Immagine in evidenza: FBI alla ricerca di informazioni su LAPSUS$
È il 24 marzo 2022 e siamo nel Regno Unito. La polizia di Londra arresta 7 teenager con l’accusa di essere collegati a LAPSUS$, un gruppo emerso apparentemente dal nulla e che nell’ultimo anno ha saputo farsi un nome di tutto rispetto nelle cronache dei crimini informatici globali con casi che coinvolgono aziende del calibro di Electronic Arts, Microsoft, Vodafone, Nvidia, Samsung e Okta oltre che il Ministero della Salute brasiliano.
Non si sa ancora molto di questo gruppo, ma c’è un elemento degno di nota: il presunto leader di LAPSUS$ ha 16 anni e si stima che i suoi crimini informatici gli abbiano permesso di guadagnare oltre 14.000.000$. Suo padre, intervistato dalla BBC, ha dichiarato che il figlio “non ha mai parlato di hacking, ma è molto bravo con i computer e ci passa davanti un sacco di tempo. Ho sempre pensato che stesse giocando ai videogiochi.”
Come si parte dal “passare un sacco di tempo davanti al computer” fino a diventare il boss di una macchina del crimine da svariati milioni di dollari? Quella di LAPSUS$ è una storia eccezionale ma poi non così insolita nella storia della criminalità informatica.
Il curriculum di LAPSUS$
Le vicende di LAPSUS$ sembrano iniziare nel giugno del 2021, quando la casa di produzione di videogiochi Electronic Arts annuncia di essere stata vittima di una violazione informatica che ha permesso il furto di 780 gigabyte di dati interni all’azienda, tra cui il codice sorgente di Frostbite, il motore di gioco utilizzato per sviluppare titoli del calibro di FIFA, Madden e Battlefield.
Non c’è nulla di strano in una notizia del genere. I retroscena, però, rendono LAPSUS$ un esempio da manuale quando si parla di protagonisti molto giovani che si ritrovano ad avere a che fare con crimini informatici più complessi del previsto. Il giornalista Joseph Cox, su VICE, racconta di una conversazione avuta con un rappresentante del gruppo dopo la violazione dei sistemi di Electronic Arts: “gli hacker volevano monetizzare i dati ottenuti ricattando Electronic Arts. Ma non avevano idea di come fare,” spiega Cox.
I membri di LAPSUS$, infatti, hanno chiesto al giornalista di fare da tramite tra loro ed Electronic Arts, fino ad arrivare al punto in cui è stata l’azienda stessa a chiedere al giornalista di metterla in contatto con il gruppo per negoziare. Cox, scrive nell’articolo, ha rifiutato entrambe le richieste.
Quello di Electronic Arts è il primo di una serie di casi quantomeno curiosi. Nel febbraio del 2022, la produttrice di processori grafici Nvidia ha subito una pesante violazione che ha esposto, tra le altre cose, le informazioni personali di oltre 71.000 dipendenti passati e presenti dell’azienda. I colpevoli? LAPSUS$. La loro richiesta? Rendere open-source i driver delle loro schede grafiche e rimuovere il blocco anti-criptovalute, pensato per limitare le potenzialità per il mining di Ethereum – il processo con cui generare nuova criptovaluta, in questo caso dalla piattaforma blockchain Ethereum – da tutte le schede grafiche dalla loro serie 30. Oltre a ciò, LAPSUS$ aveva dichiarato pubblicamente che avrebbe venduto un bypass per questo blocco a 1.000.000$.
Nel maggio del 2021, infatti, Nvidia aveva annunciato l’estensione del dimezzamento dell’hash rate di alcune schede grafiche di alta fascia particolarmente appetibili per individui ed organizzazioni impegnati nel mining di criptovalute: l’hash rate, infatti, è uno dei principali valori che descrivono la velocità attraverso la quale una singola scheda grafica può “estrarre” una data criptovaluta. Dimezzare questo valore significa, per Nvidia, scoraggiare il mondo delle criptovalute dall’acquistare determinati prodotti pensati per altri scopi, come per esempio il gaming.
Come lavora LAPSUS$
Qualche settimana fa raccontavamo la storia di Conti Group, un’organizzazione dedita allo sviluppo e alla diffusione di ransomware, per la quale, dopo un importante leak di informazioni interne, è stato possibile descrivere la struttura organizzativa: complessa e gerarchica, simile a quella di un’azienda.
Ma la storia della criminalità informatica è popolata anche di casi molto diversi da quello di Conti Group. LAPSUS$, per esempio, si organizza in modo molto più snello e comunica con il pubblico attraverso due canali Telegram: uno dove il gruppo pubblica le proprie comunicazioni, un altro dove è possibile conversare con altri utenti interessati agli sviluppi delle azioni di LAPSUS$. Anche i giornalisti possono accedere a quest’ultimo gruppo e fare, per esempio, qualche domanda. Come riportato da Raphael Satter, giornalista di Reuters, l’accoglienza però è quantomeno bizzarra: a un messaggio di presentazione pubblicato dal giornalista, l’utente rave1337 ha risposto domandando “quanto è grande il tuo pene[?]”, un altro utente chiamato Pentagon, invece, ha risposto affermando “mi piacciono gli uomini”.
Ancora, come riportato dall’analisi del ricercatore Brian Krebs, durante un tentativo di violazione da parte di LAPSUS$ nei confronti di Microsoft, l’azienda è riuscita a interrompere l’attacco prima che venisse portato a termine anche perché lo stesso gruppo aveva dichiarato pubblicamente l’inizio dell’operazione. Poco dopo, LAPSUS$ ha confermato l’interruzione della violazione: “l’accesso si è interrotto mentre dormivo — sarebbe stato un dump completo, ma eravamo tutti stanchi.” Il burnout esiste anche nelle organizzazioni ben più serie e strutturate – come abbiamo raccontato di Conti Group – ma qui si poteva già intuire un approccio meno professionale.
È proprio dalla parziale violazione dei sistemi Microsoft, e dalla successiva indagine dell’azienda, che emergono alcune delle caratteristiche più rilevanti dell’organizzazione. In un’analisi pubblicata dalla multinazionale tech, vengono descritte le tecniche di attacco di LAPSUS$ e come spesso la gang riesca ad accedere ai sistemi delle organizzazioni target grazie a dei “dipendenti (o dipendenti di fornitori) complici”, evidenziando la capacità di LAPSUS$ di impiegare tecniche di ingegneria sociale (basate quindi sull’inganno e la manipolazione), ancora prima che di hacking, per infiltrarsi nei propri bersagli.
Microsoft sottolinea poi sul proprio blog l’importanza delle tecniche di ingegneria sociale per organizzazioni come LAPSUS$:
“DEV-0537 [la sigla con cui Microsoft ha identificato LAPSUS$] ha pubblicizzato di voler acquistare le credenziali di accesso ai loro bersagli così da invogliare i dipendenti o i fornitori a prendere parte alla loro operazione. In cambio di un pagamento, il complice doveva fornire le proprie credenziali e approvare la conferma di autenticazione multi-fattore, oppure installare applicazioni come AnyDesk o altri software di controllo remoto, su un computer aziendale, così da permettere agli attaccanti di prendere il controllo di un sistema fornito di autenticazione. Questa tattica è solo uno dei modi in cui DEV-0537 si è avvantaggiato degli accessi e delle relazioni imprenditoriali che le organizzazioni bersaglio hanno con i propri fornitori e la loro catena di fornitura.”
Nel corso degli ultimi anni l’utilizzo di questo tipo di tecniche è aumentato esponenzialmente. Nel tempo, si sono create vere e proprie community online dedicate all’utilizzo di tecniche di ingegneria sociale per ottenere accesso a determinati account di grande valore sui social media (ad esempio nomi utente particolarmente ricercati su Instagram, Twitter, TikTok o nel mondo del gaming) e poi alla compravendita di queste credenziali ad altri interessati a sfruttarle. Sono nati anche forum, come OGUsers, dedicati alla compravendita di profili rubati. In questi luoghi alcune delle tecniche più utilizzate sono il phishing telefonico e il SIM swapping, una truffa in cui ci si fa riassegnare il numero telefonico di un’altra persona, usati per trafugare account Instagram ma anche account di criptovalute.
Il social engineering (o ingegneria sociale) in ambito informatico si riferisce a un insieme di tecniche basate sull’interazione umana, in genere su inganno e manipolazione, per eseguire attività malevole, come ottenere credenziali di accesso o agevolare l’infezione di un dispositivo o convincere qualcuno a fare qualcosa che non dovrebbe fare (ad esempio girare dei soldi su un conto in mano agli attaccanti). Tra le tecniche più note ci sono il phishing o la cosiddetta frode del Ceo. Ma le azioni possono assumere forme anche molto elaborate, in cui ad esempio l’attaccante può fingere di essere l’assistenza tecnica, e in quanto tale farsi dare l’accesso a un dispositivo. Oppure può ottenere il controllo di un account manipolando non il proprietario dello stesso ma un dipendente del suo operatore telefonico in modo da farsi riassegnare il numero di telefono della vittima (SIM swapping) per poi controllarne gli SMS con cui autenticarsi nei suoi account.
Tra le raccomandazioni del report di Microsoft su LAPSUS$ c’è proprio quella di non usare gli SMS come fattore di autenticazione per ridurre il rischio derivante da SIM swapping.
Le tecniche di ingegneria sociale
In un’analisi pubblicata dall’agenzia di cyber-intelligence Flashpoint, viene evidenziato come LAPSUS$ non comunichi pubblicamente mediante dei siti sulla clearnet (la rete in chiaro, quella che usiamo normalmente per navigare) o sulla darknet (le reti, cui si accede con specifici software, che permettono un maggiore anonimato) come accade normalmente. Invece, utilizza esclusivamente Telegram e le email. Ancora, nell’analisi pubblicata da Microsoft si legge di come LAPSUS$ sia nota per prendere di mira in particolare le caselle email dei dipendenti delle aziende che vuole colpire.
A volte, le operazioni partivano proprio dal compromettere prima di tutto i dati di un dipendente per ottenere ulteriori informazioni e credenziali per infiltrarsi nell’organizzazione, “spesso colpendo anche le email personali, perché i dipendenti le utilizzano come elemento di autenticazione a due fattori per i loro account lavorativi.”
In altri casi riportati da Microsoft, sembra che LAPSUS$ agisse chiamando il servizio di supporto dell’azienda e tentasse di convincere gli operatori a resettare le credenziali di un dato account. Le intrusioni effettuate ai danni dei singoli dipendenti permettevano a LAPSUS$ di raccogliere informazioni personali circa il lavoratore, fondamentali poi per risultare credibili al servizio di supporto. L’organizzazione, che secondo alcuni osservatori avrebbe membri anche in America Latina e Portogallo, “aveva a disposizione dei madrelingua inglesi per parlare con il servizio di supporto e migliorare le loro capacità di ingegneria sociale.”
LAPSUS$ si serviva anche di tecniche di SIM swapping che consistevano nel convincere o nel corrompere un dipendente di un’azienda telefonica a trasferire un determinato numero di telefono (quello della vittima) sul proprio dispositivo, così da poter intercettare gli SMS utilizzati dai sistemi di sicurezza per resettare password e utilizzare l’autenticazione a 2 fattori.
In generale, LAPSUS$ effettuava i propri attacchi in modo molto più rumoroso del solito: ne parlava pubblicamente online, lasciava tracce, rovistava nelle informazioni delle persone collegate al bersaglio per recuperare informazioni chiave e pubblicizzava la ricerca di complici da compensare all’interno delle organizzazioni. Non si impegnava per passare inosservata. La nota forse più clamorosa arriva ancora dall’analisi di Microsoft, che racconta di come alcuni membri di LAPSUS$ si spingessero così in là da unirsi alle discussioni sui forum interni delle vittime e si intrufolassero nelle chiamate Slack e Microsoft Teams dei team di sicurezza informatica delle aziende, per origliare le loro conversazioni.
Quando l’attaccante è un teenager
Quella di LAPSUS$ non è l’unica storia che unisce intrusioni informatiche o attività cybercriminali a protagonisti estremamente giovani. A volte motivati da soldi, altre volte da intenti politici, altre ancora solo dal fatto di poterlo fare. Nel 2020, l’americano Graham Ivan Clark viene individuato come autore di un attacco di social engineering che nel luglio dello stesso anno gli aveva permesso di diffondere attraverso gli account Twitter di persone famosissime come Barack Obama, Joe Biden, Elon Musk e Jeff Bezos un falso annuncio che gli ha permesso di rubare l’equivalente di 120.000$ in bitcoin. Clark, al tempo, aveva 17 anni ed è stato condannato a 3 anni in prigione. Aveva iniziato con delle truffe sul videogioco per ragazzini Minecraft, per poi passare al mondo delle criptovalute.
Tra il 2015 e il 2016, l’inglese Kane Gamble (e il suo team Crackas With Attitude) ha sfruttato – motivato da un’agenda pro-Palestina – tecniche di ingegneria sociale simili per fingersi John Brennan, l’allora direttore della CIA, e convincere degli operatori di Verizon a consegnargli l’accesso al computer di Brennan, da cui avrebbe poi estratto informazioni relative a delle operazioni in Afghanistan. I Crackas With Attitude, che impiegavano le stesse tecniche su vittime di alto profilo per infastidirle e ricattarle, erano stati fondati da Gamble quando, come riportato da The Telegraph, “ho cominciato ad essere sempre più frustrato e infastidito da quanto corrotto e spietato fosse il governo americano, quindi ho deciso di fare qualcosa.” Gamble, al tempo degli attacchi, aveva 15 anni ed è stato condannato a 2 anni in prigione.
Nel 2015, il gallese Daniel Kelley ha violato i sistemi del provider telefonico irlandese TalkTalk e sottratto i dati personali di 4 milioni di abbonati causando danni – anche grazie al contributo di altri – per oltre 77 milioni di dollari. Kelley aveva compiuto l’attacco all’età di 15 anni e nel 2016 è stato condannato a 4 anni di prigione.
Nel 2010, l’olandese Edwin Robbe ha inaugurato una serie di attacchi DDoS (che consistono nel mandare offline un sito o un servizio sovraccaricandolo di richieste) al provider telefonico KPN finendo per causare danni cumulativi oltre i 3.000.000$ di dollari. Robbe, al tempo, aveva 17 anni ed è stato condannato a circa oltre 240 giorni di detenzione.
L’inglese Ryan Cleary, 19 anni, è stato accusato di essere parte del noto gruppo di hacking LulzSec, autore nel 2011 di numerose violazioni a importanti aziende, anche se la natura degli attacchi era di natura più politica che economica.
Ma si può risalire a più indietro. Negli anni 2000, in Canada, un ragazzo di nome Michael Calce, ma più noto con lo pseudonimo Mafiaboy, manda offline numerosi siti di e-commerce e viene successivamente arrestato all’età di 15 anni.
Se casi come quello di Conti Group ci dimostrano quanta organizzazione sia necessaria per compiere crimini strutturati, le vicende di LAPSUS$ e di tutti i ragazzi citati sottolineano in modo drammatico la scala dei danni che è possibile infliggere grazie alla capacità, determinazione e creatività di persone anche molto giovani, dimostrando come non sempre siano necessarie tecniche sofisticate per compromettere un’organizzazione.