Corsari informatici. Chi sono gli hacker di DarkSide (e chi c’è dietro)

Nell’età d’oro della pirateria i corsari differivano dai pirati fatti e finiti per un dettaglio cruciale, il salvacondotto di un governo coloniale che li autorizzava a depredare qualsiasi nave all’infuori delle proprie. In cambio, i “gentiluomini di ventura”, oltre a essere lasciati in pace dalle forze armate di quella particolare autorità, potevano usufruire dei suoi porti come basi operative.

Oggi esiste lo stesso rapporto tra certe potenze globali e alcuni collettivi hacker criminali. Gruppi come APT31 o DarkSide, responsabile dell’attacco informatico che ha colpito l’oleodotto statunitense Colonial Pipeline, formalmente non sono affiliati a nessuna potenza. DarkSide in particolare si presenta come un gruppo di pirati digitali che rubano i dati sensibili delle loro vittime e ne bloccano l’accesso, per poi restituirlo dietro riscatto, pena la diffusione.

Eppure gli attacchi ransomware di DarkSide si concentrano in Usa ed Europa occidentale (Italia inclusa) mentre tendono a ignorare la Russia e gli ex Paesi sovietici. Il codice malevolo che il gruppo inietta nei computer delle vittime controlla se la lingua impostata è il russo, nel qual caso ignora il terminale in cui si è infiltrato e passa oltre. Invece il gruppo APT31, ricondotto dagli esperti di FireEye alla Cina, si dedica a colpire istituzioni occidentali senza prendere di mira il loro probabile territorio di radicamento.

I tecnici della Colonial Pipeline erano dalla parte “sbagliata” del globo. La compagnia non era nemmeno preparata a gestire l’aggressione di DarkSide, stando al New York Times ha rifiutato l’aiuto degli esperti di cibersicurezza del governo statunitense e non ha voluto dire se avesse pagato il riscatto, né descrivere i sistemi di sicurezza e backup approntati. Non appena i tecnici si sono accorti dell’attacco hanno optato per l’opzione nucleare e fermato tutto il sistema, cosa che ha interrotto la fornitura di quasi metà del carburante utilizzato nella costa est degli Usa.

Negli ultimi giorni mancava la benzina nelle stazioni di servizio della zona. La compagnia aerea American Airlines è stata costretta a sospendere alcuni voli e modificare altre tratte per garantire l’approvvigionamento dei suoi mezzi. Una volta realizzato l’impatto del loro attacco, il gruppo hacker ha pubblicato una breve nota sulla propria pagina darkweb, scritta in inglese ma probabilmente tradotta da un’altra lingua (a giudicare dalla forma, redatta per questo articolo).

“Noi siamo apolitici, non partecipiamo alla geopolitica, non collegateci a un governo definito e non mettetevi a cercare altri moventi. Il nostro obiettivo è far soldi e non creare problemi alla società. Da oggi introdurremo [un processo di] moderazione e controlleremo ogni compagnia che i nostri partner vogliono crittare per evitare conseguenze sociali nel futuro”

Dalla stessa pagina si apprende che l’organizzazione offre i suoi servizi al miglior offerente e vende i propri software di attacco, ma evita di colpire ospedali, case di riposo, compagnie farmaceutiche che sviluppano il vaccino anti-Covid, servizi funebri, scuole e università, Ong e settori governativi. Il modus operandi, stando a loro, è un po’ alla Robin Hood: prima di sferrare un attacco controllano la natura della compagnia e quanto questa possa permettersi di pagare senza fallire, per poi aggiustare la loro richiesta di riscatto sulla base di questi dati.

In quest’ottica, “corsara” per DarkSide, ha perfettamente senso evitare di attaccare obiettivi russi (se davvero il gruppo opera da lì) in modo da evitare di attirare su di sé le ire delle autorità. Peraltro, anche se gli autori degli attacchi venissero scoperti da Paesi stranieri, probabilmente Mosca non ammetterebbe l’estradizione dei criminali all’estero, garantendo un certo livello di protezione agli attori ostili che operano da dentro i confini russi.

Ma non è da escludere che DarkSide abbia pubblicato quel comunicato per distanziarsi volutamente dalla Russia, che alcuni analisti hanno identificato come il “cliente” di DarkSide. Il presidente americano Joe Biden – che vuole incontrare la sua controparte russa, Vladimir Putin, tra qualche settimana – ha chiarito che non ci sono prove che riconducano direttamente al Cremlino, anche se non ha escluso che Mosca possa essere parzialmente responsabile per via del “porto sicuro” che spesso offre agli hacker. “Ci sono governi che chiudono un occhio o incoraggiano questi gruppi, e la Russia è uno di quei Paesi”, ha detto Christopher Painter, ex capo ciberdiplomatico degli Stati Uniti, al NYT; “fare pressione sui porti sicuri per questi criminali deve essere parte di qualsiasi soluzione”.

Molti esperti di cibersicurezza non si sono sorpresi di un attacco di tale impatto, ma del fatto che sia avvenuto così tardi. Data la digitalizzazione crescente e la dipendenza delle grandi infrastrutture dai sistemi informatici, l’equivalente digitale di Pearl Harbor nel Ventunesimo secolo può avvenire da remoto, per mano di pochi individui e senza il coinvolgimento diretto (o dichiarato) di un attore statale.

Stando agli esperti di cibersicurezza di DarkTracer, DarkSide aveva già attaccato altre quattro infrastrutture energetiche americane negli ultimi mesi. Peraltro casi simili si stanno moltiplicando, il costo globale delle aggressioni ransomware è salito da 11,5 miliardi di dollari nel 2019 a 20 miliardi nel 2020 secondo l’Atlantic Council.

A prescindere dal fatto che DarkSide sia affiliato o meno al governo russo, l’attacco alla Colonial Pipeline dipinge un quadro ugualmente scoraggiante per la difesa nazionale: piccole cellule individuali di cibercriminali, quasi impossibili da collegare a un attore statale se non analizzando la natura degli obiettivi già attaccati. Un mondo iperconnesso ma poco definito, fatto di minacce asimmetriche, dove i confini tra lupo solitario, gruppo dedito a estorsioni o divisione informatica dell’esercito di un Paese ostile sono quanto mai confusi.