Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Alessio Stefan : 4 Novembre 2024 07:32
Questa è la storia di Herm1t, fondatore di VX-Heaven, hacker attivo nella difesa dell’Ucraina dal 2014 e fondatore di RUH8 nell’autunno del 2015, raccontata per mezzo di un’intervista che ha voluto focalizzarsi sulla sua storia, sui suoi valori e sui suoi obiettivi, cercando di comprendere anche quali sono gli elementi più importanti che contraddistinguono la guerra informatica in atto tra Russia e Ucraina..
Tempo fa, nell’articolo/intervista a smelly di VX-Underground abbiamo esplorato un mondo sotterraneo che ha come obiettivo quello di portare alla luce più informazioni disponibili. Ciò grazie alla raccolta massiccia di samples, paper ed articoli con conseguente pubblicazione in una libreria centralizzata. Tutto ciò è stato possibile grazie al suo predecessore, ovvero VX-Heaven, nato alla fine degli anni ‘90, piattaforma fondata e gestita da hemr1t.
VX-Heaven è stato un primo spazio con libero accesso dedicato al mondo malware, che grazie ad un estensivo repository di malware, permetteva agli studiosi di approfondire e così difendersi dalle minacce esistenti. Tuttavia nel 2012 VX-Heaven ha subito uno shutdown e sequestro dei server da parte delle forze dell’ordine Ucraine, facendo nascere una vera e propria insurrezione tra i frequentatori del sito. Su facebook, ad esempio, è stata portata avanti una campagna di raccolta fondi per finanziare le spese legali di Herm1t. Tale campagna fu intitolata “Saving Private Herm1t” e vi aderirono molti ricercatori di sicurezza a livello globale.
Acquista il corso Dark Web & Cyber Threat Intelligence (e-learning version)
Il Dark Web e la Cyber Threat Intelligence rappresentano aree critiche per comprendere le minacce informatiche moderne. Tra ransomware, data breach e attività illecite, le organizzazioni devono affrontare sfide sempre più complesse per proteggere i propri dati e le infrastrutture. Il nostro corso “Dark Web & Cyber Threat Intelligence” ti guiderà attraverso i meccanismi e le strategie utilizzate dai criminali informatici, fornendoti competenze pratiche per monitorare, analizzare e anticipare le minacce.
Accedi alla pagina del corso condotto dall'Prof. Pietro Melillo sulla nostra Academy e segui l'anteprima gratuita.
Per un periodo limitato, potrai utilizzare il COUPON CTI-16253 che ti darà diritto ad uno sconto del 20% sul prezzo di copertina del corso
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Secondo quanto ci racconta Herm1t, il destino di VX-Heaven non è stato guidato solamente da una paura ingiustificata riguardo il mondo malware ma bensì una conseguenza del suo rifiuto di collaborare con (l’allora nuova) autorità di counter intelligence ucraina denominata DKIB SBU. Nel 2013 VX-Heaven è riuscita a tornare online e il sito è rimasto attivo sino al 2018. Nel frattempo il 2014 è stato il contesto per un’altro evento pronto a segnare la carriera di Herm1t, la guerra in Donbass.
Per contrastare gli attacchi di origine russa, Herm1t è diventato attivo nella guerra informatica tra i due paesi e insieme ad altri componenti, in modo autonomo hanno deciso di aiutare il loro stato, l’Ucraina, eseguendo con successo attacchi di contrasto come la compromissione e il leak delle email di Aleksey Karyakin (capo del cosiddetto “consiglio popolare” della Repubblica Popolare di Luhansk). Dopo poco più di un anno di attività, nel 2015 Herm1t fonda il gruppo RUH8, per il quale si definì “segretario di stampa” (ogni membro aveva titoli del mondo corporate come satira a tale ambiente).
Nella primavera 2016 nasce l’Ukrainian Cyber Alliance (UCA) dove diversi gruppi tra cui Trinity, FlaconsFlame e, successivamente, RUH8 con l’unico obiettivo di contestare in maniera attiva le attività informatiche russe. La lista delle loro operazioni è facilmente reperibile nella loro pagina Wikipedia. Uno dei più recenti attacchi, 2023, ha avuto come obiettivo lo smantellamento totale del RaaS Trigona Ransomware. In questo caso UCA è riuscita a penetrare ed avere totale controllo sull’intera infrastruttura del RaaS e tramite un leak ha ottenuto indirizzi dei wallet, source code del malware, record dei database interni e molto altro.
Oggi Hemr1t ci chiarisce che RUH8 ha a che fare “con un nemico esterno che vuole letteralmente invadere” il loro paese, “compiere un genocidio, attraverso esecuzioni extragiudiziali, torture e deportazioni forzate per schiacciare la volontà di libertà”. I componenti di RUH8 sono a tutti gli effetti “partigiani della guerra informatica”, tuttavia, “poiché guerra e politica sono inscindibilmente legate”, una delle loro azioni è diventata un classico esempio di hacktivismo: l’hanno chiamata “Fuck Responsible Disclosure”.
Ringraziamo Herm1t per il suo lavoro da pioniere della ricerca malware, i suoi valori e il tempo che ci ha dedicato per questa intervista.
RHC: Partiamo dalla tua storia personale: come ti sei avvicinato al mondo dei computer e dell’IT? Quale è stato il tuo primo computer e come è nata la tua curiosità per il mondo dell’information security?
Herm1t: Il modo in cui ho preso confidenza con i computer è abbastanza tipico dei bambini degli anni ’80. Mio padre mi ha parlato dei personal computer quando avevo cinque anni, ed erano molto diversi dai mainframe degli anni ’70 che aveva incontrato all’università. La sola idea che un programma potesse essere modificato, testato più e più volte, mi stupiva profondamente. Accidenti ai bambini. Sono tutti uguali.
L’unico problema era che questo accadeva nell’Unione Sovietica, dove i computer erano quasi inaccessibili. Ho dovuto cercare l’accesso ovunque potessi, e solo anni dopo ho avuto il mio primo computer, un clone sovietico dell’Apple II, Agat. E quando l’Unione Sovietica crollò e i miei genitori avviarono un’attività in proprio, nel 1994 mi procurai un potente (per l’epoca) 486DX2. L’accesso a Internet era proibitivamente costoso, quindi il mezzo di comunicazione principale era la rete FIDO e BBS, che per anni ha plasmato il carattere della scena hacker post-sovietica, focalizzata offline su reverse engineering e protezione del software crackling (dopotutto, non c’era un modo legale per acquistarlo anche se si avevano i soldi), progettazione demo e così via.
Da qualche parte a metà degli anni ’90, stavo leggendo una rivista elettronica dedicata alla scena demo e nella sezione “Lettere dai lettori” ho trovato un riferimento a un gruppo di scrittori di virus chiamato SGWW. Ho scaricato immediatamente tutti i numeri di Infected Voice che sono riuscito a trovare e mi sono iscritto ai newsgroup sui virus su FIDO. La scena dei virus era aggressiva e si posizionava come una controcultura, più simile a punk che a studenti modello. Ho scritto alcuni virus per MS-DOS, sperimentando tecniche diverse una alla volta, ma non ho partecipato molto alle discussioni. Invece, ho continuato a collezionare campioni di virus, riviste e articoli.
RHC: Smelly (VX Underground) ti ha menzionato come il creatore di VX Heaven: ci puoi raccontare quale era l’idea alla base in anni in cui non c’era ancora Google? A tutti gli effetti sei un pioniere! (A proposito complimenti per il tuo lavoro!)
Herm1t: Verso la fine degli anni ’90, ho iniziato a lavorare come amministratore di sistema per un provider, che mi ha dato accesso illimitato a Internet. Fu allora che decisi di organizzare la mia collezione come un sito web, ed è così che è nato VX Heaven.
Non avevo alcun interesse nell’hackerare le reti: quando hai accesso a decine, poi centinaia e infine migliaia di dispositivi, non c’è bisogno di cercare altro. Ma, naturalmente, c’erano incidenti di sicurezza e dovevo capire come funzionavano le diverse vulnerabilità e come prevenirle. Tutte le macchine sul nodo eseguivano Linux e FreeBSD, quindi ho iniziato a scrivere virus per le nuove piattaforme, trovando nuovi metodi di infezione e occasionalmente pubblicando i miei risultati. Questo è andato avanti per anni fino alla fine del 2011, quando il controspionaggio informatico dell’Ukrainian Security Service (SBU) è venuto a farci visita.
Ho provato a convincerli che il mio sito era una biblioteca, non un covo di criminali informatici, e hanno finto di credermi, suggerendomi persino di aiutarli a investigare su alcuni casi relativi ai carder. Ho analizzato diversi campioni e, poiché avevo ottenuto versioni di debug dei bot, ho trovato rapidamente l’infrastruttura di comando delle botnet.
A quel tempo, le autorità ucraine avevano chiuso la risorsa pirata Infostore e, poiché era il picco di Anonymous, il pubblico rispose con massicci attacchi DDoS sui siti web governativi. Anch’io partecipai, usando i grandi canali del provider (secondo quegli standard) e il giorno dopo, ufficiali familiari portarono screenshot dei grafici di carico del sito governativo, chiedendo consigli su come trovare gli organizzatori dell’attacco. Scrollai le spalle e dissi che non potevo aiutare. Apparentemente, questo li irritò e alla fine aprirono un procedimento penale contro di me per “diffusione di software dannoso”. Dovetti rivolgermi al pubblico e diversi scienziati che lavoravano nel campo si schierarono per me, mentre la comunità degli hacker raccolse fondi in modo che potessi pagare i servizi legali. La pubblicità, la perseveranza dell’avvocato e l’intervento di aziende influenti portarono alla chiusura silenziosa del caso, che non andò mai in tribunale. Dal momento che mi avevano portato via il mio giocattolo preferito, decisi di dedicarmi a qualcos’altro, sperimentando diversi metodi di hacking sui siti web dei paesi del terzo mondo, come la Russia. Poi un collega mi ha mostrato un annuncio della più grande banca del paese che stava lanciando un programma bug bounty. Dopo aver esaminato l’infrastruttura pubblica della banca, ho trovato un IDOR, che consentiva di scaricare le ricevute delle transazioni tramite una semplice enumerazione. La banca ha pagato la ricompensa massima. “Probabilmente solo fortuna”, ho pensato, ho riprovato e ho trovato un XSS riflesso proprio sulla pagina di accesso del sistema di online banking, che poteva essere utilizzato per intercettare la password di un utente e bypassare l’autenticazione a due fattori. La banca ha pagato di nuovo la ricompensa massima. Non era più solo questione di fortuna.
RHC: Ci puoi raccontare qualcosa sul tuo momento di transizione da VX Haven (Virus eXchange) a difensore dello spazio digitale ucriano, quale partigiano del tuo paese?
Herm1t: Mi annoiavo nella mia città natale di Donetsk e risposi a un’offerta da un perfetto sconosciuto, un certo Tim Karpinsky, su LinkedIn, di entrare a far parte di una piccola startup di sicurezza a Kiev (meglio scrivere Kyiv, non Kiev, perché gli ucraini potrebbero offendersi molto). Trasferirmi a Kiev è stata una delle migliori decisioni che abbia mai preso perché un anno dopo è avvenuta la Rivoluzione della Dignità e la Russia ha iniziato l’invasione dell’Ucraina.
Dopo essermi trasferito a Kiev, ho rilanciato VX Heaven, solo per principio. Questa volta, era ospitato su server a prova di proiettile, anche se l’SBU non ha smesso di cercare di reclutare me e i miei colleghi. Ma abbiamo ascoltato educatamente le loro offerte e altrettanto educatamente abbiamo suggerito loro di andare avanti. Cosa che hanno fatto per un po’.
Non posso parlare molto del mio lavoro in quel periodo: parte di esso è coperto da accordi di non divulgazione e parte è avvenuta in circostanze che non sono ancora pronto a discutere.
La scena era cambiata radicalmente e LovinGod, il leader di lunga data di SGWW, che aveva dato il via al mio viaggio iniziale nella sicurezza informatica, aveva persino definito il mio progetto una “bara portatile per la scena dei virus”. Non sono offeso, forse lo è. Ma migliaia di persone nel corso dei decenni hanno trovato l’idea dei virus contagiosa e penso che sia fondamentale preservare i risultati del loro lavoro. Sono felice che VX Underground continui a fare lo stesso, mantenendo continuità e memoria. Il regime di Yanukovych, completamente corrotto e infinitamente triste, ha generato apatia e il desiderio di stare il più lontano possibile da ciò che passava per “politica” in questo paese. Tutto è cambiato dopo la rivoluzione e l’inizio della guerra. È iniziata la formazione di una nazione ucraina politica, insieme alla necessità di difendere il paese dai russi, anche nel cyberspazio. Nel 2014, Kostiantyn Korsun dell’Ukrainian Information Security Group organizzò un incontro e tutti si presentarono, hacker, intelligence, controspionaggio, il servizio di comunicazione governativo e CERT, per discutere di cosa potevamo fare insieme per proteggere il nostro Paese. Mi ero sempre interessato al lato offensivo delle operazioni informatiche, così iniziammo gli attacchi informatici di ritorsione: hackerammo la Duma di Stato della Federazione Russa, entrammo nei siti web del governo regionale, pubblicando messaggi provocatori e passammo le informazioni hackerate ai nostri servizi di intelligence. Questa volta, avevamo un obiettivo comune.
Dopo gli accordi di Minsk, la guerra si trascinò e gli investigatori OSINT e gli hacker si organizzarono in gruppi e iniziarono a collaborare. Gran parte delle informazioni furono pubblicate su InformNapalm. Nella primavera del 2016, abbiamo hackerato il sito web del governo di Orenburg e pubblicato un messaggio in cui si affermava che “alla luce dei tragici eventi nella Repubblica del Kazakistan”, nella regione era stato dichiarato lo stato di emergenza e il governatore stava convocando una riunione antiterrorismo. Poche settimane dopo, si verificarono attacchi terroristici ad Aktobe e il governatore Berg dovette davvero convocare la riunione che avevamo “pianificato” per lui. Per usare efficacemente i media e l’hacking per influenzare gli eventi, è necessaria una profonda comprensione del contesto. Dopo di che, Karpinsky e io fummo invitati a unirci all’Ukrainian Cyber Alliance e, poiché nessun altro rivendicava quel ruolo, scelsi la posizione di portavoce. Iniziai con un’intervista importante in cui spiegavo chi siamo, quali obiettivi ci eravamo prefissati e come intendevamo raggiungerli. Inizialmente scherzavo sulla mia “posizione” nel gruppo, poiché assomigliava molto alle strutture pseudo-aziendali parodistiche dei primi gruppi di hacker. Ma presto iniziò il lavoro serio. Iniziai a incontrare regolarmente i giornalisti, filmando storie per servizi giornalistici e documentari. Diventammo parte della resistenza nazionale contro l’aggressore e acquisimmo la nostra identità informativa e politica.
Oltre alle elevate motivazioni patriottiche, c’è un altro aspetto in questo tipo di hacking: puoi hackerare qualsiasi cosa desideri, non solo senza pressioni da parte dei servizi segreti, ma con la loro piena approvazione. E lo abbiamo fatto. Abbiamo hackerato l’e-mail del consigliere di Putin Surkov e, poiché l’hacking è avvenuto durante le elezioni statunitensi, ha ricevuto la massima copertura internazionale. Molti hanno persino pensato che si trattasse di un’azione di ritorsione da parte dell’intelligence americana in risposta all’interferenza elettorale. Abbiamo scoperto i nomi dell’esercito di occupazione russo, composto al 90% da mercenari russi, reclutati, armati e inviati dalla Russia per combattere sotto ufficiali russi in Ucraina. I cosiddetti “separatisti del Donbass” erano solo una bugia per nascondere l’evidente verità.
Tutte le nostre attività non sono hacktivism nel senso comune del termine, perché gli hacktivisti in genere mirano ad attirare l’attenzione su questioni interne al proprio paese (anche se le azioni principali si svolgono all’estero, come nel caso di Anonymous e della Primavera araba). Il loro obiettivo è cambiare l’opinione pubblica e, possibilmente, fare pressione sul governo affinché provochi cambiamenti interni. Abbiamo a che fare con un nemico esterno che vuole letteralmente invadere il nostro paese e compiere un genocidio, attraverso esecuzioni extragiudiziali, torture e deportazioni forzate per schiacciare la volontà di libertà. Questo non è hacktivism, non è hacking patriottico; eravamo letteralmente partigiani della guerra informatica. Tuttavia, poiché guerra e politica sono indissolubilmente legate, una delle nostre azioni è diventata un classico esempio di hacktivism. L’abbiamo chiamata “Fuck Responsible Disclosure”
RHC: Il cyberspazio è cambiato molto dall’inizio: quali sono, secondo te, gli elementi positivi e negativi oggi? Soprattutto, i vecchi ideali e idee (come apertura, trasparenza e accesso universale) sono morti, “silenziosi” o “silenziati” in un mondo sempre più complesso da sistemare? Inoltre, puoi darci una tua visione sulla protezione dello spazio informativo?
Herm1t: Due domande che di solito interessano gli hacker continuavano a tormentarmi: la censura su Internet e quanto bene la nostra infrastruttura è protetta dagli hacker nemici. Nel 2017, dopo il devastante attacco NotPetya dalla Russia, la leadership ucraina ha iniziato a pensare alla sicurezza informatica, ma a modo suo. Innanzitutto, con la scusa di “proteggere lo spazio informativo”, il governo ha voluto introdurre una censura di Internet modellata su quella russa, con un elenco di siti Web vietati. Il disegno di legge 6688 è stato presentato al parlamento, ma dopo aver mobilitato la società per protestare, è stato ritirato. Tuttavia, i blocchi sono stati comunque introdotti in seguito, non per legge ma con un decreto presidenziale. Allo stesso tempo, è stata adottata la “Cybersecurity Strategy” e i funzionari con cui abbiamo parlato hanno iniziato a dire: “Guarda, tutto sta cambiando, ora che abbiamo la strategia, la sicurezza migliorerà”. Come tutti sanno, agli hacker non importa un cazzo dei tuoi budget, strategie, conformità e altre scartoffie. La nostra prima “vittima” è stata CERT, che ha “perso” la password della sua e-mail proprio sul suo sito Web in un backup di uno degli script. Dopo di che, gli obiettivi vulnerabili si sono riversati come una valanga: siti web ministeriali, forniture di acqua ed elettricità, agenzie statali e persino centrali nucleari. Ma non abbiamo mai sfruttato appieno gli hack per restare nei limiti della legge, limitandoci a evidenziare vulnerabilità e potenziali conseguenze.
Ogni nuovo “obiettivo” scatenava uno scandalo e i funzionari attraversavano tutte le fasi, dalla negazione all’accettazione. Come sempre e ovunque, dicevano: “Questi non sono i nostri sistemi, sono vecchi sistemi, ma presto ce ne saranno di nuovi. Sì, sono vulnerabili, ma non è trapelato nulla e non è successo nulla. Sì, sarebbe potuto succedere, ma stiamo già lavorando per risolvere il problema”. Quando i documenti dei candidati al servizio civile trapelarono, fu convocato il Consiglio per la sicurezza nazionale e il capo dell’agenzia fu licenziato. E naturalmente, umiliando pubblicamente funzionari di alto rango, ci siamo fatti molti nemici. Spesso, il proprietario di un sistema vulnerabile minacciava di sporgere denuncia alla polizia. Nel caso del governo di Kherson, Katya Handziuk (che in seguito fu brutalmente assassinata per la sua posizione civica) li convinse a non farlo. Energoatom cercò di sporgere denuncia all’SBU, ma poiché si trattava di una centrale nucleare, l’SBU li minacciò di nuovo con un’indagine penale per negligenza. Tragicamente, più o meno nello stesso periodo, un ingegnere della sicurezza nucleare della centrale nucleare di Zaporizhzhia si è suicidato. Abbiamo chiaramente infastidito qualcuno così tanto che nel 2018 la polizia informatica ha fatto irruzione in casa mia. Sono intervenuti i vertici politici e non sono mai state presentate accuse. Per evitare di dare una ragione alle forze dell’ordine, abbiamo dovuto chiudere il sito web VX Heaven.
Il mandato del presidente Poroshenko è terminato e Zelensky ha vinto le elezioni, causando una spaccatura nella Cyber Alliance ucraina. I gruppi Falcons Flame e CyberHunta hanno annunciato che avrebbero cessato le operazioni e se ne sarebbero andati. Nel frattempo, le forze dell’ordine hanno fatto un altro tentativo di frenare gli attivisti ribelli.
Nell’autunno del 2019, uno sconosciuto burlone ha visualizzato il messaggio “Fuck you, Greta!” su uno schermo all’aeroporto di Odessa e l’SBU ha deciso che era opera nostra. Hanno intercettato i nostri telefoni e nel febbraio 2020 hanno condotto delle incursioni sui membri del gruppo. Indossavano così tante armature e trasportavano così tante armi che avrebbero potuto essere sufficienti per catturare terroristi altamente pericolosi. Invece di cercare umilmente protezione, abbiamo arruolato il supporto dei partiti di opposizione “Democratic Axe” e “European Solidarity”, tenendo prima la nostra conferenza stampa e poi un’altra proprio nella sede stampa parlamentare. Le proteste hanno avuto luogo proprio all’interno del tribunale. Non sono state presentate accuse, ma ci sono voluti anni perché gli avvocati ottenessero giustizia e solo poche settimane fa, un tribunale ha stabilito che non avevamo nulla a che fare con l’incidente all’aeroporto di Odessa.
Sebbene avessimo annunciato alla conferenza stampa che avremmo cessato la cooperazione con le autorità, la nostra comunicazione con alcune agenzie è continuata. Abbiamo mantenuto i contatti con l’intelligence, il Ministero della Difesa e il Servizio di comunicazioni speciali e protezione delle informazioni. Infatti, abbiamo persino firmato un accordo di cooperazione con quest’ultimo, poiché a quel tempo avevamo ufficialmente registrato la nostra organizzazione come ONG. Questa cooperazione includeva discussioni sulla sicurezza e sulle politiche per migliorare la sicurezza dei sistemi governativi. Tuttavia, nuove leggi, restrizioni normative, dispositivi di sicurezza miracolosi, multe, conferenze e tavole rotonde non aiutano realmente. Ciò che aiuta è essere preparati alla possibilità che il tuo sistema venga preso di mira e avere un piano per quando i computer si sono semplicemente spenti, in modo da poterli riaccendere.
Inoltre, l’Ucraina ha un panorama di minacce piuttosto specifico. Non c’è certamente carenza di criminalità informatica qui, ma la maggior parte degli hacker “russi” (tra virgolette perché molti di loro non sono effettivamente russi) seguono la regola di “non lavorare nella CSI” per evitare di scontrarsi con le forze dell’ordine locali. Sono spinti esclusivamente dal denaro e si tengono il più lontano possibile dalla politica perché danneggia gli affari. Nel frattempo, le agenzie di intelligence russe sono state estremamente attive dal 2014, non solo impegnandosi nello spionaggio ma anche cercando di causare il maggior danno possibile. L’inizio della guerra nel 2014 ha segnato una divisione all’interno della comunità blackhat post-sovietica, che continua ancora oggi. Tuttavia, l’avidità e le posizioni apolitiche rimangono invariate.
RHC: Puoi darci una tua visione di guerra ibrida e di come l’informatica giocherà un ruolo sempre più importante per i paesi in materia di difesa e offensiva?
Herm1t: Avete menzionato il termine “guerra ibrida”, che non mi piace tanto quanto il termine “hacktivisti”, perché semplicemente non riflette la realtà. Senza dubbio, la guerra che la Russia sta combattendo dal 2014 è molto lontana dalla teoria della guerra di Clausewitz, ma non c’è nulla di particolarmente nuovo nel combattere con mercenari o nell’eseguire sabotaggi (anche con il prefisso “cyber”). Questa guerra può essere “ibrida” per altri paesi, ma per l’Ucraina è solo una guerra.
E anche per la Russia, in generale, perché quando non sono riusciti a conquistare il paese con mezzi politico-militari, sono tornati alla forza bruta. Tuttavia, il ruolo della tecnologia continuerà solo a crescere. Basta guardare cosa sta succedendo in questo momento. Sempre più paesi stanno cercando di creare unità informatiche. Alcuni stanno lavorando su dottrine, strategie e tattiche, mentre altri, come Russia, Corea del Nord e Iran, stanno semplicemente sfruttando qualsiasi opportunità riescano a trovare. I loro attacchi sono opportunistici, spesso non coordinati con la leadership politica e negabili. Ma a volte hanno successo (almeno tecnicamente), anche se non riescono a raggiungere un obiettivo militare. Un buon esempio è l’attacco del 13-14 gennaio 2022, quando il GRU ha hackerato decine di istituzioni governative ucraine con l’obiettivo di intimidire l’élite politica e convincerla che la resistenza era inutile. Dopo quell’attacco, è diventato chiaro che il tempo stava per scadere. Poco prima dell’invasione, Tim e io stavamo preparando un hack che avrebbe potuto rappresentare l’apice della nostra carriera di hacker. Stavamo esaminando le proposte di modifica del codice penale ucraino in merito alla criminalità informatica. L’ironia della situazione non ci è sfuggita. “Chi l’avrebbe mai detto”, ha detto il mio collega, “che due hacker stavano modificando le modifiche alla legislazione nazionale!” “Aspetta e vedrai”, ho risposto, “e se quella legislazione diventasse russa?” La mattina del 24 febbraio, siamo stati svegliati da delle esplosioni. Dopo aver parlato con alcuni contatti militari e dell’intelligence, ci siamo trasferiti in una parte più sicura del paese: Leopoli.
Tutti i disaccordi precedenti sono stati immediatamente dimenticati. Persone che prima non volevano nemmeno parlare con noi hanno iniziato a offrire il loro aiuto. La polizia informatica ha restituito l’attrezzatura che aveva confiscato, un operatore di telefonia mobile ha aperto canali di comunicazione ad alta velocità illimitati e volontari hanno raccolto fondi e fornito l’attrezzatura necessaria. Come sempre in queste situazioni, non si raggiunge il livello delle proprie aspettative; si scende al livello del proprio addestramento.
RHC: UCA è riuscita a penetrare e wipare i server di Trigona Ransomware, potresti descriverci cosa avete trovato e come era organizzato questo gruppo ransomware? Come mai avete scelto di bersagliare questo gruppo specifico? Come si può quindi contrastare con successo un gruppo Ransomware?
Herm1t: I nostri primi hack non si sono discostati molto da ciò che ora consideriamo azioni “hacktiviste”: semplici deturpazioni e database trapelati. Ma non avevamo pianificato di fermarci e abbiamo agito metodicamente. Poi sono arrivati gli exploit pubblici, la costruzione di infrastrutture, lo sviluppo dei nostri strumenti, la collaborazione con altri gruppi e l’esercito. L’esperienza arriva con il tempo. Ecco perché qualcosa come “Trigona” diventa un bersaglio incredibilmente facile. È stato un raid standard che utilizzava un exploit pubblico in Confluence.
Ma a differenza dei blackhat, che cercano immediatamente di monetizzare il loro bottino installando miner, ci siamo concentrati sull’estrazione di tutte le informazioni disponibili, sull’ottenimento di privilegi amministrativi, sull’espulsione di altri hacker e sull’istituzione della persistenza. Gli operatori di ransomware non avevano alcuna possibilità di trovare tutte le trappole che avevamo predisposto, proprio come i nostri altri obiettivi. Ad esempio, ci sono volute circa due ore a C.A.S. e a noi per distruggere l’infrastruttura di trasmissione pubblica nella Luhansk occupata (era la filiale di Luhansk, non VGTRK, ad essere stata hackerata da un altro gruppo). Un’ora per elevare i privilegi e trovare tutti i sottosistemi disponibili e un’altra ora per cancellare tutto. In questo momento, stiamo monitorando un gran numero di obiettivi contemporaneamente. Alcuni riescono a scappare, ma spesso riusciamo a recuperarli in seguito. In qualsiasi momento, abbiamo obiettivi da qualsiasi settore dell’economia o del governo russo. Se decidiamo che è il momento giusto, li distruggiamo. Quando un giornalista di RFERL mi ha chiesto di recente: “Chi sta vincendo la guerra informatica?“, ho risposto che non è una competizione. Ci scontriamo raramente con i nostri avversari, anche se a volte riusciamo a interrompere le loro operazioni. La portata dei nostri obiettivi continuerà a crescere, non tanto per le capacità tecniche, quanto per cose “noiose” come la struttura organizzativa, il reclutamento, la formazione, la condivisione di informazioni e così via.
RHC:Come hai scelto il tuo soprannome? E il motto di VX-Heaven “Virus don’t harm, Ignorance does” presente nella homepage?
Herm1t: I soprannomi “herm1t” e “Sean Townsend” sono stati scelti quasi a caso. Ho usato il primo su BBS a metà degli anni ’90 e quando ho iniziato a creare account utente al lavoro, l’amministratore senior ha usato lo stesso nome. Non ho avuto tempo di inventarmi qualcos’altro. Per quanto riguarda il secondo, avevo rubato documenti con quel nome per superare la verifica sui social media. Non è un nome raro, quindi non ho avuto la sensazione di causare alcun danno alla persona reale usandolo come nome di battaglia.
Il motto di VX Heaven afferma semplicemente che qualsiasi conoscenza tecnica è moralmente neutrale. Le stesse tecniche possono essere utilizzate dagli hacker che usano ransomware per trarne profitto, dai russi per la loro guerra di aggressione e da noi per causare loro danni tali da impedire loro di attaccare di nuovo chiunque.
RHC: Herm1t, grazie mille per il tuo tempo! Apprezziamo molto il suo contributo alla comunità. Auguriamo il meglio a te, il tuo gruppo e la pace per il tuo paese. Le tue parole sono preziose per gli hacker attuali e futuri.
Alessio Stefan