Page 74 - Rassegna 2019-4
P. 74

DOTTRINA



                  I due sono infatti riusciti ad immagazzinare su alcuni server (Command and
             Control)  allocati negli Stati Uniti (e sequestrati in collaborazione con la Cyber
                    (10)
             Division dell’FBI) una mole imponente di dati sensibili, password e messaggi ,
                                                                                      (11)
             la maggior parte dei quali celati all’interno di migliaia di file crittografati per
             ostacolarne a posteriori l’identificazione. Secondo l’accusa, a partire circa dal
             2010 sono state così carpite oltre 3,5 milioni di mail e spiate circa seimila per-
             sone ,  circostanza  che  avrebbe  spinto  l’accusa  a  richiedere  condanne  più
                 (12)
             pesanti, rispettivamente a nove e sette anni di reclusione.

                  di contatti proporzionale al numero dei propri clienti. Nel caso in oggetto, gli account di
                  posta hackerati sono stati tutti quelli ufficiali di enti specifici: @bancaditalia.it, @esteri.it,
                  @pdl.it, @unibocconi.it, tesoro.it, @gdf.it @partitodemocratico.it solo per citarne alcuni.
                  Migliaia di indirizzi che possono essere stati infettati in due modi: o colpendo un account alla
                  volta con il metodo delle email con allegati fittizi, oppure mirando direttamente all’account
                  degli amministratori dei vari domini. Una volta hackerato, infatti, è possibile estendere il pro-
                  prio controllo a tutti gli indirizzi appartenenti a quel dominio grazie all’acquisizione dei “pri-
                  vilegi” dell’amministratore stesso.
             (10)  Un Command and Control (C&C) è un server utilizzato per controllare l’azione di un malware
                  (e più in generale di una botnet), inviando file di configurazione alle macchine compromesse
                  e/o raccogliendo i dati da esse carpiti.
             (11)  Una volta penetrato nelle caselle di posta, il malware era in grado di leggere i dati contenuti
                  nelle email, copiarli e inviarli all’esterno (senza lasciare traccia alcuna) su servizi condivisi di
                  cloud storage (in caso di file molto pesanti), oppure come allegati e-mail a una serie di caselle
                  gratuite del tipo @gmx.com (dominio gestito dalla società statunitense 1&1 Mail&Media
                  Inc.), a cui avevano accesso esclusivamente gli autori dell’attacco. Dalle intercettazioni tele-
                  matiche effettuate dalla polizia a mezzo captatore informatico, è maturata infatti la prova che
                  Occhionero accedeva, direttamente e senza “canali di offuscamento” a tutti i server di C&C
                  creati per governare gli host infettati.
             (12)  Attraverso le intercettazioni telematiche (a mezzo trojan) disposte dall’AG, in una delle drop
                  zone (lo spazio di memoria ove vengono inviati e raccolti i dati sottratti da un malware) utiliz-
                  zate in modalità “cloud”, è stata individuata una cartella “Data” contenente un database in
                  formato Access 2013 denominato InfoPyramid.accdb dove sono stati rinvenuti ben 87 Gb
                  di dati esfiltrati. Nello specifico, si parla di 18.327 username controllati, di cui 1.793 com-
                  prensivi di password, categorizzati in 122 cartelle gestite direttamente dall’ing. Occhionero e
                  denominate  “Nick”:  ciascuna  indicava  una  particolare  tipologia  di  target  (politica,  affari
                  ecc…), oppure le iniziali delle loro generalità. Ad esempio, nella cartella “BROS”, diminutivo
                  dall’inglese “brothers”, sono stati rinvenuti 524 differenti account di posta elettronica relativi
                  a 338 nominativi appartenenti a membri della massoneria, alla quale lo stesso Occhionero
                  apparteneva  in  quanto  membro  della  loggia  “Paolo  Ungari  -  Nicola  Ricciotti  Pensiero  e
                  Azione” di Roma. La cartella “POBU” (acronimo di “politics business”) ha invece rivelato
                  la presenza di 674 account, 29 dei quali corredati dalla relativa password, riferiti a domini isti-
                  tuzionali o riconducibili ad importanti esponenti politici. La cartella “TABU”, abbreviazione
                  di TA=Taranto, BU=Business, raggruppava invece diversi account e password con dominio
                  port.taranto.it; giova qui sottolineare che la società “Westland Securities”, riconducibile a
                  Giulio e Francesca Occhionero, all’epoca dei fatti aveva già fornito consulenza al governo
                  statunitense in un’operazione commerciale per la costruzione di infrastrutture nel porto di
                  Taranto. In generale, tuttavia, non è stato del tutto chiarito se il profilo criminale della coppia,
                  al di là della semplice commissione di reati informatici, contemplasse il procacciamento di
                  informazioni sensibili per il solo scopo di trarne diretto vantaggio relativamente alla loro atti-
                  vità di consulenti finanziari, oppure agissero per conto di una rete più estesa di committenti
                  a cui venderle una volta catturate.

             72
   69   70   71   72   73   74   75   76   77   78   79