Le attività cyber criminali sono sempre state associate all’abuso di strumenti e servizi online legittimi. I laboratori di ricerca Trend Micro, leader globale nella sicurezza per il cloud, nel corso delle numerose ricerche sul cyber crime hanno però scoperto un altro gruppo che dimostra la stessa abilità: i terroristi.
Questo è il tema dell’ultima ricerca dei laboratori Trend Micro, dal titolo “Dark Motives Online”, che ha analizzato le tecnologie che gruppi cyber criminali e organizzazioni terroristiche hanno in comune.
I gruppi terroristici possono essere considerati simili a quelli cyber criminali, nel momento in cui entrano in conflitto con la legge, ma il fattore che li rende differenti è legato alla motivazione. Mentre i cyber criminali sono motivati da obiettivi di lucro, i terroristi mirano a diffondere propaganda al posto di malware.
La ricerca dell’anonimato nel cyber space
Rimanere anonimi ha però massima importanza sia per i cyber criminali che per i terroristi. I cyber criminali sono conosciuti per utilizzare il Deep Web, TOR o VPN personali per evitare di essere rintracciati e i terroristi stanno seguendo l’esempio. I servizi email underground dei cyber criminali sono utilizzati sempre di più anche dalle organizzazioni terroristiche. SIGAINT, RuggedInbox e Mail2Tor sono spesso raccomandati nei forum con la motivazione di stare alla larga dagli occhi indiscreti dello Stato. Telegram, una piattaforma di messaggistica famosa per la sua crittografia è, ad esempio, il dettaglio di contatto maggiormente fornito.
La propaganda
Una differenza chiave nelle attività online dei cyber criminali e delle organizzazioni terroristiche è l’utilizzo di internet per diffondere messaggi di propaganda. Mentre le comunicazioni tra i cyber criminali sono finalizzate alle questioni di affari, i terroristi sono più inclini a mandare messaggi al pubblico in generale, per attirare sostenitori per la loro causa, utilizzando anche servizi di file sharing e social media.
Strumenti personalizzati dei gruppi terroristici
I terroristi utilizzano strumenti cyber criminali per la maggior parte delle loro esigenze, ma ci sono anche delle applicazioni sviluppate appositamente per loro, con l’obiettivo di crittografare le comunicazioni e distribuirle ai contatti.
- Mojahedeen Secrets – Rilasciata nel 2007, crittografa le email e il trasferimento file
- Tashfeer al-Jawwal – È considerata una delle prime applicazioni di crittografia per mobile ed è stata sviluppata e rilasciata dal Global Islamic Media Front (GIMF) nel 2013
- Asrar al-Dardashah – Un plug-in sviluppato per il servizio di messaggistica istantanea Pidgin che garantisce la messa in sicurezza delle conversazioni
- Amn al-Mujahid – Rilasciato nel 2013, crittografa i messaggi su diverse piattaforme come email, SMS e messaggi istantanei
- Alemarah – Una nuova app Android che serve da agenda per le azioni e le operazioni in atto
- DDDOS Tool – Capace di attacchi di denial of service.
Con riferimento al cyber crime, come sta evolvendo l’economia dei mercati underground (Deep Web)?
I ricercatori Trend Micro hanno trascorso gli ultimi anni a monitorare i mercati cyber criminali più importanti (come quelli di Russia, Cina, Brasile, Giappone, Germania e Nord America), pubblicando ricerche dedicate a ogni Paese. Il white paper “Cyber Crime and the Deep Web” riunisce oggi i dati e le peculiarità dei singoli Paesi offrendo un’analisi comparativa del mercato cyber criminale underground nelle diverse parti del mondo.
Ogni mercato underground riflette la cultura del Paese. L’underground russo, ad esempio, può essere paragonato a una catena di montaggio ben funzionante dove ogni attore fa la sua parte, e si comporta anche come una specie di “grande fratello” nei confronti del mercato tedesco, influenzandone le dinamiche. Il mercato cinese vanta lo sviluppo di tool e hardware, agendo come hub per i futuri cyber criminali. Il Brasile è più focalizzato sui trojan bancari, mentre l’underground giapponese tende a essere esclusivo per i suoi membri.
Tutti i cybercriminali sfruttano l’anonimato garantito dal Deep Web per nascondersi dalle autorità, ma le differenze dovute alle infrastrutture e abilità determinano quanto ogni mercato cyber criminale sia riuscito ad addentrarsi nel Deep Web. I cyber criminali cinesi, ad esempio, non fanno affidamento sul Deep Web tanto quanto i loro “colleghi” tedeschi o nord americani. Questo è dovuto al grande firewall cinese che impedisce ai cittadini, anche i più preparati, di accedere al Deep Web. Il fatto che la Germania e il nord America stiano promuovendo leggi più dure nei confronti del cybercrime, al contrario, ha a che fare con un uso più intenso del Deep Web.
I crimini online, supportati dagli introiti delle merci acquistate nell’underground, possono andare dai semplici furti elettronici e dal contrabbando di droghe e armi a reati efferati come la pornografia infantile e omicidi su commissione. Questi ultimi sono un servizio di punta dell’underground nord americano, che si appoggia più di tutti sul Deep Web. Il furto di account va per la maggiore in Germania, mentre in Cina abbonda qualsiasi tipo di hardware possa servire agli scopi dei cybercriminali. In Brasile invece sono famose le app Android modificate, che contengono crediti prepagati con carte di credito rubate.
I mercati underground si differenziano non solo per l’offerta, ma anche per i modelli di business. I cyber criminali in Cina e Brasile, per esempio, preferiscono utilizzare app di instant-messaging o i social network per le transazioni, mentre in Giappone gli affari avvengono all’interno di forum riservati ai membri. In Germania e Nord America, come conseguenza delle leggi più stringenti, i cyber criminali si stanno immergendo sempre più nel Deep Web per nascondersi meglio.
- La ricerca completa di Trend Micro che analizza le tecnologie che gruppi cyber criminali e organizzazioni terroristiche hanno in comune è disponibile a questo link.
- Ulteriori informazioni e il dettaglio dell’offerta cyber criminale in ogni Paese sono disponibili all’interno della ricerca “Cyber Crime and the Deep Web”.
- Ulteriori informazioni sono disponibili anche all’interno del sito Trend Micro Cybercrime and the Deep Web e del Deep Web Hub. La mappa interattiva dei mercati cyber criminali è disponibile a questo link.