Contrastro agli hacker e alla pedopornografia: il bilancio 2020 della Polizia Postale

La Polizia Postale ha diffuso il bilancio di una intensa attività di monitoraggio, contrasto e repressione condotta nel 2020. Sono stati visionati 33.681, di cui 2.446 inseriti in black list e oscurati in quanto presentavano contenuti pedopornografici. Sono state anche raccolte numerose segnalazioni e avviate altrettante attività d’indagine, inerenti le false raccolte fondi, un incremento del fenomeno dei falsi annunci di lavoro. Nell’ambito delle truffe online, nel corso del 2020 sono stati trattati complessivamente 98.000 casi.
Nel corso del periodo in esame, è stata implementata l’attività di contrasto al diffuso fenomeno del falso trading online (358 casi trattati con oltre 20 milioni di euro di danno) che ha visto aumentare a dismisura la perdita di ingenti capitali verso Paesi esteri, con la prospettiva di facili guadagni derivanti da investimenti “sicuri”. Particolare attenzione è stata indirizzata all’attività di prevenzione e contrasto al revenge porn con 126 casi trattati e 59 denunciati; alla diffamazione on line con 2.234 casi e 906 persone denunciate; 143 sono stati i casi relativi allo “stalking” con 7 arrestati e 73 denunciati e alla cosiddetta “sextortion” con 636 casi trattati, una persona arrestata e 36 denunciate. Anche nella repressione dei reati di minacce e molestie, perpetrate attraverso i social network ovvero con “mezzi tradizionali”, massimo è stato l’impegno della Polizia Postale con 1001 casi trattati, 2 arrestati e 270 persone denunciate.

I dati locali

In provincia di Salerno, in particolare, sono state portate a termine tre importanti operazioni: "Swimming pool, Black, e Fujinama". Nei guai un 38enne di Eboli, un 47enne e un 55enne di Salerno

OPERAZIONE FUJINAMA

Il Compartimento Polizia Postale per la Campania, coordinati dalla Procura della Repubblica presso il Tribunale di Napoli, hanno eseguito due misure restrittive, della custodia cautelare in carcere e degli arresti domiciliari, emessi dal GIP del capoluogo campano rispettivamente nei confronti di un ex dipendente e di un dirigente della società Leonardo S.p.A., all’esito di complesse attività d’indagine volte a definire i contorni di un attacco informatico allo stabilimento di Pomigliano D’Arco, sede della Divisione Aerostrutture e della Divisione Velivoli e quindi alla rete informatica dell'ex Finmeccanica. Nel 2017, la struttura di cyber security aziendale della Leonardo, società internazionale che si occupa di progettazione, sviluppo, produzione, assistenza ai clienti e marketing nei settori elettronica, elicotteri, velivoli, aerostrutture e sicurezza informatica ha rilevato e segnalato un traffico di rete anomalo, in uscita da alcune postazioni di lavoro dello stabilimento di Pomigliano D’Arco, generate da un software artefatto denominato "cftmon.exe", sconosciuto ai sistemi antivirus. Il traffico anomalo risultava diretto verso la pagina web "www.fujinama.altervista.org".  La prime analisi, effettuate internamente dalla struttura aziendale deputata alla gestione degli incidenti informatici, avevano permesso di circoscrivere l’anomalia a 16 postazioni installate nel perimetro aziendale di Pomigliano D’Arco ed evidenziato una possibile, limitata fuoriuscita di dati, non ritenuta significativa. La Procura di Napoli e la Polizia delle Comunicazioni, all’esito di approfonditi accertamenti tecnici, cui sono seguite a riscontro complesse attività di polizia giudiziaria, hanno ricostruito uno scenario ben più esteso e severo rispetto a quanto originariamente rilevato. 

I dettagli

Le indagini informatiche hanno evidenziato come tra maggio 2015 e gennaio 2017 la società Leonardo S.p.A. sia stata colpita da quella che in letteratura viene definito con la sigla APT (Advanced Persistent Threat), ossia un attacco mirato e persistente con installazione nei sistemi, nelle reti e nelle macchine bersaglio, di codice malevolo,  per la creazione ed il mantenimento di attivi canali di comunicazione che, all’insaputa dell’azienda attaccata, hanno consentito l’esfiltrazione silente di “informazioni ritenute di valore”. Autore dell’azione un intraneo, ovvero un dipendente esperto informatico addetto proprio alla gestione della sicurezza di Leonardo, che tra l’altro aveva in prima battuta affiancato gli investigatori della Postale nel corso delle iniziali attività d’indagine, di fatto cercando di sabotarle. Solo all’esito di complesse attività di analisi informatica, si è riusciti a ricostruire come il software malevolo, un vero e proprio trojan di nuova ingegnerizzazione, fosse stato inoculato da A.D. responsabile della gestione delle postazioni di lavoro presso l’Alenia di Pomigliano, mediante l’inserimento di chiavette USB nei PC spiati. Grazie al software malevolo, programmato in linguaggio Visual Basic, lo stabilimento di Pomigliano D’Arco era di fatto nel pieno controllo dell’attaccante, che, grazie alle proprie mansioni interne nel tempo aveva installato più versioni evolutive del malware, con capacità ed effetti sempre più invasivi e penetranti. Attraverso una utility di Linux, il malware “cftmon.exe” è stato inserito tra i file di sistema di Windows, con la caratteristica di avviarsi automaticamente ad ogni esecuzione del Sistema Operativo. La denominazione “cftmon.exe” non è casuale: la scelta è stata effettuata per raggirare amministratori e utenti della rete locale, mediante una tecnica di spoofing del nome attraverso la semplice inversione delle consonanti: difatti, tra i file di sistema di Windows è presente l’eseguibile “ctfmon.exe”, utilizzato, tra l’altro, per l’immissione di dati e di informazioni mediante un dispositivi diverso dalla tastiera standard (ad esempio, voce, tastiera a video o penna digitale). Dopo l’inoculazione del malware, dotato delle caratteristiche dei comuni trojan, l’hacker ha quindi potuto intercettare quanto digitato sulla tastiera (keylogging) e catturare i fotogrammi di ciò che era stato visualizzato sullo schermo (screen capturing) delle postazioni di lavoro compromesse.  I dati illecitamente carpiti venivano poi inviati (data exfiltration), a intervalli regolari di circa un minuto, verso un Centro di Comando e Controllo (C&C), ossia il sito web nella disponibilità dell'attaccante, "www.fujinama.altervista.org". Per il trasferimento dei dati verso il C&C, l’hacker aveva aggirato i limiti imposti dalle policy di sicurezza della Leonardo, utilizzando una specifica porta di connessione (TCP 80) comunemente utilizzata per la visualizzazione delle pagine web, per mezzo dei più diffusi browser Internet (Internet Explorer, Google Chrome, Mozilla Firefox). Le indagini hanno permesso infine di ricostruire l’attività di antiforensics dell’attaccante, che collegandosi al C&C dopo aver scaricato i dati carpiti, cancellava da remoto sul sito web "fujinama" le informazioni acquisite eliminando le tracce del malware sulle macchine compromesse. L’attacco informatico ricostruito dalla Polizia delle Comunicazioni è stato classificato come estremamente grave, in quanto la superficie dell’attacco ha interessato ben 94 postazioni di lavoro, un numero ben più ampio rispetto alle 16 inizialmente individuate.  Dei PC infetti, 33 erano collocati presso lo stabilimento di Pomigliano D’Arco e su di essi erano configurati molteplici profili utente in uso a dipendenti impiegati, anche con mansioni dirigenziali, in un’attività d’impresa volta alla produzione di beni e servizi di carattere strategico per la sicurezza e la difesa del Paese. La gravità dell’incidente emerge anche dalla tipologia delle informazioni sottratte, tenuto conto che dalle 33 macchine bersaglio di Leonardo risulterebbero esfiltrati 10 Giga di dati, pari a circa 100.000 files, afferenti alla gestione amministrativo/contabile, all’impiego delle risorse umane, all’approvvigionamento e alla distribuzione dei beni strumentali, nonché alla progettazione di componenti di aeromobili civili e di velivoli militari destinati al mercato interno e internazionale. Accanto ai dati aziendali, sono state oggetto di captazione anche le credenziali di accesso ed altre informazioni personali dei dipendenti della Leonardo.

La scoperta

Oltre ai PC presenti presso gli stabilimenti di Pomigliano della ex Finmeccanica, sono state infettate 13 postazioni di una società del gruppo Alcatel, alle quali se ne sono aggiunte altre 48, in uso a soggetti privati nonché ad aziende operanti nel settore delle produzione aerospaziale. L’autore dell’attacco, sottoposto alla custodia cautelare in carcere, è un trentottenne di Eboli. L’hacker è in possesso di elevate competenze informatiche, con un'approfondita conoscenza dei linguaggi di programmazione in ambienti Linux e dei software di computer forensics. Tali capacità gli consentirono nel 2007 di realizzare un accesso abusivo al sistema informatico della base militare statunitense in Oklahoma, acquisendo la disponibilità di due account, per poi condividere in rete sia dati esfiltrati, con tanto di spiegazione delle tecniche utilizzate per carpirli. La Procura di Napoli e la Polizia delle Comunicazioni sono risalite all'identità dell'hacker attraverso un'approfondita analisi del linguaggio di programmazione del malware "cftmon.exe", nonché mediante l'interpretazione del codice sorgente (html) delle pagine web del sito "fujinama.altervista.org". Attraverso la lettura dei file di connessione al pannello di gestione del sito "fujinama", gli investigatori hanno infine accertato l'identità dell'hacker, amministratore dello spazio web per la raccolta dei dati esfiltrati. Accanto agli accertamenti di natura informatica, sono state fondamentali le attività di indagine più tradizionali, che hanno permesso di ricostruire il percorso di formazione cybercriminale dell'indagato, la sua carriera professionale nel gruppo Leonardo e la cerchia di soggetti a lui più vicini, dai quali sono stati appresi elementi utili a delineare meglio le abitudini e la personalità dell'hacker. Ulteriori approfondimenti compiuti dalla Procura di Napoli e dalla Polizia delle Comunicazioni hanno fatto emergere una condotta di depistaggio da parte del responsabile del C.E.R.T. di Leonardo, organo deputato alla gestione degli attacchi informatici subiti dall’azienda. In particolare, il dirigente della società, sottoposto agli arresti domiciliari, avrebbe inquinato il generale quadro probatorio, fornendo ai vertici aziendali, alle istituzioni pubbliche preposte alla protezione delle infrastrutture critiche, nonché all’Autorità Giudiziaria, una rappresentazione falsa e incompleta dell’incidente informatico, con particolare riferimento all’oggetto dell’attacco, alla sua estensione e quindi alla quantità ed alla tipologia del materiale esfiltrato. Il responsabile del C.E.R.T. di Leonardo, inoltre, ha omesso di svolgere accertamenti preliminari fondamentali per la gestione di incidenti informatici, il cui compimento avrebbe consentito una più celere risposta sia in termini investigativi che di remediation.

OPERAZIONE SWIMMING POOL

La Sezione di Salerno ha tratto in arresto un quarantasettenne di Salerno, con precedenti specifici, resosi responsabile di produzione e detenzione di materiale pedopornografico. L’interessato è stato trovato in possesso di un'ingente quantità di materiale di natura pedopornografica rinvenuto a seguito di perquisizione informatica eseguita sui numerosi dispositivi a lui in uso.
L'attività di indagine, coordinata dalla Procura della Repubblica presso il Tribunale di Salerno, è frutto di un’intensa e proficua cooperazione internazionale tra il Centro Nazionale per il Contrasto alla Pedopornografia Online (C.N.C.P.O.) del Servizio Polizia Postale e delle Comunicazioni di Roma, Europol e la Polizia statunitense. Tale sinergica collaborazione ha consentito di raccogliere e condividere il materiale probatorio relativo alle condotte dell’indagato perpetrate anche attraverso contatti altri soggetti coinvolti, anche esteri.
L’indagato, per abbassare le difese delle piccole vittime al fine di indurle a inviargli materiale pedopornografico autoprodotto, si presentava sui social con un’identità femminile e riusciva inoltre ad acquisire e scambiare con altri internauti le foto e i video pornografici prodotti utilizzando i minori. Già nel 2016, una prima attività d’indagine internazionale della National Crime Agency britannica conduceva a individuare l’odierno indagato quale fruitore di un sito abitualmente dedito allo scambio di video e fotografie ritraenti minori in atteggiamenti sessuali. Le indagini della Procura di Salerno, svolte, anche all'epoca, dal Compartimento Polizia Postale e delle Comunicazioni Campania e dalla dipendente Sezione di Salerno, con il coordinamento del CNCPO di Roma, consentirono di trarlo in arresto per gli stessi reati. Il materiale probatorio acquisito ed analizzato consentì di individuare condotte criminose perpetrate da internauti esteri.
La condivisione dei dati di indagine risultò determinante per aprire nuovi scenari investigativi. In particolare, grazie a tali contributi, gli investigatori statunitensi furono in grado di risalire a un cittadino statunitense che abusava sessualmente dei propri figli, per poi condividere le relative immagini. Le condotte criminose così ravvicinate testimoniano il compulsivo bisogno dell'indagato di acquisire materiale pedopornografico. La pericolosità del soggetto risulta evidente anche da ulteriori accertamenti che hanno dimostrato che l’indagato ha anche provato ad accreditarsi presso strutture dedite all'intrattenimento e alla cura dei minori.

OPERAZIONE BLACK

La Sezione di Salerno, coordinata dal Compartimento di Napoli e dal Servizio Polizia Postale e delle Comunicazioni, ha tratto in arresto un cinquantacinquenne della provincia di Salerno resosi responsabile di divulgazione e detenzione di materiale pedopornografico. L’interessato è stato trovato in possesso di un’ingente quantità di materiale di natura pedopornografica rinvenuta a seguito di perquisizione informatica, eseguita sui numerosi dispositivi a lui in uso. L’attività di indagine, diretta dalla Procura della Repubblica presso il Tribunale di Salerno, è frutto di un'intensa e proficua cooperazione internazionale tra il Centro Nazionale per il Contrasto alla Pedopornografia Online (C.N.C.P.O.) del Servizio Polizia Postale e delle Comunicazioni di Roma e le Polizie di Paesi esteri. Tale sinergica collaborazione ha consentito di raccogliere e condividere il materiale probatorio relativo alle condotte dell'indagato perpetrate attraverso contatti con altri soggetti coinvolti, anche stranieri. L'uomo, noto personaggio della rete internet, con migliaia di followers sui propri profili social, amato soprattutto dai giovanissimi, grazie anche a comparsate in televisione, utilizzando falsi account partecipava ad una rete internazionale dedita allo scambio di materiale pedopornografico, tra cui video di violenze raccapriccianti su neonati.