OPERAZIONE ''LNDTM RULED OUT'', AVEVANO ATTACCATO IL SITO DEL TRIBUNALE DI MILANO E DELLA POLIZIA PENITENZIARIA

polizia-postaleAGGIORNAMENTO – La Procura della Repubblica di Roma e il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche C.N.A.I.P.I.C. della Polizia Postale e delle Comunicazioni hanno portato a termine un’articolata operazione, frutto di laboriose indagini che hanno permesso di identificare i membri di un gruppo di “cracker” nota come “LndTm 2013”, resosi responsabile lo scorso febbraio di diversi attacchi in danno dei sistemi informatici di siti istituzionali e aziendali, tra i quali quelli del Tribunale di Milano e della Polizia Penitenziaria.

Tre persone sono state sottoposte alla misura della custodia cautelare in carcere e un quarto indagato è stato denunciato a piede libero per i reati di accesso abusivo a sistemi informatici e di danneggiamento di informazioni, dati e programmi informatici.


Le attività sono state eseguite in diverse città italiane nel corso di un’operazione che ha visto l’ausilio dei compartimenti Polizia Postale e delle Comunicazioni di Milano e Venezia, delle sezioni Polizia Postale di Latina e Reggio Emilia nonchè del Commissariato di Chioggia della Questura di Venezia.

Sequestrati numerosi personal computer e altri dispositivi utilizzati per commettere gli attacchi dall’analisi dei quali emergono già importanti riscontri alle attività investigative.

polizia delle comunicazion postale sliderAGGIORNAMENTO – Nella mattinata odierna è stata avviata la fase conclusiva dell’operazione, un’articolata attività di indagine coordinata dal procuratore aggiunto Giancarlo Capaldo e dal sostituto procuratore Elisabetta Ceniccola della Procura della Repubblica di Roma, condotta dagli investigatori specializzati del Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche – CNAIPIC del Servizio Polizia Postale e delle Comunicazioni, che hanno dato esecuzione a tre ordinanze di applicazione della custodia cautelare in carcere e proceduto a quattro perquisizioni sul territorio nazionale.

I provvedimenti, emessi dal Gip del Tribunale di Roma, sono stati eseguiti nei confronti di quattro cittadini italiani: A.P. di anni 38, originario della provincia di Roma e residente nella provincia di Latina, A.S.S. di anni 32, originario della provincia di Siracusa e residente nella provincia di Reggio Emilia, e A.S.V. di anni 26 residente a Milano.
E’ invece stato denunciato a piede libero G.F.T. di anni 29, residente nella provincia di Bari.

A loro carico, nel corso dell’indagine, sono stati acquisiti concreti e inequivocabili elementi probatori che hanno permesso di ricostruire lo scenario criminale nel cui ambito gli indagati hanno pianificato e portato a termine diversi attacchi informatici. In particolare, gli eventi delittuosi contestati agli indagati sono riferiti ai seguenti siti:

1. www.polizia-penitenziaria.it
2. www.tribunale.milano.it
3. www.polizia.campania.it
4. www.imprendium.it
5. www.pdbussero.it

A seguito dei suelencati attacchi, consistenti in defacement eseguiti nel mese di febbraio 2013, sono state avviate complesse analisi tecniche sulle tracce informatiche lasciate nei server oggetto di intrusione, parallelamente ad una capillare attività di monitoraggio dei principali canali IRC (3) e dei maggiori social network (quali ad esempio facebook e twitter) solitamente utilizzati da soggetti dediti a tali tipi di attacco per la pubblicazione/rivendicazione delle proprie attività illecite, ottenendo importanti evidenze sulla reale identità degli autori dei reati.

Significativo è il fatto che i dati oggettivi emersi dall’analisi dei file di log dei server oggetto di intrusione hanno fornito perfetto riscontro con quanto emerso dall’attiità di indagine classica effettuata in rete per l’identificazione dei soggetti autori dell’attacco.

APPROFONDIMENTI
La tecnica di attacco utilizzata

Dall’analisi dei file di log del server oggetto di intrusione è stato possibile ricostruire con buona precisione le diverse fasi dell’attività criminale, a partire dalle scansioni preparatorie, sino ad arrivare al momento in cui il defacement è stato materialmente portato a termine, sostituendo l’home page dei siti, con il documento di rivendicazione dell’azione.
Le prime scansioni, effettuate un mese prima circa (17 – 18 gennaio 2013), hanno permesso al gruppo di “cracker” di evidenziare una vulnerabilità di tipo SQL injection nel sito www.polizia-penitenziaria.it, poi sfruttata per portare a termine l’attacco.

Al termine della attività preparatoria, gli indagati hanno posizionato alcune shell sui server che gestiscono i siti per poterne acquisire il controllo e inviare quindi comandi da remoto, navigare all’interno dei sistemi informatici e sottrarre fil e cartelle ivi conservate.

Tali operazioni sulle shell (ne sono state individuate quattro) sono continuate, praticamente senza interruzioni, fino ai primi giorni di febbraio, quando si sono interrotte essendo ormai pronto tecnicamente l’attacco, per poi riprendere il giorno del defacement.

Si ritiente che questo periodo di “inattività” sia dovuto al fatto che gli autori dell’attacco, che ormai avevano ottenuto il pieno controllo dei server che gestiscono i siti, abbiamo voluto unire altri obiettivi, per poi effettuare più defacement in rapida sequenza, evidentemente al fine di ottenere maggior risalto mediatico (cosa che in effetti è accaduta).

L’azione del 16 febbraio, dal chiaro contenuto politico, così come si desume dal comunicato di rivendicazione, anticipava di poco la data delle elezioni.

A firmare il documento la crew LND TM (leggasi Landa Team) e la sigla A.A.A.M.

Al termine di complesse ricostruzioni attraverso l’analisi del comunicato di rivendicazione pubblicato, di labili tracce informatiche come brevi frasi presenti in chat o sui principali social network, si è così addivenuto alla ricostruzione dei rapporti tra i membri del sodalizio e all’individuazione degli stessi, identificati in Alessandro P. alias deadman, Alfio S., alias alpenliebe, Alberto V., Giuseppe T. alias Matrix: per l’appunto A.A.A.M.