Il mercato indiano dei cyber-mercenari

Prima, c’è stata la fine del mercato dell’outsourcing, l’esternalizzazione dei servizi IT di multinazionali americane ed europee verso aziende indiane, dove i programmatori sono molto bravi e costano meno dell’equivalente occidentale, poi l’esplosione dell’intelligenza artificiale, delle piattaforme cloud e dei servizi già strutturati di Google, Microsoft e AWS Amazon. Adesso è il turno dell’hack-for-hire, ovvero la possibilità di diventare cybermercenari, trasformarsi da white-hat e hacker etici in black-hat e hacker che attaccano per creare davvero dei danni e trafugare informazioni.

Attacchi  a “fin di male”

Il mercato indiano dell’hack-for-hire è diventato così una realtà, anche se, a tutt’oggi, è difficile quantificare l’entità di tale fenomeno. Sta di fatto che in India, come in altre parti del mondo, ci sarebbero individui o gruppi di individui che offrirebbero i loro servizi di hacking a terze parti per scopi illeciti, come il furto di informazioni sensibili o il sabotaggio di sistemi informatici. Tuttavia, non bisogna subito etichettare questi hacker indiani – che compiono attacchi a “fin di male” – come criminali che operano per forza illegalmente, e considerare il loro lavoro come un reato. Molti di questi gruppi, infatti, agirebbero da remoto per conto di aziende di servizi di consulenza per la sicurezza digitale, le quali, nondimeno, sarebbero solo una copertura per attacchi mirati su commissione. Attacchi di spionaggio industriale, sabotaggio, fino alla ricerca di prove di tradimenti o di soldi “imboscati” in divorzi e cause di separazione.

Dove? A Gurugram!

Pare che nella cittadella della tecnologia di Gurugram, nello stato di Haryana, dove hanno sede tutti le grandi aziende come Google, Meta e Microsoft, alcune imprese di consulenza indiane facciano da copertura a un giro di cyber-mercenari che attaccherebbero privati cittadini in tutto il mondo con tariffe che vanno da poche centinaia a qualche migliaio di dollari. Sfonderebbero gli account Facebook e i backup di Android, scaricherebbero i dati, filtrerebbero la corrispondenza e le immagini alla ricerca di quello che il committente chiede. Una vera e propria industria dell’hack su richiesta, in pratica, perfetta per fidanzati gelosi, amanti traditi, dirigenti in cerca di vendetta contro colleghi scomodi, segreti industriali, piani marketing per prodotti ancora da lanciare. E dietro a tutto ciò non ci sarebbero gruppi hacker sconosciuti, come spesso avviene. Bensì aziende note, come BellTroX e Appin, che hanno una facciata “pulita” da consulenti, ma di nascosto fanno lavori online illegali grazie ai cybermercenari.

Secondo Google e gli altri

I ricercatori per la sicurezza del gruppo di Google distinguono questi gruppi di “hack-for-hire” dai fornitori di sorveglianza commerciale che vendono capacità tecniche. I gruppi, dicono, “conducono gli attacchi da soli”, hanno organigrammi ben definiti e, ovviamente, agiscono nell’illegalità più completa. Reuters, la famosa agenzia britannica, ha registrato alla fine del 2022, 75 attacchi mirati ad aziende e dirigenti europei e statunitensi. Ma ci sono anche attivisti dei diritti umani, giornalisti, magistrati e altre figure in possesso di importanti informazioni o bersaglio di campagne di odio. Tej Singh Rathore, un hacker indiano di 28 anni “passato al lato oscuro”, si è vantato con i giornalisti sotto copertura per un’altra inchiesta del Sunday Times, di aver violato più di 500 account di posta e di aver compromesso un migliaio di profili Facebook e Linkedin. Secondo l’uomo, “La Gran Bretagna e tutto il mondo oggi stanno usando gli hacker indiani”.

Attaccanti e vittime

Le violazioni compiute da questo tipo di cybercriminali, pare siano relativamente poche ma estremamente fruttuose. Non si tratterebbe di attacchi su misura (i più insidiosi, se ben condotti, visto che non mostrano i danni che fanno e sono spesso relativi alla cancellazione dei dati o alla richiesta di ransomware), ma di azioni che mirano a scoprire dei segreti e a entrare in possesso di informazioni riservate per conto di un committente che, solo successivamente, ne trarrà un vantaggio.

Appin e BellTroX?

Aziende come Appin, nata a New Delhi nel 2010 e bloccata dalle autorità pochi anni dopo, pare fosse il centro di sviluppo di questo tipo di attività. Sono aziende nate come normali società di investigazioni digitali o come aziende che si occupavano di cybersicurezza e sono diventate rapidamente dei “detective privati” al soldo di committenti senza scrupoli. Avrebbero fornito sottobanco servizi illegali e permesso per esempio la violazione di centinaia di sistemi pubblici e il furto di informazioni protette da segreto industriale. Appin è stata smascherata da alcuni esperti norvegesi di sicurezza ed è stata chiusa, anche se i suoi esperti si sono riciclati con altre aziende (forse per fornire gli stessi servizi?). BellTroX, invece, smascherata dai servizi americani che hanno cercato di arrestare il suo responsabile, Sumit Gupta, pare abbia violato più di diecimila account di posta e altrettanti account di Facebook. Meta ha cancellato i 400 account di BellTroX che sarebbero stati usati per tendere trappole agli utenti con richieste di amicizia necessarie alla parte di ingegneria sociale.