Si riporta integralmente l’articolo del Sito Ufficiale della Polizia Postale www.commissariatodips.it sull’operazione “PEOPLE1” conclusasi con un arresto, diverse perquisizioni e 6 denunce a piede libero per alcuni soggetti che hanno concorso nel reato. Il nickname dell’Hacker arrestato è Oorn
“La Polizia di Stato, sotto la direzione della Procura di Roma, ha portato a termine una della più articolate attività di indagine nel settore del cybercrime, l’Operazione PEOPLE 1.
Centinaia di credenziali di accesso a dati sensibili, migliaia di informazioni private contenute in archivi informatici della pubblica amministrazione, relativi a posizioni anagrafiche, contributive, di previdenza sociale e dati amministrativi appartenenti a centinaia di cittadini e imprese del nostro Paese: è quanto è stato scoperto dagli investigatori specializzati del Servizio Polizia Postale e delle Comunicazioni, che hanno dato esecuzione ad un’ ordinanza di custodia cautelare in carcere e proceduto ad eseguire 6 decreti di perquisizione sul territorio nazionale; destinatarie anche diverse agenzie investigative.
Il principale sospettato, R.G., cittadino italiano di anni 66 originario della provincia di Torino, residente in Sanremo con un know how informatico di altissimo livello e numerosi precedenti penali e di polizia, è stato posto in arresto su provvedimento del GIP presso il Tribunale di Roma.
I numerosi indizi raccolti durante le indagini indicano il soggetto come il principale responsabile di ripetuti attacchi ai sistemi informatici di numerose Amministrazioni centrali e periferiche italiane, attraverso i quali sarebbe riuscito ad intercettare illecitamente centinaia di credenziali di autenticazione (userID e password).
Dapprima attaccando i sistemi informatici di alcuni Comuni italiani, il sospettato è riuscito ad introdursi in banche dati di rilievo istituzionale, appartenenti ad Agenzia delle Entrate, INPS, ACI ed Infocamere, veri obiettivi finali dell’attività delittuosa, da questi esfiltrando preziosi dati personali di ignari cittadini ed imprese italiane.
Denunciati a piede libero, per le medesime violazioni, 6 complici dell’arrestato, tutti a vario titolo impiegati all’interno di note agenzie investigative e di recupero crediti operanti in varie città d’Italia.
Questi, in particolare, commissionavano a R.G. gli accessi abusivi ed il furto delle preziose credenziali, per poi farne uso nelle rispettive attività professionali di investigazione privata, in tal modo riuscendo a profilare illecitamente, a loro insaputa, centinaia di cittadini e imprese.
L’attività investigativa condotta dagli uomini del CNAIPIC ha permesso di ricostruire come R.G., nel corso degli anni, avesse ingegnerizzato un vero e proprio sistema di servizi, tra cui il portale illecito “PEOPLE1”, commercializzato clandestinamente ed offerto alle agenzie interessate, le quali, pagando una sorta di canone, potevano istallare il software con una semplice pen-drive USB, e riuscire così a connettersi clandestinamente alle banche dati istituzionali e fare interrogazioni dirette.
Per ottenere l’accesso clandestino a tali banche dati, il gruppo criminale utilizzava sofisticati virus informatici, con i quali infettava i sistemi degli Uffici pubblici riuscendo ad ottenere le credenziali di login degli impiegati.
La tecnica utilizzata a tal proposito prevedeva, anzitutto, il confezionamento di messaggi di posta elettronica (phishing), apparentemente provenienti da istituzioni pubbliche, ma in realtà contenenti in allegato pericolosi malware. I messaggi arrivavano a migliaia di dipendenti di Amministrazioni centrali e periferiche, in particolare a quelli dei piccoli Comuni e dei patronati, che venivano, con l’inganno, portati a cliccare sull’allegato malevolo aprendo così la porta al sofisticato virus informatico che, in poco tempo, consentiva agli hacker di assumere il controllo dei computer.
A questo punto il gruppo criminale, potendo contare su una rete vastissima di computer infettati, li metteva in rete sommandone le potenze di calcolo, costruendo quella che, tecnicamente, è definita una BOTNET, controllata da remoto dall’indagato R.G. grazie ad una centrale (cosiddetta Command and Control) che egli aveva installato su server all’estero.
La potente rete di computer infetti veniva quindi utilizzata dall’indagato per sferrare gli attacchi informatici massivi, compromettere i database delle Amministrazioni pubbliche ed esfiltrare i dati personali dei cittadini.
La persistenza delle attività illecite era in particolare assicurata dallo stesso malware, che arrivava a modificare le chiavi di registro in modo da eseguire automaticamente, all’avvio della macchina infettata, specifici programmi in grado di autoinstallarsi sul computer della vittima e registrare, tra l’altro, i caratteri digitati sulla tastiera (keylogging) tra i quali, appunto, le credenziali di autenticazione alle banche dati centralizzate.
I dati venivano poi inviati su una serie di server all’estero, principalmente in Canada, Russia, Ucraina ed Estonia, direttamente gestiti, come dimostrato nel corso di complesse attività di intercettazione telematica e telefonica, da R.G., e quindi utilizzati per accedere abusivamente alle banche dati di interesse pubblico ed eseguire la profilazione di imprese e privati cittadini.
Tale stabile infrastruttura informatica rappresenta il core della complessa piattaforma realizzata dal sodalizio criminale, che consentiva migliaia di illeciti accessi nelle banche dati istituzionali, detentrici di informazioni sensibili.
Target finale dell’attacco erano, ovviamente, i cittadini e le Pubbliche amministrazioni, le cui banche dati istituzionali, il cui accesso deve essere strettamente riservato a funzionari autorizzati, rappresentano uno strumento indispensabile per il corretto funzionamento dei servizi resi alla collettività grazie ai moderni sistemi di e-government.
Il destinatario della misura cautelare si è avvalso nel corso della sua attività criminale anche della “consulenza” di hacker freelance stranieri ingaggiati all’interno del Darkweb, allo stato in fase di identificazione.
Gli hacker, dietro pagamento, sviluppavano righe di comando attraverso le quali la piattaforma veniva implementata proprio per aggirare le misure di sicurezza delle piattaforme obiettivo dell’attività criminale.
Le articolate e complesse indagini sono iniziate nel mese di maggio 2017, a seguito di una segnalazione della società di sicurezza informatica TS-WAY (che per prima ha individuato la minaccia sul territorio nazionale) nella quale veniva evidenziata una campagna di spear-phishing volta a diffondere codici malevoli ed avente quale primo obiettivo i sistemi informatici di numerose infrastrutture critiche italiane.
Su delega della Procura della Repubblica di Roma, il CNAIPIC, grazie ad un’articolata attività di indagine sulla tipologia ed il funzionamento di tale virus e sulla provenienza delle suddette e-mail di spear phishing, resa possibile da servizi di intercettazione telematica attiva delle comunicazioni tra i componenti del sodalizio criminale, è riuscito infine a chiarire l’esatta portata e dinamica dei fatti, accertando le responsabilità penali della complessa infrastruttura informatica illegale scoperta.
I cyber-investigatori della Postale, in tal modo, sono stati in grado di ricostruire e studiare il funzionamento della piattaforma utilizzata dagli indagati, i legami tra di essi, le metodologie di attacco ai sistemi informatici ed alle banche dati, le risorse ed i canali telematici attraverso i quali venivano gestiti e trasferiti i dati personali illecitamente acquisiti, nonché gli ingenti flussi finanziari ottenuti grazie a tali condotte delittuose.
Le attività di indagine hanno reso inoltre necessario l’avvio di attività di cooperazione internazionale con numerosi Paesi esteri, in particolare con la polizia del Canada, il cui apporto indispensabile ha consentito di congelare e preservare il core della struttura informatica principale, sul quale si poggia la piattaforma illegale.
L’attività, ancora in corso, ha consentito l’acquisizione degli elementi di prova informatica detenuti dalle società estere coinvolte nella fornitura dei servizi informatici al sodalizio criminale.
Non si escludono, a questo punto, ulteriori sviluppi circa la completa ricostruzione della vasta rete di clienti del sodalizio criminoso (società di investigazione privata e di riscossione dei crediti).
Ingenti i proventi dell’attività criminale, se si pensa alle decine di migliaia di interrogazioni illecite su commissione già accertate e che una singola interrogazione delle banche dati istituzionali veniva venduta a partire da 1 euro “a dato”, anche attraverso sistemi di pagamento evoluto e attraverso l’acquisto in modalità prepagata di “pacchetti di dati sensibili”.
Per l’esecuzione dei provvedimenti restrittivi e di perquisizione, oltre che per l’espletamento della preliminare attività informativa, il CNAIPIC si è avvalso della collaborazione del personale dei Compartimenti di Polizia Postale di Roma, Milano, Napoli, Venezia, Genova e della Sezione di Imperia.
Clicca qui per vedere il video dell’operazione”
IoC – Indicatori di Compromissione
DOMINI
pasker.no-ip[.]org
inpsing.eu[.]pn
puntofisco.freezoy[.]com
parkenetwork.freezoy[.]com
inps-nuovoportaleinps[.]com
mail.inps-nuovoportaleinps[.]com
onefruitgroup.inps-ced[.]com
word.onefruitgroup.inps-ced[.]com
www.inps-ced[.]com
www.ced-ania[.]com
ced-ania[.]com
info-servizi[.]com
inps-ced[.]com
ignoti.ddns[.]net
ignoti[.]org
www.netinps-nuovoportaleinps[.]com
netinps-nuovoportaleinps[.]com
mail.netinps-nuovoportaleinps[.]com
www.ignoti[.]org
mail.ispettorato-del-lavoro[.]com
ispettorato-del-lavoro[.]com
wp.ispettorato-del-lavoro[.]com
mail.ignoti[.]org
webmail.info-servizi[.]com
pop.inps-ced[.]com
mail.info-servizi[.]com
IPv4
199.103.56[.]164
199.103.56[.]165
199.103.56[.]166
199.103.63[.]221
176.120.62[.]42
138.201.207[.]87
URL
http://www.scuolaelementarediorziveccho.191[.]it/Public/Articolo.txt
http://www.scuolaelementarediorziveccho.191[.]it/Public/ORD-ALL/ORDINPS.txt
http://www.scuolaelementarediorziveccho.191[.]it/Public/ORD-ALL/ORD2016.txt
http://www.scuolaelementarediorziveccho.191[.]it/Public/ORD-ALL/ORD2017.txt
http://www.scuolaelementarediorziveccho.191[.]it/Public/ORD-ALL/ORD-2017.txt
http://www.scuolaelementarediorziveccho.191[.]it/Public/ORD-ALL/ORD-2018.txt
http://www.scuolaelementarediorziveccho.191[.]it/Public/ORD-ALL/ORD-2019.txt
http://www.scuolaelementarediorziveccho.191[.]it/Public/ORD-ALL/ORD-2020.txt
http://www.scuolaelementarediorziveccho.191[.]it/Public/ORD-ALL/ORD-LAV.txt
http://199.103.56[.]165/ORD-2020.txt
http://199.103.63[.]221/progsKK/Articolo.txt
http://199.103.63[.]221/ORD-ALL/ORDINPS.txt
http://inpsing.eu[.]pn/ORD-ALL/ORD-2018.txt
http://inpsing.eu[.]pn/ORD-ALL/ORD-2019.txt
http://puntofisco.freezoy[.]com/ORD-ALL/ORD2017.txt
https://info-servizi[.]com/CISCO%20Update%20Management.exe
http://138.201.207[.]87/ORDINI/Host.txt
http://138.201.207[.]87/ORDINI/ORDINE.txt
http://199.103.56[.]165/ORDINI/ORDINE.txt
ARTEFATTI
Archivio autoestraente
3F3B37770FB939A6CAD74E455192BD5843983F7131962CDEFBBD7D0F956DE925
f88e97c29499529a01ee211f6744a2d5ea50c513d02b1185069580d886ee315a
JosephDownloader
498edf7e9c4a5334b1da18c5c9a8a722479472f06f6d2ec43d06097afc18902c
NTR Cloud related
2b6e47727086439d904a9c44bf1e09d6b424e7235b9e7c9ec388903295a4e7c4
e0f63e95003d9658ec213d13c01085208a3884cd410c54f547a80f6b68ca940f
a3cbdc308d626de4e9de4ab2fe9c658cf5b8f2fa90ed724a7bcade5450154f6f
8df9a67ef5b2e287b79610b97042d350ec49308c5b10ad58a7a65fe77a839a37
Remove NTR Uninstaller
221dbce9d8d76b4b9652dabfd97af7f8f08c81658d1fa28cef4b911d57ffc5c8
Remote Administration Client:
ba2afd7f93c99b7a7a59a9f6bedd7483390be63d79e61a90485839a08f33bd41
12bc2271f1028192e643c23aea3eb3d802dd24d03ece51f62db4dd0c81e7aff2
dd24e53f878c083f08795e1482ee67c971b80b27264ea6d30adafeaaa9ae27df
dee3f48ab20e6b91b121e8c494394bba24c31a0edfe6b36360b604d25ed7a7a4
RemoteUtilitiesHider
9af05270999fb97c3e0b25cc76e644be34b80442297b44103bae829f70d1820a
AdvancedLoggin
7d6bc74a2b9182b212a7bff0ffef939f19edc998e45030946190d88f833571d2
b8199adb4e5d15a28f30ea2f55077f1d5c4155188067c64cf4f80f6aa88c3b5b
Key Monitoring Plus related
f7b45d23935f6be89ef789569d17440928ec930c6485170568b8844489ef1087
479a6d93ab6f39975bd49e59fe94012e0ea5434f4c139a33fcc25650b9c3d541
e4e5ae8281ed63b2bbf362e65d21846da422909334146bc96dfecf5bc2a1ccbf
CyclicOrder
482daa38a4d23fbfabb856edda0026923648f7995dc7ad87a82958cea56756a8
26884d7ec333cd77c30c4f4df0f3f7b3db9e54ac5d8ef2a42130d2b7c58e86ae
CyclicLogger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6e9e2e275aec9626fa97ebe4a6b49cc724dd134ff1d949cbea019b1525fcaba9
2f2bee19f167da6b5f2c136c839bb4761ee3385e6a325c1ff9a9170d830d120c
be64a9c52eb24e112a9b4d0f74c077d964ca4d9818b9d0e0426cf2021c113272
0f6dfaf3116b17f920082fcfd63b58b3856eb13f17914b272cfebe13d028f163
3eb6931a6b2d48bdd0fa1f594aaacdd1513e8f41e2daf5c70eee9e5fad5fd364
584cd0490ff2f601be43426820ced5d2ae20f13c98e561679d2514abb1342be7
Josar
7b4e2adc9f82701b50eeb0d9bc8355232b7a12cadf3fcfe3c0ff943df117a1a8
6753a688c7cba04f1a51292d1bc56f0b103b259e41f549a349001d23cdd9aa5d
0523513ba974ff4795cc6f9b7e1329740527531ad033bd1afadfeb6315c08c34
Core Impact
7ecd81e44a08d094ca4c4413c8a5e7334930696e6033db929bceb987616ac822
Reverse Proxy Module
806150AE2AB719A0F4970A663D2147B0887C50C49B8617DF73FD126FD2B75843
Reverse Proxy Client
84637762ad3477774f8d5c5bc4fcff4fd2d4d14f5213c8c76f7d1ac2b96b3ce7
BProxyClientV2
528a0a65dd773da0031d98ead1c5bf9a1e3ec904e52f002d3b1693eb842266b2
FONTE: TS-Way – https://www.ts-way.com/it/weekly-threats/2019/11/22/individuato-e-arrestato-lavversario-oorn/