Tommaso Magrini

Tommaso Magrini

Lug 3, 2017

Da Fancy Bear a Lazarous: i gruppi hacker più pericolosi al mondo

Dopo WannaCry arriva Petya, il nuovo attacco informatico globale. Ma ecco quali sono i gruppi hacker più pericolosi al mondo, dai russi, ai nord coreani passando dai cinesi

C’è chi dice sia una variante modificata di Petya. C’è chi sostiene invece che si tratti di un nuovo ransomware e lo ha ribattezzato ExPetr. Una cosa è certa: un nuovo attacco hacker si è diffuso su scala globale. Il bersaglio primario è stata l’Ucraina, dove sono stati colpiti aeroporti, banche, funzionari governativi e la centrale nucleare di Chernobyl. Tra le altre “vittime” del cyberhacking istituzioni e imprese di Russia, Regno Unito, Danimarca, Polonia, Italia e India. Il tutto a poche settimane di distanza da WannaCry, a testimonianza del fatto che la cybersecurity sta assumendo, o dovrebbe assumere, un’importanza sempre più vitale per le politiche digitali di qualsiasi paese. I gruppi hacker in azione sono sempre più preparati e numerosi. In attesa di sapere qualcosa di più su questo nuovo assalto informatico, può essere utile capire quali di questi gruppi hacker sono i più pericolosi.

Fancy Bear, Cozy Bear e Sandworm: dalla Russia con “amore”

Gli hacker russi sono sulla bocca di tutti da un anno circa. Da quando, cioè, si è cominciato a parlare dei possibili tentativi di Mosca di influenzare le elezioni americane. Sul punto farà (forse) luce l’inchiesta Russiagate che vede implicato, tra gli altri, persino lo stesso presidente degli Stati Uniti, Donald Trump. In effetti i gruppi hacker attivi in Russia sono parecchi e secondo molte fonti sono spesso emanazioni governative. L’esempio più celebre è Fancy Bear (a.k.a. Sofacy e Pawn Storm), attivo già dal 2004. Il suo modus operandi suggerisce grandi mezzi e connessioni di altissimo livello. Fancy Bear non si fa scrupoli nell’attaccare governi, eserciti e servizi segreti. Il tutto in conformità al volere del Cremlino. Ha provocato il leak delle email private di Hillary Clinton ed è responsabile delle interferenze sulla campagna elettorale di Emmanuel Macron. Se la radice di Fancy Bear è militare, quella del gruppo “gemello”, Cozy Bear (a.k.a. CozyDuke e Office Monkeys), va ricercata nell’intelligence. Il gruppo è infatti considerato un’emanazione dell’FSB, erede del KGB sovietico, e tra i suoi target prediletti figurano i think tank americani. Un altro gruppo hacker attivo in Russia è Sandworm (a.k.a. Electrum), specializzato nel ramo delle infrastrutture. Ha preso spesso di mira il governo ucraino, la Nato e altre compagnie di alto livello operanti nel settore dell’energia. E’ sospettato di aver causato l’imponente blackout che ha colpito ampie zone dell’Ucraina nel 2016.

Lazarus Group, la cyberarma segreta di Pyongyang

Negli ultimi anni un altro gruppo hacker molto attivo e pericoloso è Lazarus Group (a.k.a. DarkSeoul e Guardians of Peace). La maggior parte degli esperti è convinta che dietro il gruppo ci sia la Corea del Nord, anche se la connessione diretta con il regime di Pyongyang non ancora stata provata. Ciò che è certo è che Lazarus ha rappresentato una minaccia primaria per la sicurezza informatica del governo della Corea del Sud, nemico tradizionale della parte settentrionale della penisola. L’attacco che ha fatto più scalpore è stato però quello del 2014 alla Sony Pictures Entertainment, proprio in corrispondenza della prevista uscita al cinema del film The Interview, che faceva satira proprio sul presidente nordcoreano Kim Jong-un. Nel 2016 il gruppo ha messo a segno un clamoroso cyberfurto, sottraendo 81 milioni di dollari alla Banca centrale del Bangladesh.

Gli hacker cinesi di Comment Crew

La Cina sponsorizza una corposa squadra di gruppi hacker. Il più pericoloso è probabilmente Comment Crew (a.k.a. APT1 e Shanghai Group). Molti analisti ritengono che sia una costola dell’esercito popolare di liberazione. Prende il nome dalla sua abitudine di nascondere i commenti dalle pagine web. A Comment Crew sono addebitati cyberattacchi ai danni di grandi multinazionali come Coca Cola, RSA, Lockheed Martin. Lo spionaggio industriale di Pechino sembrava essersi ridimensionato dopo la distensione con Washington e l’accordo in materia di cyberspionaggio tra Barack Obama e Xi Jinping. Ma l’attività hacker di Pechino non si è mai fermata del tutto e in questi tempi incerti il suo motore potrebbe presto tornare a pieni giri.

Lizard Squad e i nuovi “cani sciolti”

Ci sono poi gruppi hacker meno strutturati ma che comunque rappresentano una minaccia sensibile. E’ il caso di Lizard Squad, conosciuto soprattutto per attacchi DDos. Nel 2014 sia Microsoft sia Sony sono stati vittime del gruppo ed erano apparse bandiere dell’Isis sulle interfacce dei videogiochi di X-Box e PlayStation. Nel 2015 Lizard Squad ha preso invece di mira il sito della compagnia aerea Malaysian Airlines e alcuni tra i principali social network, come Facebook e Instagram, oltre l’app di incontri Tinder e le utenze della cantante americana Taylor Swift. L’ultimo gruppo apparso sulla scena si fa chiamare Shadow Brokers. Afferma di aver rubato dati informatici sensibili alla NSA e di averli rimessi sul mercato per venderli al miglior offerente. “Cani sciolti” o eterodiretti? C’è chi collega anche Shadow Brokers alla Russia ma per ora, come nel caso Petya/ExPetr non ci sono indicazioni definitive.