Africa e mala-digitalizzazione

Ouaga, Burkina Faso, cinque del mattino. Un gruppo di cybercriminali viola i server di una istituzione finanziaria locale, e ruba una decina di milioni di euro. L’operazione avviene colpendo vulnerabilità ben note di rete e dei server coinvolti, e viene fatta utilizzando strumenti di hacking a malapena configurati. Del bottino non si sa più niente, come degli attaccanti. Non è necessario che l’attacco sia sofisticato, sostengono gli esperti di Orange, l’operatore di telefonia francese che ha una presenza capillare nell’Africa francofona (il Burkina Faso è stato un protettorato francese sino al 1958 ma l’influenza è rimasta). Basta vedere com’è configurata la rete locale della banca colpita per sapere che è un lavoro alla portata di un buon newbie. È un effetto della mala-digitalizzazione.

OPERA1ER

Questo il nome del gruppo che ha condotto l’operazione di hacking a fine di lucro, avendo l’Africa come base, oltre che come bersaglio. A spiegarlo è la società di sicurezza digitale di Singapore, Group-IB. È una guerra combattuta con mezzi obsoleti che poteva accadere solo in una regione del mondo molto povera. Capire il perché è molto facile. Né le competenze degli attaccanti né quelle dei difensori sono particolarmente sofisticate. Strumenti di attacco di base, utilizzati seguendo demo e tutorial presenti in Rete (non necessariamente sul dark web), e bersagli che utilizzano tecnologie di cinque, dieci anni fa, a cui nessuno ha più pensato di cambiare le configurazioni o addirittura di fare gli aggiornamenti di sicurezza. Tra il 2018 e il 2022 sono stati sferrati oltre 30 attacchi contro banche, fornitori di servizi finanziari e società di telecomunicazioni, rubando decine di milioni di dollari in Costa d’Avorio, Mali, Benin, Camerun, Gabon, Niger, Nigeria, Senegal. La lista è lunghissima, le città e i paesi si susseguono su una mappa che disegna un’Africa sostanzialmente insicura e piagata da un nuovo flagello. È il ritardo informatico, la mancanza di competenze. I soldi da rubare ci sono, anche perché i paesi africani per quanto poveri hanno comunque economie che funzionano, un giro d’affari di migliaia di miliardi in dollari. Ci sono grandi disparità economiche ma non serve neanche andare a cercare i dittatori-miliardari con i quali fare il colpo grosso. Basta colpire una banca locale con una rete mal configurata per portare via qualche milione di euro, oppure un’assicurazione che sta installando una nuova rete esterna per i PC delle sue agenzie sul territorio e scoprire che si possono forzare gli account degli utenti e trasferire titoli e polizze senza problemi. Qualche decina di migliaia di euro qua e là, l’ideale per piccole bande di attaccanti che hanno identificato una zona di minore resistenza in un cyber-mondo sempre più connesso ma che, al tempo stesso, diviene sempre più blindato tecnologicamente.

LE INDAGINI

Gli attacchi non sono difficili ma questo non vuol dire che siano adatti a un bambino. OPERA1ER è uno dei tanti gruppi attivi in Africa, probabilmente composto da persone africane. Si fa chiamare anche DESKTOP-group oppure Common Raven, e nasce probabilmente nel 2016, quando ha registrato il suo primo dominio. Conduce i suoi attacchi informatici soprattutto nel fine settimana o durante i giorni festivi perché sono i momenti in cui gli uffici sono chiusi. Lo scorso anno, OPERA1ER era stata individuata: i tecnici della cybersicurezza, prevalentemente europei chiamati dalle assicurazioni dopo l’ultimo raid di attacchi, avevano identificato gli attaccanti, anche se avevano scoperto che il modo di operare non era convenzionale. Tra l’accesso iniziale e il furto vero e proprio poteva passare persino un anno. Una tecnica da “banda del buco”, insomma. Hanno scoperto che probabilmente i cyberladri hanno legami sia con la scena dell’hacking africano che con il mondo della criminalità tradizionale, di cui seguono le logiche e rispettano la tempistica prudente. Il vero problema, hanno capito gli esperti di sicurezza, non è stato tanto identificare gli account dei componenti del gruppo, quanto riuscire a raggiungerli in una rete di nazioni con sistemi giudiziari diversi e situazioni politiche complesse (in alcuni casi anche con delle guerre civili in corso). In ogni caso, dopo aver capito di essere stato identificato, il gruppo OPERA1ER ha cancellato tutte le sue tracce e si è dato alla macchia per alcuni mesi. Per riemergere nel 2022 per un nuovo round di attacchi. Dimostrando, ancora una volta, di essere in grado di rubare milioni di dollari grazie sostanzialmente agli strumenti mal configurati e in molti casi obsoleti, utilizzati dalle agenzie e dalle istituzioni.