Avere 19 anni e sul conto oltre 1,5 milioni di kune (circa 200mila euro) e qualche lingotto d’oro. Direte un giovane imprenditore di successo? No, un hacker. Si tratta di Kristijan R. di Zaprešić, nell’hinterland di Zagabria, arrestato mercoledì dalla Questura di Velika Gorica, perché sospettato di essere il capo di un gruppo cybercriminale che aveva messo in piedi un supermercato degli attacchi in Rete.

Ieri il Tribunale regionale di Velika Gorica ha deciso di convalidare il fermo, per il timore che il ragazzo possa continuare con i reati virtuali. Secondo il giudice, l’hacker si è macchiato di reati contro i sistemi e i dati informatici a partire dal 2015, dunque quando aveva soltanto 16 anni, e fino al 24 aprile scorso, quando sui suoi polsi sono scattate le manette. Il giovane ha compiuto gli attacchi cybernetici dalla propria stanza nella casa di famiglia a Zaprešić. Il giudice ha specificato che l’hacker si faceva pagare per i suoi “servizi” in Bitcoin, la famosa criptovaluta, “riuscendo a guadagnarne ben 163.75124693, per un controvalore in kune pari a 1.453.946,90”. 

Operazione Power Off

Oltre al cybercriminale croato, sono stati arrestati anche due cittadini serbi, entrambi di 19.enni: uno di Prokuplje e uno di Ruma. Il ministero degli Interni ha reso noto che le indagini sono andate avanti per tre anni e che gli agenti croati hanno collaborato con numerosi colleghi di tutto il mondo.

Ma vediamo in che modo questi giovani hacker riuscivano a colpire importanti istituzioni e moltissime aziende, soltanto con l’aiuto di un computer. Quelli realizzati dal giovane croato e dai suoi coetanei serbi si possono tranquillamente definire supermercati degli attacchi DDoS, siti Internet che per poche decine di dollari permettono di colpire qualunque obiettivo online – per vendetta, per mettere in difficoltà un concorrente, per ricattarlo economicamente – inondandolo di richieste di collegamento fino a farlo cedere sotto il peso del traffico ricevuto. La struttura di questi siti (chiamati in gergo “stresser” e che si possono individuare attraverso una semplice ricerca su Google) permette a chiunque di utilizzarli, indipendentemente dalle competenze tecniche.

WebStresser.org era la più grande di queste piattaforme; utilizzata da 136mila utenti e responsabile – secondo quanto riportato dall’esperto di Cybersicurezza, Brian Krebs – di una cifra che varia dai quattro a sei milioni di attacchi hacker (che si potevano acquistare anche per soli 15 dollari). L’operazione “Power Off”, condotta nella giornata di martedì dalle polizie di 12 Paesi, ha portato però al sequestro delle infrastrutture di WebStresser nel Regno Unito, Stati Uniti e Olanda; e all’arresto degli amministratori del sito.

Le autorità considerano “Power Off” un importante successo, ma difficilmente la situazione cambierà drasticamente: sul web si trovano decine e decine di questi siti, che giustificano legalmente la loro attività spiegando come non abbia lo scopo di attaccare terzi, ma sia rivolta esclusivamente a chi desidera testare la resistenza del proprio sito (da cui deriva il nome “stresser”). Ma dal momento che è sufficiente inserire un indirizzo IP per lanciare un DDoS, la quasi totalità di queste piattaforme (addirittura classificate in base alle performance su aggregatori specializzati) offre di fatto la possibilità di portare attacchi hacker con la stessa facilità con cui si acquista online un paio di scarpe; pagando comodamente con PayPal o in Bitcoin.