Il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche – C.N.A.I.P.I.C. – della #Polizia Postale e delle Comunicazioni, con l’ausilio della Sezione Polizia Postale di #Cosenza ed il supporto logistico della Stazione dei Carabinieri di San Giorgio Albanese (CS) ha eseguito una perquisizione locale e personale nei confronti di un ventottenne italiano residente nella provincia di Cosenza resosi responsabile del reato di “intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche” (Art. 617 quater C.P.).
Il provvedimento, eseguito all’interno dell’abitazione ove il giovane risiede insieme ai genitori, è stato emesso dalla Procura della Repubblica di Roma, che ha coordinato l’indagine.
L’operazione è il frutto di una proficua attività di collaborazione internazionale intrapresa con la polizia olandese, che ha ricevuto il supporto di Europol per il tramite dell’EC3 e della #Joint #Cybercrime #Action #Taskforce.
Nel corso della perquisizione sono stati sequestrati computer e supporti informatici utilizzati per portare a compimento l’attività illecita.
L’operazione, denominata “PowerOFF” è stata avviata nel 2017 dalla #National #High #Tech #Crime #Unit della polizia dei Paesi Bassi nei confronti di alcuni amministratori del sito webstresser.org <http://webstresser.org> , attraverso il quale è possibile acquistare e utilizzare servizi cosiddetti di “stress test”, cioè programmi informatici usati per verificare, ma soprattutto superare, le protezioni dei sistemi informatici. Nello specifico, le autorità olandesi hanno comunicato al C.N.A.I.P.I.C. alcune tracce informatiche relative a cyber attacchi effettuati nei confronti di diversi target.
I dati forniti sono stati sviluppati a seguito di una minuziosa attività investigativa intrapresa dal C.N.A.I.P.I.C. tramite ricerca di informazioni su fonti aperte (OSINT) concentrando l’attenzione in particolare sulla consultazione di forum dedicati all’attività di hacking. dalla disamina dei post presenti in un forum si è riusciti ad isolare un nickname “nembokidd”, il quale risultava molto attivo nella compravendita di botnet anche attraverso pagamento in bitcoin. Gli ulteriori controlli ed i riscontri sui pagamenti a livello internazionale condotti da personale specializzato del centro hanno permesso di evidenziare come l’utente in questione avesse condotto nel tempo 273 attacchi informatici 143dei quali, diretti verso siti istituzionali italiani ed infrastrutture critiche nazionali come la #CameradeiDeputati, il #MinisterodellaDifesa, l’Arma dei #Carabinieri, la Polizia di Stato, l’agenzia giornalistica #ANSA, nell’arco temporale che va dall’autunno del 2017 al febbraio di quest’anno. Grazie all’attenta valutazione delle informazioni ottenute e alla loro comparazione con quelle presenti in banca dati, si è quindi riusciti, nonostante le tecniche di anonimizzazione utilizzate, ad individuare l’utente celato dietro il nickname nembokidd, acquirente e utilizzatore dei servizi criminali messi in vendita on line, indentificato per A.G. di 28 anni, esperto informatico, residente in provincia di cosenza, il quale annovera numerosi precedenti di polizia e pregiudizi penali, già sottoposto alla misura di sicurezza della libertà vigilata per fatti precedenti.
Il sito webstersser.org <http://webstersser.org> era considerato il più grande mercato ove poter acquistare servizi per lanciare attacchi di tipo DDoS (Distributed Denial of Service), con oltre 136.000 utenti registrati e circa 4 milioni di attacchi rilevati su scala globale nel solo mese di aprile 2018, aventi come obiettivi banche, siti istituzionali, forze di polizia nonché portali commerciali di diversa natura In un attacco DDoS condotto attraverso tali servizi, un attaccante è in grado di controllare da remoto diversi dispositivi connessi, allo scopo di dirigere un’ ingente quantità di traffico verso un determinato sito o piattaforma online. In conseguenza di tali attacchi, i siti risultano enormemente rallentati, fino all’inutilizzabilità da parte degli utenti, ovvero alla compromissione del servizio posto off line.
Il ricorso al sito webstersser.org <http://webstersser.org> offriva la possibilità di eseguire attacchi DDoS a chiunque, infatti bastavano 15 euro al mese, corrisposti attraverso sistemi di pagamento online o tramite criptovalute, per acquistare “stresser” o “booter”. ovviamente i costi variavano a seconda del livello – intensità dell’attacco.
Gli arresti degli amministratori del sito sono avvenuti in Croazia, Regno Unito, Canada e Serbia, mentre altri provvedimenti sono stati eseguiti nei confronti di utilizzatori del sito in Olanda, Spagna, Croazia, Regno Unito, Australia e Canada.
Le operazioni sono state condotte simultaneamente e si sono concluse con l’arresto di 8 persone, l’esecuzione di 10 perquisizioni domiciliari, il sequestro di oltre 40 dispositivi, 4 server, 1 dominio internet di 1° livello e con la denuncia di 10 persone.
Nel quadro delle strategie di protezione delle infrastrutture critiche informatizzate, l’istituzione, all’interno del Servizio Polizia Postale e delle Comunicazioni, del Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC) si propone come modello operativo di assoluto carattere innovativo, anche in relazione al contesto internazionale.
Ai sensi dell’art. 7 bis della legge 31 luglio 2005 n. 155 (che ha convertito con modificazioni il decreto legge 27 luglio 2005 n. 144, recante “Misure urgenti per il contrasto del terrorismo internazionale”) il CNAIPIC è incaricato, in via esclusiva, dello svolgimento di attività di prevenzione e contrasto dei crimini informatici, di matrice criminale comune, organizzata o terroristica, che hanno per obiettivo i sistemi informatici o le reti telematiche a supporto delle funzioni delle istituzioni e delle aziende che erogano o gestiscono servizi o processi vitali per il Sistema Paese, convenzionalmente definite infrastrutture critiche informatizzate e che, sempre ai sensi della citata norma di legge, sono state individuate come tali con il decreto del Ministro dell’Interno del 09 gennaio 2008.
Il CNAIPIC interviene, quindi, in favore della sicurezza di una gamma di infrastrutture connotate da una criticità intersettoriale (in virtù dei sempre più stretti vincoli di interconnessione ed interdipendenza tra i differenti settori infrastrutturali) e su una tipologia di minaccia che può avere tanto un’origine extraterritoriale quanto una proiezione ad “effetto domino” e transnazionale delle sue conseguenze.
Il modello operativo si fonda, inoltre, sul principio delle partnership “pubblico-privato”: il CNAIPIC, infatti, assume (mediante un Sala operativa disponibile h24 e 7 giorni su 7) una collocazione centrale all’interno di un network di realtà infrastrutturali critiche (istituzionali ed aziendali), ed opera in stretto collegamento con organismi di varia natura (nazionali ed esteri), impegnati tanto nello specifico settore quanto sul tema della sicurezza informatica, con i quali intrattiene costanti rapporti di interscambio informativo e provvede (attraverso Unità di intelligence e di analisi) alla raccolta ed all’elaborazione dei dati utili ai fini di prevenzione e contrasto della minaccia.
Il suddetto rapporto di partenariato trova il proprio momento di formalizzazione nella stipula di specifiche convenzioni; dal 2008 ad oggi sono state stipulati 39 accordi.
All’interno del CNAIPIC è inoltre operativo l’ufficio del punto di contatto italiano per le emergenze tecnico-operative connesse al verificarsi di episodi di criminalità informatica transnazionale, secondo quanto stabilito dalla Convenzione sul Cybercrime sottoscritta a Budapest il 23 novembre 2001.
Il punto di contatto opera 24 ore su 24 e 7 giorni su 7, all’interno della rete High Tech Crime costituita in ambito G7, e successivamente estesa al Consiglio d’Europa.
La rete, attualmente composta da 82 Paesi, ha quale scopo primario la pronta risposta alle richieste di c.d. freezing dei dati all’omologa struttura, in attesa della formalizzazione tramite rogatoria o MLAT.
