, l'elenco non è del tutto completo: i criminali informatici più affermati sono infatti quelli che stanno molto attenti a non farsi mai scoprire o che addirittura non lasciano la minima traccia della loro presenza. Questo significa che buona parte degli elenchi come questo riportano organizzazioni che vogliono far sapere al mondo della loro esistenza o uomini che attualmente sono sotto indagine per non essersi preoccupati di nascondersi. Fin qui tutto bene, nessuno negherà mai che Gary McKinnon, che ha hackerato l'NSA ed è costato agli Stati Uniti 700.000 dollari, sia un problema. Ma nel più ampio universo degli hacker, McKinnon e gli altri come lui sono considerati più una seccatura che dei portenti, quantomeno se paragonati all'autore ancora ignoto del worm SoBig.F, che ha causato 37,1 miliardi di dollari di danni in tutto il mondo.

In ogni caso, ecco alcuni dei più potenti e pericolosi gruppi e hacker di cui siamo a conoscenza oggi.

Elliott Gunton: gioventù ribelle

Elliott-Gunton_620x300

Essere un genio della tecnologia unito allo spirito ribelle tipico della giovane età (o a un'apatia generalizzata verso le miserie degli altri) è una combinazione pericolosa, che il diciannovenne Elliott Gunton incarna perfettamente. Ha iniziato la sua carriera di criminale informatico alla tenera età di 16 anni, quando è stato scoperto ad hackerare TalkTalk, una società di telecomunicazioni. La ramanzina che si è beccato non è stata sufficiente a dissuaderlo e, da allora, è stato accusato nel Regno Unito di crimini di ogni tipo: furto di dati personali, contraffazione, riciclaggio di denaro con criptovaluta, lavoro su commissione come pirata informatico, hackeraggio di account Instagram famosi e rivendita ad altri hacker e possesso di… immagini "indecenti" di bambini sul suo PC di casa.

Ma come per la maggior parte dei criminali informatici, le sue imprese valicano i confini del paese: negli Stati Uniti è accusato di furto di identità e accesso non autorizzato a EtherDelta, un sito di cambiavalute, tramite l'host Web Cloudshare, oltre che di sottrazione di milioni di dollari in un periodo di circa due settimane.

Di fatto, le autorità sostengono che sia riuscito a sottrarre addirittura 800.000 dollari solo a uno dei tanti malcapitati che ha truffato.

È un bella lista di crimini. Sfortunatamente, se qualcuno spera in un lieto fine, sembra improbabile: anche dopo essersi dichiarato colpevole per i crimini di cui è stato accusato nel Regno Unito, ha scontato solo 20 mesi in prigione (che, per il Regno Unito, è effettivamente parecchio tempo) e ha ricevuto una sanzione di sole 407.359 sterline. Inoltre, per tre anni e mezzo ha avuto privilegi software e informatici limitati.

Negli Stati Uniti i crimini commessi potrebbero confinarlo dietro le sbarre per 20 anni, ma è ancora tutto un grosso punto di domanda. Da quando gli Stati Uniti e il Regno Unito hanno sottoscritto per la prima volta il trattato di estradizione nel 2004, solo 77 cittadini britannici sono stati estradati negli Stati Uniti per i loro crimini. È assolutamente possibile che non si prendano nemmeno la briga di trasferirlo per un processo e, anche allora, dovrebbero giudicarlo colpevole.

Alla fine, Elliot Gunton non è l'hacker più pericoloso al mondo, ma rappresenta l'esempio perfetto di quello che può fare un uomo con un minimo di conoscenze, un buon PC e una mancanza totale di empatia… e di quanto spesso gli hacker riescano a sottrarsi a punizioni esemplari per i crimini commessi.

Evgeniy Mikhailovich Bogachev: un novello Crono

È molto raro che un criminale informatico così abile venga scoperto, ma anche un malware della grandezza e della potenza distruttiva di GAmeover ZeuS è altrettanto raro.

Bogachev_620x300

La botnet che questo hacker ha congegnato è riuscita a infettare milioni di computer in tutto il mondo tramite ransomware, oltre a sottrarre tutti i dati archiviati nei sistemi colpiti. Questa operazione non solo gli ha fruttato una quantità smisurata di denaro oltre a procurare danni per più di 100 milioni di dollari, ma gli è valsa anche l'attenzione del governo russo, che sembra abbia attinto alla sua rete per indagare e verosimilmente intromettersi negli affari internazionali.

All'FBI e ad altre organizzazioni criminali internazionali ci sono voluti due anni solo per scoprire il nome di quest'uomo e ora offrono tre milioni di dollari, la taglia più alta mai posta sulla testa di un criminale informatico, a chiunque sia d'aiuto per consegnarlo alla giustizia. Sfortunatamente, grazie alla sua collaborazione con le autorità russe, sembra improbabile che possa succedere. Benché sia stato un abile criminale informatico, ora vive tutt'altro che in clandestinità ad Anapa, una località balneare sulle sponde del Mar Nero nella Russia meridionale, circondato da auto di lusso e uno yacht privato.

Naturalmente, il governo russo non ha mai ammesso di collaborare con lui. Ma tra il rifiuto di arrestarlo e l'eccessivo tempo libero e i mezzi economici di cui dispone, sembra estremamente probabile.

Di questi tempi, opera sotto diversi nomi quali slavik, lucky12345, pollingsoon e altri ancora. E quale sarà la sua prossima mossa? Molto probabilmente non lo sapremo mai.

Equation Group e Shadow Brokers: yang e yang

Non si può parlare di hacker famosi e pericolosi senza citare quelli sponsorizzati dallo stato.

Gli Shadow Brokers si guadagnano da vivere vendendo le cyber-armi dell'Equation Group dell'NSA

Equation Group è il nome informale dell'unità Tailored Access Operations (o TAO) della National Security Agency (NSA) degli Stati Uniti. Lo so che ho fatto molti nomi ma ti assicuro che la questione si farà ancora più complessa. Fondato intorno al 2001, il gruppo era un segreto di stato accuratamente mantenuto finché non è stato "scoperto" nel 2015 e due tipi di malware di spionaggio, EquationDrug e GrayFish, sono stati ricollegati all'organizzazione. È anche venuto fuori che hanno fatto incetta di vulnerabilità note per assicurarsi che i loro attacchi non venissero scoperti ed è anche stato teorizzato che ci fossero loro dietro Stuxnet, il worm che ha sabotato il programma nucleare iraniano.

Come buona parte degli attori statali, Equation Group esiste per promuovere il proprio programma nazionale negli Stati Uniti e all'estero, con la maggior parte del "lavoro" svolto in Iran, Russia, Pakistan, Afghanistan, India, Siria e Mali. Forse la cosa sarebbe potuta finire lì: non c'è niente di insolito negli hacker al servizio delle autorità. Stavano anche riuscendo a tenere sotto silenzio le loro attività.

Ma, a quel punto, sono arrivati gli Shadow Brokers.

L'origine degli Shadow Brokers è alquanto misteriosa. "Scoperti" nel 2016, c'è chi ritiene che il loro nome sinistro sia in effetti un riferimento da veri nerd, ispirato a un information broker con un nome simile della serie di videogiochi Mass Effect. Non siamo sicuri se sia stato intenzionale o meno, perché proprio come la loro origine (gli esperti ipotizzano di tutto, da membri dell'NSA a spie estere, con la Russia, naturalmente, al primo posto tra i sospettati), rimane ancora un mistero per noi. Se non altro, da un certo punto di vista questo gruppo è all'altezza del suo nome: ci lasciano brancolare nel buio.

Ma se la loro natura è avvolta nel mistero, le loro imprese sono fin troppo reali. Nell'agosto del 2016, un account Twitter apparentemente di proprietà del gruppo, @shadowbrokerss, ha annunciato una pagina Web e un repository GitHub contenenti istruzioni per partecipare a un'asta il cui vincitore avrebbe ricevuto una serie di strumenti utilizzati... rullo di tamburi... dall'Equation Group! All'epoca, l'"asta" sembrava estremamente sospetta, ma adesso sappiamo esattamente cosa stavano offrendo: EternalBlue, EternalRomance e altri exploit essenziali per la creazione di alcuni degli attacchi malware più pericolosi del 2017, inclusi i famigerati ransomware Wannacry e NotPetya.

Gli Shadow Brokers hanno attinto alle risorse dell'Equation Group, svendendone i segreti al miglior offerente

Ma non si sono fermati qui. Nei mesi successivi sono andati oltre: rivelando un elenco di server e strumenti utilizzati dall'Equation Group e offrendo un "dump di dati del mese" a chiunque fosse disposto a pagare, hanno dato dimostrazione di essere in grado di accedere in modo apparentemente illimitato all'NSA. E dal momento che a quanto pare non abbiamo indizi sull'identità di queste persone, tutto quello che possiamo fare è abbozzare ipotesi e cercare di prepararci per il prossimo attacco.

Da allora, gli Shadow Brokers sono rimasti in silenzio, il che può voler significare che sono soddisfatti del caos che hanno scatenato, che non stanno pubblicizzando le loro ultime imprese o che sono in attesa di una nuova opportunità per sferrare un attacco. Sono tutte spiegazioni probabili quanto insoddisfacenti, ma è la triste realtà dei gruppi di hacker: così come sono pericolosi, sono anche effimeri.

Ufficio 121: i signori del male

L'Ufficio 121 di hacking della Corea del Nord

Anche se, fortunatamente, le ambizioni nucleari della Corea del Nord sono state considerevolmente soffocate dalle pressioni politiche, quelle digitali, invece, sono cresciute grazie a un esercito di hacker in continuo aumento che lavora giorno e notte per raccogliere fondi per il regime e seminare il caos tra gli stati nemici. Benché il loro ramo armato, chiamato Ufficio 121, abbia indubbiamente delle responsabilità in innumerevoli crimini e attacchi informatici, hanno messo a segno alcuni attacchi di alto profilo che meritano una menzione speciale.

Il primo e forse il più famoso è stato l'attacco ransomware Wannacry, per cui gli Stati Uniti hanno recentemente sanzionato la Corea del Nord. Se gli Shadow Brokers possono aver collaborato alla sua creazione grazie agli strumenti dell'NSA per la cyber-guerra, sono stati i nord coreani a realizzarlo e distribuirlo, infettando circa 300.000 dispositivi e causando danni per quattro miliardi di dollari. Sono stati anche responsabili di una massiccia violazione dei dati contro Sony Pictures nel 2014, una rappresaglia in seguito alla produzione di un film di Seth Rogen sull'umiliazione e l'assassinio del "caro leader" Kim Jong Un. Nel corso di questo attacco, sono state lasciate trapelare innumerevoli email e informazioni personali e la Sony ha speso circa 15 milioni di dollari per rimediare ai danni.

Gli hacker nord coreani rientrano tra le vittime come il resto della popolazione

Ma prima di iniziare ad accusare gli hacker, non dimentichiamoci che sono anche loro vittime del regime, come qualsiasi altro cittadino nord coreano. Stipati in appartamenti affollati e spesso surriscaldati con pesanti controlli di sicurezza e libertà limitata, agli hacker nord coreani viene richiesto di "guadagnare" e quindi consegnare dai 60.000 ai 100.000 dollari l'anno con qualsiasi mezzo necessario. E se non riescono a raggiungere questo obiettivo, le conseguenze sono inevitabilmente sgradevoli.

Se c'è mai stato un momento in cui è stato appropriato dire "non prendertela con il giocatore, prenditela con il gioco", è proprio questo.

Fancy Bear: con le zampe sulla democrazia

Fancy Bear, un nomignolo carino per una pericolosa organizzazione di hacker

È un nome incantevole, vero? Se solo il gruppo assomigliasse maggiormente all'immagine evocata dal nome, questo elenco potrebbe non essere così deprimente. Sfortunatamente, la realtà è un'altra…

Fancy Bear (che opera anche sotto molti altri pseudonimi) è un gruppo che al 90% collabora con i russi e ne supporta le operazioni di cyber-guerra. Anche se non abbracciano tutte le attività che la Russia svolge online (quale gruppo singolo lo ha mai fatto, per una potenza mondiale?), sono i più pericolosi e sono stati responsabili di alcuni degli attacchi di più alto profilo del decennio.

Sono nati nel 2008, quando hanno attaccato il governo georgiano per gettarlo nel caos proprio prima che l'esercito russo invadesse il paese. E da allora, sono stati coinvolti in innumerevoli conflitti e controversie in quella regione svolgendo ogni tipo di attività: minacce a giornalisti e manifestanti contrari al Cremlino, attacchi informatici al Parlamento tedesco per oltre sei mesi nel 2014, minacce di morte alle mogli del personale dell'esercito degli Stati Uniti, disattivazione del 20% dell'artiglieria ucraina tramite un'app corrotta e la celebre violazione delle email della Convenzione nazionale democratica… che non sarà la prima né l'ultima volta in cui il gruppo è stato collegato alle elezioni, dal momento che i loro sforzi per manipolare la democrazia sono stati scoperti in occasione delle elezioni in Germania, Francia e Ucraina.

Fancy Bear ha costruito la sua reputazione interferendo con le elezioni

Nonostante sia uno dei gruppi di hacker più pericolosi al mondo, Fancy Bear non si prende quasi mai il merito del proprio lavoro: il più delle volte opera in nome di Anonymous o dell'ISIS. Tuttavia, un minimo di analisi della metodologia e degli strumenti utilizzati tradisce in genere la vera identità dell'aggressore. Naturalmente, Mosca ha negato che Fancy Bear sia in qualche modo associato al governo russo, motivo per cui non possiamo essere assolutamente certi che tutte queste attività siano state promosse dalle autorità russe… ma siamo portati a crederlo.

In ogni caso, Fancy Bear non sembra intenzionato a sparire nell'immediato futuro e, con tutte queste elezioni all'orizzonte, non c'è dubbio che prima o poi finiranno in prima pagina.

Alexsey Belan: Ya-chi? Yahoo!

Alexsey-Belan_620x300

A 29 anni, questo ragazzo di origine lettone ha indubbiamente già causato la sua buona dose di fastidi. Molto prima degli attacchi che lo hanno portato sotto i riflettori, era conosciuto tra i pirati informatici con il nickname di M4G ed era un assiduo frequentatore delle comunità di hacker, oltre a gestire un blog semi-popolare sulla pirateria, anche se non descriveva in dettaglio le sue attività più illecite. Oltre a prendere di mira server di videogiochi, un fornitore di cloud computing con sede in Israele e siti Web dedicati alle comunicazioni con ICQ, ha iniziato a guadagnare una fortuna operando come consulente per altri hacker e rivendendo i dati privati degli utenti online. Nel 2011 era nel radar delle forze dell'ordine e nel 2012 era ufficialmente ricercato per i suoi crimini.

Alexsey Belan ha sottratto dati da oltre 700 milioni di account dal 2013 al 2016

L'attacco a Yahoo del 2013 è stato semplicemente la più grande fuga di dati della storia, con tutti i suoi tre miliardi di account violati. Tuttavia, non è stato Alexsey Belan il responsabile, per quanto ne sappiamo: invece, è da imputare a lui l'attacco del 2014, in cui sono stati hackerati oltre 500 milioni di account. Non è niente in confronto… ma rientrava nell'ambito di un attacco compulsivo della durata di tre anni in cui Alexsey Belan è stato coinvolto tra il 2013 e il 2016, prendendo di mira siti Web di e-commerce in California e in Nevada, incluso Yahoo. Per tutto questo tempo, ha hackerato e sottratto dati da un totale di 700 milioni di account: 500 milioni da Yahoo e 200 milioni da altre fonti. Si tratta di una quantità spropositata di dati personali.

Ma quando le forze dell'ordine internazionali sono andate a prenderlo, si era già dato alla fuga. E benché nessuno sappia con certezza dove potrebbe nascondersi... tutto lascia pensare alla Russia. Perché ovviamente si tratta della Russia.

Unità 8200: cracking in stile kosher

Unità 8200, il ramo della cyber-intelligence israeliana

Non c'è mai stato un gruppo più impressionante - e più spaventoso - dell'Unità 8200, il ramo della cyber-intelligence pseudo clandestina del governo israeliano. L'Unità 8200 è un modello di efficienza e abilità, con una comprovata esperienza nel servizio pubblico e nell'attività antiterroristica e, aspetto singolare per il mondo della cyber-security, è costituita più da donne che da uomini. Sono responsabili di alcuni dei malware più efficienti e terrificanti mai prodotti, oltre che di operazioni di spionaggio di massa e addirittura di sfruttamento di informazioni di governi e civili, la cui portata è senza precedenti in tutto il mondo civilizzato.

Stando agli esperti, l'Unità 8200 è l'élite dell'élite

Fondata nel 1952 come seconda unità del servizio di intelligence, da allora è cresciuta fino a diventare la più vasta unità delle Forze di difesa israeliane. Benché molte delle attività condotte siano clandestine (che è il normale modus operandi per le organizzazioni di questo tipo), alcune delle imprese di questa unità sono trapelate. Hanno sventato attacchi terroristici in tutto il mondo, contribuito a sviluppare il virus Stuxnet e prodotto Duqu 2.0, un malware di spionaggio così avanzato che Kaspersky lo ha definito in anticipo di diverse generazioni. Hanno anche intrapreso un'accesa battaglia contro il gruppo degli hacktivisti pro-palestinesi, come durante gli attacchi #OpIsrael del 2013.

L'Unità 8200 è l'élite dell'élite e può essere definita al meglio con una citazione di Peter Roberts, ricercatore del Royal United Services Institute britannico: "L'Unità 8200 è probabilmente la principale agenzia di intelligence tecnica al mondo ed è allo stesso livello dell'NSA per tutto tranne che per la portata. Estremamente concentrati sui propri obiettivi, sicuramente più concentrati dell'NSA, conducono le loro operazioni con una tenacia e una passione senza confronti."

Unità 61398 dell'Esercito popolare di liberazione: cyber-rossi alla riscossa

L'Unità 61398 dell'Esercito popolare di liberazione, l'unità militare di pirateria informatica cinese

Abbiamo dedicato parecchio tempo alla presentazione dei tanti hacker sponsorizzati dagli stati in svariate parti del mondo, ma l'elenco non sarebbe completo senza un accenno ai nostri amici in Cina.

Fino a poco tempo fa, la Cina negava categoricamente di essere coinvolta in attività online illecite o addirittura di avere un gruppo di hacker a sua disposizione. La situazione è cambiata drasticamente nel 2015 quando la Cina ha ammesso apertamente di avere un team di cyber-difesa, rifiutandosi tuttavia di scendere nel dettaglio delle attività effettivamente portate avanti. Questa tendenza a dichiararsi estranea ai fatti è perfettamente normale, ma abbiamo comunque una vaga idea dei traffici in cui è stata coinvolta.

Forse il più grande scandalo associato al gruppo è l'Operazione Shady RAT, che con molta probabilità è il più esteso attacco online sponsorizzato da uno stato mai condotto: nel corso di cinque anni, dal 2006 al 2011, l'Unità 61398 dell'Esercito popolare di liberazione si è infiltrata e ha sottratto dati da oltre 70 aziende, governi e organizzazioni non profit in tutto il mondo.

L'Unità 61398 dell'Esercito popolare di liberazione sembra concentrarsi esclusivamente sul furto di dati da governi, aziende ed enti non profit

In linea di massima, tuttavia, è proprio questo il limite dell'attività dell'Unità 61398 dell'Esercito popolare di liberazione: sottrarre dati da importanti attori internazionali. Ad esempio, nel 2014 sono stati accusati di un attacco nel corso del quale sono stati rubati innumerevoli documenti sensibili relativi al sistema di difesa missilistico israeliano. Hanno iniziato di nuovo a prendere di mira le aziende statunitensi dopo una breve pausa e di recente sono stati ricollegati a Huawei, un marchio che negli ultimi tempi sta facendo sempre più spesso notizia.

Alla fine, l'Unità 61398 dell'Esercito popolare di liberazione è estesa (si stima che utilizzino ben oltre mille server), focalizzata e, con molta probabilità, è solo la punta dell'iceberg.  O, più precisamente, è l'élite di un imponente esercito online di hacker che può essere schierato senza il minimo preavviso.

Piuttosto preoccupante, vero?

Machete: attacchi sempre più "affilati"

machette_620x300

È raro che gruppi di hacker non sponsorizzati direttamente da un ente governativo abbiano vita lunga. La maggior parte, come Lulsec, nasce e si disgrega nel giro di qualche mese. Qualcuno, come Lizard Squad, dura un paio di anni prima che i capi vengano arrestati e i sottoposti si disperdano. E anche il gruppo di hacker più famoso del mondo, Anonymous, è durato solo cinque anni prima di sgretolarsi dall'interno per via della sua pretesa insostenibile di poter accogliere chiunque.

Pertanto, il fatto che Machete, un gruppo di hacker che opera in America Latina, sia in azione già da un decennio e non accenni a sparire ha un che di miracoloso.

La natura di Machete, come quella di qualsiasi altro gruppo di hacker che è rimasto in vita così a lungo, è completamente avvolta nel mistero. Sono stati scoperti nel 2014 da Kaspersky, ma erano attivi già da tempo, diffondendo malware, sottraendo informazioni e, in generale, tenendo sotto controllo il crimine informatico in Venezuela, benché abbiano mietuto vittime anche in Ecuador, Colombia e Nicaragua.

Sembrano particolarmente interessati a prendere di mira gli obiettivi militari venezuelani, facendo ricorso ad attacchi di phishing abilmente celati per sottrarre informazioni cruciali come file contenenti rotte di navigazione e sistemi di riferimento tramite griglie militari. A riprova del loro ingegno, per assicurarsi che le email di phishing vengano lette, le realizzano personalmente utilizzando le informazioni sottratte in precedenza per farle sembrare autentiche. E quando rubano nuove informazioni, le usano per creare email di phishing ancora più convincenti, dando vita a un circolo vizioso che ha permesso loro di sottrarre "gigabyte di informazioni ogni settimana”, stando ad alcuni report.

Al momento, l'unico dettaglio che le autorità possono confermare riguardo a Machete è che sembra che i suoi componenti parlino spagnolo, a giudicare da alcuni appunti e dati sui tasti premuti. Oltre a questo, rimangono inafferrabili, imperscrutabili e, per il momento, inarrestabili.

AVG AntiVirus FREE Download GRATUITO