Un kazako di 37 anni è stato identificato come la mente dietro una campagna di hacking che ha fruttato circa 1,5 milioni di dollari, rubando informazioni da oltre 300 aziende e governi in 44 paesi.
di Patrick Howell O’Neill
Conosciuto come Fxmsp, l’hacker è diventato famoso nel 2019 quando ha reso pubblici gli accessi e il codice sorgente delle principali aziende di sicurezza informatica e affermava che avrebbe potuto rendere un cliente “il dio invisibile della rete”. Finora, la sua identità e le tecniche utilizzate erano rimaste in gran parte sconosciute.
Ma oggi un tribunale americano ha svelato le accuse penali che identificano un cittadino kazako, Andrey Turchin, come l’uomo che si cela dietro gli attacchi, e avanzano cinque dettagliate accuse di reato nei suoi confronti. I fatti risalgono al 2018, quando gli investigatori americani dichiararono di aver scoperto la vera identità di Turchin, ma non si erano saputi altri particolari, come spesso succede nei casi che coinvolgono hacker stranieri.
Un giudice del distretto occidentale di Washington ha ora deciso di svelare le accuse in gran parte perché un’azienda di sicurezza informatica, Group-IB, aveva rivelato pubblicamente l’identità di Turchin in un rapporto del mese scorso.
Un attaccante “prolifico”
Fxmsp è emerso per la prima volta nel 2016 come un hacker con molte capacità tecniche e una serie di violazioni dei dati al suo attivo, anche se con poca esperienza aziendale, secondo Group-IB. Nel giro di un anno ha reso pubblici gli accessi alle reti aziendali di banche e hotel in tutto il mondo, segno di un rapido successo e di una sostenuta attività criminale.
Nel 2019, Fxmsp ha fatto notizia pubblicizzando l’accesso ai dati di tre grandi aziende di sicurezza informatica: McAfee, Trend Micro e Symantec. Ha offerto l’accesso alla rete e il codice sorgente a prezzi che vanno da 300.000 a 1 milione di dollari. Funzionari statunitensi affermano che le vittime hanno perso decine di milioni di dollari a causa di malware, accessi non autorizzato e danni alla rete.
Le tattiche utilizzate sono descritte come “molto semplici, ma efficaci” da Group-IB. Fxmsp ha approfittato delle banali lacune nella sicurezza che esistono nelle principali aziende di tutto il mondo, anche nelle organizzazioni che pretendono di essere ben protette. È stato attivo in alcuni dei più noti forum sulla criminalità informatica nel mondo di lingua russa e, dopo aver unito le forze con un altro hacker di nome Lampeduza, è diventato uno dei marketer più prolifici ed efficaci sul mercato.
“Fxmsp è uno dei venditori più prolifici di accesso alle reti aziendali nella storia della criminalità clandestina di lingua russa”, ha dichiarato lo scorso mese Dmitry Volkov del Gruppo IB. “Nonostante i metodi piuttosto semplici che ha usato, Fxmsp è riuscito a ottenere l’accesso ad aziende energetiche, organizzazioni governative e persino ad alcune aziende della lista annuale di Fortune 500”.
Alcuni funzionari hanno affermato che il caso ha coinvolto l’FBI, la National Crime Agency britannica e le società di sicurezza del settore privato. “I prezzi in genere variavano da un paio di migliaia di dollari a oltre un centinaio di migliaia di dollari, a seconda della vittima e il grado di accesso e di controllo del sistema”, ha detto il Dipartimento di Giustizia in un comunicato.
“Molte transazioni sono avvenute attraverso l’uso di un broker e di un deposito a garanzia, che hanno consentito agli acquirenti interessati di provare l’accesso alla rete per un periodo limitato per testare la qualità e l’affidabilità dell’accesso illecito”.
Ma Fxsmp non si è accontentato del successo, ma ha sfidato la tradizione. Una delle regole di lunga data dell’hacking russo è di non hackerare la Russia stessa, o al limite farlo in silenzio. Fxmsp si è comportato nel modo contrario, secondo il rapporto del Group-IB, quando ha cercato di vendere l’accesso alle reti governative russe in cui era entrato. E’ stato pertanto rapidamente bandito dai forum sulla criminalità informatica.
Questo tipo di errori hanno aiutato i ricercatori a stabilire la sua identità. Ora Turchin deve affrontare una serie di accuse, tra cui quelle di abusi e cospirazione informatica per accedere a dati e dispositivi, e frode.
L’estradizione è improbabile
Le forze dell’ordine americane affermano che Turchin probabilmente conosceva da tempo le accuse penali pendenti a suo carico negli Stati Uniti. Le autorità statunitensi, europee e kazake stanno indagando insieme su questo caso. Il Kazakistan non estrada i cittadini e poiché Turchin è un cittadino kazako, il caso sarà probabilmente perseguito in quel paese.
Fxmsp non è ufficialmente attivo dallo scorso anno, quando i riflettori si sono accesi dopo quelle presunte violazioni da 1 milione di dollari dei dati delle aziende di sicurezza informatica. Alcuni recenti rapporti dell’azienda di cibersicurezza Advanced Intelligence, che ha seguito Fxmsp da vicino per anni, ha sollevato altre teorie, incluso che la squadra di hacker sia ancora attiva con altri nomi e in situazioni diverse.
L’accusa è stata avanzata per la prima volta da Seamus Hughes, vicedirettore del Programm of Extremism alla George Washington University.
Immagine: Fxmsp ha reso pubblici gli accessi illeciti alle reti aziendali di banche e hotel. Taylor Vick / Unsplash
(rp)
