Una botnet italiana per generare click falsi è stata condannata negli USA

Lo scorso 9 agosto, Fabio Gasperini, un cittadino italiano di 35 anni, è stato condannato negli Stati Uniti a un anno di carcere, al pagamento di 100.000 dollari, e ad un anno di libertà vigilata per l’accusa di intrusione informatica. Il 18 giugno 2016 era stato arrestato ad Amsterdam a seguito di un’operazione congiunta di FBI, Polizia Olandese e Polizia Italiana, al termine dell’operazione denominata HackinItaly, ed estradato negli Stati Uniti.

Gasperini doveva difendersi da ben cinque capi di accusa, in quanto accusato di aver messo in piedi un sistema per effettuare delle frodi ai danni delle agenzie pubblicitarie che inseriscono annunci sui siti web — il cosiddetto click fraud. Il tutto sfruttando una botnet di computer infettati dal suo malware, controllata con comandi e risorse provenienti da alcuni server presenti sul suolo americano.

Gasperini avrebbe utilizzato i computer infettati per simulare il comportamento di un utente reale e cliccare le pubblicità presenti sui siti gestiti direttamente da lui.

In generale, le aziende che vogliono introdurre le loro pubblicità sui siti web si rivolgono a piattaforme specializzate che contattano a loro volta i singoli gestori dei siti. Questi ultimi ricevono un compenso in base al numero di visitatori che cliccano sul link pubblicitario.

Dato che le agenzie pubblicitarie pagano sulla base del numero di click, Gasperini avrebbe utilizzato i computer infettati per simulare il comportamento di un utente reale e cliccare le pubblicità presenti sui siti gestiti direttamente da lui, in modo da falsare il numero di visitatori ed ottenere un ritorno economico maggiore.

Per ottenere un’orda di computer ai suoi ordini, Gasperini ha sfruttato una vulnerabilità che era stata chiusa nel 2014, denominata Shellshock. Questa garantiva l’accesso a tutti gli oggetti connessi ad internet che utilizzano la shell Bash.

Gasperini si è concentrato esclusivamente su di un unico tipo di computer: i Network Attached Storage (NAS) prodotti dall’azienda QNAP Systems. Secondo le informazioni diffuse da Forkbombus Labs — azienda che si occupa di sicurezza informatica e che ha aiutato nelle indagini l’FBI — i dispositivi infettati sono 2.500, diffusi in oltre 70 paesi.

L’hacker è riuscito a creare un account di amministratore su questi computer introducendo la possibilità di propagare il malware verso altri dispositivi, risolvendo allo stesso tempo la vulnerabilità dei sistemi, in modo da chiudersi alle spalle lo stesso varco che lui aveva utilizzato per accedere ed evitando di subire ulteriori intrusioni.

I cinque capi di accusa, disponibili nel documento ufficiale riportato da Catalin Cimpanu in un articolo di Bleeping Computer, vanno dall’intrusione informatica per ottenere dati e guadagni economici, alla frode economica ed associazione a delinquere per riciclare il denaro guadagnato grazie alla botnet.

Non era mai stata confermata prima d’ora una sentenza così estrema per un reato minore quale l’intrusione informatica.

A smascherare l’identità di Gasperini, secondo quanto riportato su Bleeping Computer, erano state alcune sviste operative: alcuni dei domini erano infatti registrati con la sua mail personale e, dopo aver provato a richiedere il reset della password, Gmail aveva rivelato nome e cognome dell’indagato. Questo tipo di errori non sono casi isolati: recentemente l’FBI è riuscita a catturare il gestore di AlphaBay, il più grande mercato del Dark Web, proprio perché aveva utilizzato la sua mail personale.

Tutti i capi di accusa sono stati rigettati, e l’avvocato della difesa, Simone Bertollini, aveva fatto notare durante il processo come il governo americano non avesse provato evidenze sostanziali ma solamente teorie sconnesse. Fra i documenti acquisiti vi erano mail personali e screenshot dall’Internet Archive —, secondo quanto riportato da un articolo di Prweb.

Si è trattato del primo processo per click fraud negli Stati Uniti. Questo caso aveva tutti i riflettori puntati su di sé perché, solitamente, non è facile individuare chi si trova dietro la rete dei click automatizzati. Inoltre, si è trattato di un banco di prova interessante per capire l’estensione dei poteri della legge americana sull’intrusione informatica: in questo caso la violazione è stata sanzionata senza che l’accusato avesse mai messo piede negli Stati Uniti, come sottolineato in un articolo del New York Law Journal.

Secondo alcuni esperti, comunque, mai prima d’ora era stata confermata una sentenza così estrema per un reato minore quale l’intrusione informatica e Bertollini ha già fatto richiesta di ricorso in appello alla Corte del Secondo Circuito.