top of page
Cerca

Il fondatore e CEO di Telegram Durov in arresto: la reazione dei cybercriminali

Pavel Durov, fondatore e CEO di Telegram, è stato arrestato a Parigi il 25 agosto 2024 con l'accusa di aver permesso che la sua piattaforma venisse utilizzata per attività illegali. Tre giorni dopo, è stato incriminato e rilasciato su cauzione, con sei accuse legate ad attività illecite su Telegram. Mentre il mondo intero discute sulle misure di moderazione di Telegram e si chiede se i fornitori di servizi web debbano essere ritenuti responsabili per le azioni dei loro utenti, un certo tipo di utenti di Telegram — i cybercriminali che utilizzano la piattaforma — hanno qualcosa da dire a riguardo. 


Negli ultimi anni Telegram è diventata popolare come piattaforma per una vasta gamma di crimini informatici. Tra questi vi sono la vendita di dati ottenuti illegalmente, come informazioni personali, documenti sensibili e account compromessi, e l'uso della piattaforma per facilitare operazioni di infostealer, ransomware, hacktivismo e altro. Tra le ragioni per cui Telegram è attraente per i cybercriminali vi sono l'anonimato e la capacità di creare comunità, permettendo ai criminali di nascondere la propria identità alle forze dell'ordine e di avere accesso a numerosi potenziali venditori.

Ora questi cybercriminali sono preoccupati per le ripercussioni che l'arresto di Durov potrebbe causare alle loro operazioni. Mentre alcuni di loro discutono ulteriori precauzioni di sicurezza, altri passano all'offensiva e supportano Durov con attacchi informatici contro la Francia.


I supporters di Durov


Dopo l'arresto di Durov, molte persone in tutto il mondo hanno espresso il loro malcontento per l'arresto del CEO di Telegram, considerandolo ingiustificato. In risposta, è stata avviata una campagna con gli hashtag #FreeDurov e #FreePavel, diffusa su internet. Tra le figure pubbliche che hanno partecipato alla campagna vi sono Elon Musk e Robert F. Kennedy.


Alcuni attori delle minacce, principalmente hacktivisti che utilizzano attivamente Telegram, sono stati visti discutere dell'arresto e supportare Durov. Ad esempio, StucxTeam, un gruppo di hacktivisti noto per aver preso di mira organizzazioni israeliane, stava dibattendo se Durov fosse responsabile per il terrorismo e altre attività illegali che utilizzano Telegram come piattaforma di comunicazione, aggiungendo l'hashtag "#freedurov" alla fine del messaggio.


Questo messaggio è stato uno dei tanti messaggi di supporto osservati con l'hashtag su diversi canali di hacktivisti.

StucxTeam commenta l'arresto di Durov: Fonte: Piattaforma KELA


Alcuni attori sono andati oltre l'uso degli hashtag per lanciare attacchi informatici contro la Francia in risposta all'arresto. Il 25 agosto, il gruppo hacktivista pro-Russia People's Cyber Army of Russia ha pubblicato "#freedurov" sul loro canale e ha poi annunciato una settimana di attacchi contro i "portali internet" francesi in reazione all'arresto. Hanno invitato altri gruppi di minacce a unirsi a loro in questa attività. Come primo atto, il gruppo ha affermato di aver lanciato un attacco DDoS contro il sito web dell'Agenzia Nazionale per la Sicurezza dei Medicinali e dei Prodotti Sanitari (ANSM), che è associata al governo francese, rendendo il sito inaccessibile per un periodo di tempo.


Dichiarazione dell'Esercito cibernetico del popolo della Russia e annuncio degli attacchi (autotradotto dalla piattaforma KELA)


Un altro gruppo di hacking pro-Russia chiamato UserSec ha avviato una campagna di attacchi chiamata "#FreeDurov" sul loro canale Telegram e ha esortato altri gruppi di minacce a unirsi agli attacchi informatici contro la Francia, citando il loro utilizzo del messenger di Durov: "Non sarà meglio per nessuno di noi se Durov verrà imprigionato per le accuse che vogliono portare contro di lui. Invito tutti i gruppi interessati a unirsi. Non dimenticate che utilizziamo il messenger di Durov."


Successivamente, UserSec ha annunciato che, in collaborazione con il People's Cyber Army of Russia, hanno effettuato attacchi DDoS su specifici obiettivi francesi. Il primo obiettivo è stato il sito web della Corte Nazionale della Francia, che è stato abbattuto il 27 agosto a seguito dell'attacco, e il secondo obiettivo è stato il sito web del tribunale di Parigi. UserSec ha anche affermato di aver distribuito il loro "stealer" su obiettivi francesi (probabilmente un stealer mirato a Google Chrome menzionato sul loro canale un anno fa). Altri gruppi, come CyberDragon e OverFlame, si sono uniti alla campagna, mentre altri hanno ripubblicato l'appello.

UserSec ha avviato la campagna #FreeDurov sul proprio canale Telegram (autotradotto dalla piattaforma KELA)


Non solo hacktivisti pro-Russia si sono uniti agli sforzi: il gruppo hacktivista pro-Palestina RipperSec ha condotto attacchi informatici contro vari siti web francesi, tra cui PriceBank. RipperSec ha condiviso un messaggio dal gruppo di minacce CGPLLNET, annunciando una nuova alleanza e i loro piani per prendere di mira la Francia, e invitando altri partecipanti. Il 27 agosto 2024, il gruppo ha rivendicato la responsabilità di un altro attacco informatico alla Francia, e ha menzionato i gruppi coinvolti nell'esecuzione degli attacchi.

RipperSec attribuisce ad altri gruppi di minaccia il merito di aver contribuito all'attacco alla Francia


In base a questa attività, sembra che gli attacchi degli hacktivisti contro le organizzazioni francesi potrebbero intensificarsi nel prossimo futuro, a seconda di come si evolverà il caso di Durov.


Curiosamente, alcuni cybercriminali hanno deciso di supportare finanziariamente Telegram, ad esempio, investendo in Telegram Stars, un articolo virtuale recentemente introdotto che consente agli utenti di acquistare beni digitali e servizi da bot e mini app, oltre a favorire la monetizzazione dei canali.

Un proprietario del progetto Deanon club e del canale Telegram Killnet investe in stelle di Telegram per sostenere Durov (traduzione automatica dalla piattaforma KELA)


Preoccupazioni dei cybercriminali


Per molti altri cybercriminali e i loro clienti che utilizzano Telegram, l'arresto di Durov ha causato preoccupazioni sulla sicurezza della piattaforma e possibili cambiamenti nella moderazione. Gli utenti di diversi forum di cybercriminalità hanno creato più discussioni menzionando l'arresto, esprimendo reazioni contrastanti.


Alcuni utenti di servizi di approvvigionamento di cybercriminalità/droghe stanno prendendo precauzioni nel comunicare con questi servizi, con diversi che sospendono le loro attività sulla piattaforma Telegram. I fornitori di servizi sono preoccupati per la sicurezza delle loro operazioni, in particolare coloro che hanno memorizzato informazioni sensibili su Telegram, riconoscendo che ciò potrebbe esporli a rischi significativi se le autorità ottenessero accesso. KELA ha anche notato istruzioni su come prevenire la perdita di dati su Telegram nel caso in cui le autorità sequestrino i server, che circolano su diverse piattaforme.

Un utente intende interrompere le comunicazioni regolari con il proprio “spacciatore” per ridurre il rischio di essere scoperto.


Un utente sta pianificando di cancellare i propri archivi di Telegram, contenenti informazioni rubate da carte di credito, conti bancari e altro ancora.


Alcuni attori delle minacce stanno discutendo piattaforme alternative, come Tox, Session o Jabber per la messaggistica privata, a causa della paura di essere esposti se le forze dell'ordine ottenessero accesso a alcune conversazioni. Tuttavia, non sembra che i cybercriminali stiano lasciando attivamente Telegram, con tale attività meramente legata alla creazione di canali di backup. Ad esempio, l'attore che afferma di essere associato al gruppo Lapsus$ ha creato un canale basato sul protocollo XMPP, e ha condiviso un link sul loro canale Telegram per consentire ad altri di unirsi.

Il canale legato a Lapsus$ annuncia un canale di conferenza XMPP di backup


In generale, molto prima dell'arresto di Durov, molti cybercriminali hanno evitato di utilizzare Telegram per conversazioni private sensibili, affermando che non è sicuro. Mentre alcuni sospettavano che Telegram collaborasse con le autorità russe o altre, altri hanno sottolineato la mancanza di crittografia end-to-end nella maggior parte delle chat (eccetto le cosiddette chat segrete). Pertanto, gli attori più cauti sembrano aver abbandonato Telegram già da un po' di tempo: ad esempio, la maggior parte delle operazioni RaaS attive ora elenca solo TOX, Jabber e Session come metodi di contatto.


Un utente parla dei pericoli legati all'uso di Telegram


Prospettive future


Gli attacchi e le discussioni recenti indicano che gli utenti della cybercriminalità sono preoccupati per l'arresto di Pavel Durov, con alcuni preoccupati che il suo arresto possa influenzare la loro principale piattaforma di comunicazione. L'arresto probabilmente avrà un impatto duale sulle attività dei cybercriminali su Telegram.


Da un lato, potrebbe portare alcuni attori a prendere precauzioni o a considerare piattaforme di comunicazione alternative, probabilmente fino a quando non saranno chiare tutte le conseguenze dell'arresto.

Tuttavia, è improbabile che coloro che attualmente si affidano a Telegram conducano un esodo di massa, poiché molti lo utilizzano per formare comunità, pubblicizzare i propri prodotti a numerosi potenziali acquirenti e automatizzare le loro operazioni, dipendendo fortemente dai canali, gruppi e bot di Telegram. Attualmente, le piattaforme alternative discusse dai cybercriminali non offrono funzionalità analoghe.


D'altra parte, l'arresto ha infiammato alcuni gruppi di hacktivisti, portando a un aumento degli attacchi informatici di ritorsione, in particolare contro le organizzazioni francesi. La situazione potrebbe evolversi a seconda degli esiti delle azioni legali in corso.


Per sapere di più sulle nostre soluzioni di Threat Intelligence, CTEM e Supply Chain Security Management.



Comments


bottom of page