Caccia a Lurk

Ecco come abbiamo contribuito ad acciuffare una delle gang cybercriminali più pericolose in ambito finanziario

Contenuti

All’inizio del mese di giugno dell’anno in corso, le forze dell’ordine russe hanno arrestato i presunti membri di un gruppo criminale sospettato di aver realizzato il furto di quasi tre miliardi di rubli. Secondo i dati resi noti dalle forze di polizia della Federazione Russa, i cyber criminali facenti parte del gruppo denominato Lurk hanno sistematicamente sottratto ingenti somme di denaro dai conti appartenenti ad organizzazioni commerciali, banche incluse, utilizzando del malware. Nel corso degli ultimi sei anni, la speciale Divisione per le Indagini sugli Incidenti Informatici allestita da Kaspersky Lab ha attentamente monitorato ed analizzato le attività illecite condotte dal gruppo cybercriminale in questione; in tal modo, già per l’inizio della primavera del 2016, siamo riusciti ad accumulare un notevole bagaglio di conoscenze riguardo a tale banda di delinquenti informatici. Siamo davvero lieti del fatto che tale “patrimonio” si sia rivelato estremamente utile per le forze di cyberpolizia e gli organi competenti, visto che esso ha contribuito a condurre all’arresto delle persone sospettate e, cosa ancora più importante, ha permesso di porre fine al continuo furto di cospicue somme di denaro, l’attività prediletta dalla cybergang in causa. Per quel che ci riguarda direttamente, poi, desideriamo sottolineare come le indagini svolte ci abbiano consentito di accumulare un’esperienza davvero vasta in materia, superiore ad ogni altro bagaglio di conoscenze acquisito, di volta in volta, grazie ai numerosi altri casi di cui ci siamo occupati; il presente articolo si prefigge proprio di condividere tale significativa esperienza con altri specialisti del settore, ed in particolar modo con gli esperti che operano nel campo della sicurezza informatica presso società ed istituzioni finanziarie. Quelle stesse organizzazioni che, sempre più di frequente, divengono bersaglio di cyber-attacchi.

Inizialmente, Lurk si presentava come un anonimo programma Trojan; di fatto, siamo venuti a sapere della sua esistenza già nel 2011. Abbiamo poi raccolto informazioni riguardo a tutta una serie di incidenti informatici, a seguito dei quali ignoti criminali avevano sottratto ingenti somme di denaro a numerosi clienti di alcune banche russe. Per realizzare il furto delle risorse finanziarie, gli ignoti cyberdelinquenti si erano avvalsi di un programma nocivo che agiva di nascosto, all’insaputa delle vittime; tale malware interagiva in modalità automatica con il software utilizzato nell’ambito dei sistemi di remote banking, sia sostituendo le credenziali relative alle disposizioni di pagamento emesse dalla divisione contabile della società sottoposta ad attacco, sia elaborando in maniera autonoma gli ordini di pagamento.

Al giorno d’oggi, nell’anno 2016, può sembrare alquanto strano leggere di un software bancario che non richiede alcuna procedura di autenticazione aggiuntiva; all’epoca, tuttavia, le cose si presentavano proprio in questo modo. Per iniziare a compiere il furto di denaro, in pratica senza ostacoli, nella maggior parte dei casi risultava quindi sufficiente, per i malintenzionati, infettare semplicemente un computer sul quale era installato l’apposito programma utilizzato per operare con il sistema di remote banking. Nel 2011, i sistemi bancari della Federazione Russa, e di numerosi altri Paesi, non erano ancora preparati nei confronti di simili attacchi; i criminali, da parte loro, sfruttavano ampiamente tali circostanze, per essi favorevoli.

Stavamo partecipando, allora, alle indagini riguardanti alcuni specifici incidenti, nel corso dei quali era stato individuato un programma malware del tutto “anonimo”. Quando abbiamo “affidato” tale software nocivo ai nostri analisti, all’opera presso il laboratorio antivirus, e questi ultimi hanno poi confezionato la relativa firma, per verificare se fossero state già rilevate infezioni imputabili al malware in questione, abbiamo di fatto scoperto una peculiarità piuttosto strana, in merito allo stesso: il nostro sistema interno utilizzato per la denominazione dei programmi malware, confermava, in sostanza, che ci trovavamo semplicemente di fronte all’ennesimo Trojan in grado di compiere varie azioni malevole (invio di spam, ad esempio); il software nocivo analizzato, tuttavia, sembrava non essere in grado di poter realizzare il furto di denaro.

Nella pratica quotidiana, può avvenire, presso Kaspersky Lab, che un programma provvisto di un particolare set di funzioni possa essere erroneamente rilevato come qualcosa di totalmente diverso; tuttavia, nello specifico caso relativo al suddetto malware, le circostanze emerse hanno dimostrato che il Trojan in causa era stato rilevato tramite una firma “generica”, poiché esso, effettivamente, non faceva proprio nulla che potesse giustificarne l’inserimento in un qualsiasi gruppo specifico, ad esempio quello riguardante i Trojan bancari.

I fatti, però, rimanevano evidenti ed innegabili: questo malware veniva di fatto utilizzato, dai cybercriminali, per sottrarre denaro alle proprie vittime.

Per tale motivo, abbiamo deciso di esaminare il software dannoso con attenzione ancora maggiore; ad ogni caso, i primi tentativi, da parte dei nostri analisti, di comprendere come fosse effettivamente strutturato il programma, non hanno prodotto risultati concreti. Una volta lanciato, sia all’interno di una virtual machine, sia su di un normale computer, il malware si comportava in maniera esattamente identica: in pratica…non faceva nulla. Il nome che contraddistingue tale software nocivo – Lurk (in lingua inglese il termine può significare “appostarsi”, “stare in agguato”, “nascondersi”) – deriva, in pratica, proprio da tale specifica caratteristica.

Di lì a poco, abbiamo preso parte all’indagine condotta riguardo ad un ulteriore incidente informatico, di cui si era reso responsabile il Trojan Lurk. Nell’occasione, siamo riusciti ad analizzare l’immagine del computer preso di mira, al cui interno abbiamo individuato non solo il malware sul quale ci eravamo già imbattuti, ma anche un file .dll con cui era in grado di interagire il file eseguibile principale. Abbiamo così ottenuto le prime prove riguardo al fatto che Lurk è provvisto, a tutti gli effetti, di una struttura modulare.

Alcuni anni dopo, quando eravamo già in possesso di estese conoscenze in merito a tale malware, abbiamo poi scoperto che Lurk era dotato di un intero set di moduli nocivi, i quali, tuttavia, avevano fatto la loro comparsa in seguito. Nel 2011, quindi, Lurk si trovava ancora, a quanto pare, nella fase iniziale del proprio sviluppo, visto che, all’epoca, annoverava soltanto due componenti.

L’individuazione, agli inizi, del file aggiuntivo sopra menzionato, non aveva ad ogni caso chiarito più di tanto la vera natura di Lurk. Ciò che risultava evidente era il fatto che si trattava di un programma Trojan destinato a colpire i sistemi di remote banking, e che lo stesso era stato rilevato nell’ambito di un numero relativamente contenuto di incidenti informatici. Nel 2011, gli attacchi portati nei confronti dei sistemi di remote banking avevano iniziato a manifestarsi da non molto tempo; si trovavano, per così dire, in una fase ancora non troppo avanzata, per quanto tali assalti informatici fossero, indubbiamente, già temibili; comunque si conoscevano già, allora, vari altri programmi simili: il più “datato” di essi era stato individuato nel 2006, dopo di che avevano fatto regolarmente la loro apparizione, sulla scena del malware, nuovi software nocivi provvisti di un insieme di funzionalità del tutto simili. Basti ricordare, a tal proposito, programmi quali Zeus, SpyEye, Carberp, e via dicendo. Lurk, nel quadro di questa nutrita serie di temibili malware, si presentava semplicemente come un ulteriore programma dannoso, particolarmente insidioso e pericoloso.

Costringere Lurk a “lavorare” in condizioni di laboratorio si rivelava tuttavia essere un compito estremamente complesso; le nuove versioni del programma comparivano di rado, ed altrettanto raramente venivamo a conoscenza di nuovi incidenti informatici in cui risultasse coinvolto Lurk. La combinazione di tali fattori aveva pertanto indotto il nostro team, nel 2011, a prendere la decisione di lasciar da parte le attività inerenti allo studio e all’analisi del suddetto programma, per dedicarsi a compiti che rivestivano, sul momento, un carattere di maggiore urgenza.

Cambio di leadership

Dopo circa un anno dal nostro primo “incontro” con Lurk, già non captavamo più nulla di particolarmente rilevante, riguardo a tale Trojan. O per meglio dire, come è emerso in seguito, gli incidenti informatici in cui risultava protagonista il programma malware in causa, si confondevano nella massa di episodi similari, che vedevano il coinvolgimento di altri software nocivi. Nel mese di maggio del 2011, veniva pubblicato in Rete il codice sorgente del Trojan ZeuS; questo generava la comparsa di un gran numero di varianti di tale programma, sviluppate da gruppi cybercriminali di dimensioni piuttosto contenute. Oltre a ZeuS, all’epoca, spiccava la presenza, nel panorama del malware globale, di una serie di ulteriori software nocivi, dalle caratteristiche talvolta singolari, destinati a prendere di mira la sfera finanziaria degli utenti.

In Russia, in quel periodo, risultavano attivi alcuni raggruppamenti di criminali informatici relativamente estesi, orientati al furto del denaro attraverso la realizzazione di attacchi nei confronti dei sistemi di banking online; il gruppo maggiormente attivo, allora, era la temibile gang di cyberdelinquenti denominata Carberp. Alla fine del mese di marzo 2012, la maggior parte dei membri di tale band veniva arrestata dalle forze dell’ordine; un simile avvenimento rappresentava, di fatto, un duro colpo per l’intero mondo cybercriminale russo, visto che, in pochi anni di attività, il suddetto gruppo di hacker era riuscito a carpire illecitamente centinaia di milioni di rubli, al punto da essere considerato, a più riprese, una sorta di “leader” negli ambienti della criminalità informatica. Occorre tuttavia sottolineare come, al momento dell’arresto dei propri membri da parte delle forze di cyberpolizia, il gruppo Carberp non costituisse più, a tutti gli effetti, il principale attore all’opera sulla scena del malware finanziario.

Alcune settimane prima della retata di arresti qui sopra menzionata, i siti web di tutta una serie di importanti mass media russi, quali, ad esempio, l’agenzia “RIA Novosti”, Gazeta.ru, ed altri ancora, erano stati sottoposti ad un attacco di tipo “watering hole”. Ignoti cybercriminali, sfruttando una determinata vulnerabilità individuata in un sistema di scambio di banner pubblicitari, avevano diffuso un programma malware proprio attraverso i siti Internet interessati. In pratica, recandosi su tali siti web, gli utenti venivano subito rediretti verso una pagina appositamente allestita dai malintenzionati, contenente un exploit destinato alla piattaforma Java (software estremamente diffuso e notevolmente vulnerabile, in quel periodo). Lo sfruttamento della suddetta vulnerabilità, una volta riuscito, faceva sì che venisse lanciata l’esecuzione di un programma nocivo, le cui principali funzionalità consistevano nella raccolta di informazioni relative al computer sottoposto ad attacco, nella successiva trasmissione di queste ultime al server predisposto dai criminali e – in alcuni casi – nell’ottenimento, da tale server, di un ulteriore payload nocivo, in seguito installato.

Dal punto di vista tecnico, il programma malware in questione si presentava in una veste alquanto inusuale: in effetti, a differenza della maggior parte degli altri software nocivi, esso non lasciava alcuna traccia sull’hard disk del sistema informatico preso di mira, operando, in sostanza, esclusivamente a livello di memoria operativa della macchina. Un simile meccanismo di funzionamento non viene utilizzato di frequente, nel malware, soprattutto in ragione della “fugacità” di un’infezione del genere: in tal modo, in pratica, il programma dannoso “vive” all’interno del sistema solo finché il computer non viene riavviato, dopodiché si rivela necessario lanciare di nuovo il processo di infezione. Tuttavia, nel caso specifico degli attacchi verificatisi nel 2012, il furtivo malware “incorporeo” non aveva nemmeno bisogno di insediarsi nel sistema informatico preso di mira. La prima funzionalità da esso espletata era costituita da attività di tipo esplorativo. La seconda, invece, era rappresentata dal generare il download e la successiva installazione di ulteriore malware. Un altro interessante dettaglio, poi, consisteva nel fatto che l’upload del malware si verificava soltanto in un numero di casi estremamente limitato, ovvero quando il computer attaccato si rivelava essere davvero “interessante”.

L’analisi condotta sul malware incorporeo dimostrava, successivamente, che tale software nocivo si interessava proprio ai computer sui quali risultava installato un determinato programma utilizzato per le operazioni di remote banking, software realizzato da uno sviluppatore russo. Molto più tardi, poi, siamo venuti a conoscenza del fatto che l’anonimo modulo in questione, di fatto privo di un vero e proprio corpo, altro non era se non “mini”, modulo facente parte dell’elenco dei programmi malware utilizzati da Lurk. Non eravamo tuttavia ancora sicuri, allora, che dietro al Trojan Lurk a noi noto sin dal 2011, ed al Lurk individuato nel corso del 2012, potessero celarsi gli stessi identici cyber criminali. Esistevano, in pratica, due possibili versioni: o Lurk era un programma appositamente scritto per essere poi venduto, e le relative versioni degli anni 2011 e 2012 rappresentavano il risultato dell’attività di due distinti gruppi cybercriminali, che acquistavano il malware direttamente dal proprio autore – oppure la versione rilasciata nel 2012 costituiva, di fatto, lo sviluppo di un programma Trojan già noto in precedenza.

Si è rivelato, in seguito, che l’interpretazione corretta era proprio quest’ultima.

L’invisibile guerra nei confronti del software bancario

Si rende necessaria, a questo punto, una breve digressione. Come è noto, i sistemi di remote banking si compongono di due parti principali: quella di cui viene fatto uso all’interno dell’istituto bancario e quella di cui si avvalgono i clienti di quest’ultimo. Il segmento client è costituito, in pratica, da un programma di dimensioni contenute, il quale permette all’utente (in genere, alla divisone contabile dell’azienda) di eseguire da remoto operazioni che interessano i conti bancari di cui dispone l’organizzazione. Gli sviluppatori di simili software si possono contare, in Russia, sulle dita di una mano; pertanto, qualsiasi organizzazione russa che faccia uso di strumenti di remote banking, utilizza, in pratica, il software prodotto da una di tali società. La gamma estremamente ridotta di possibili varianti in materia ha inevitabilmente giocato a favore dei gruppi cybercriminali specializzati nella conduzione di attacchi informatici nei confronti dei sistemi di remote banking.

Nel mese di aprile 2013, a distanza di poco più di anno dal momento dell’individuazione, da parte nostra, del famoso modulo “incorporeo” di Lurk, negli ambienti dell’underground cybercriminale russo risultavano già disponibili varie famiglie di software nocivi specializzati negli attacchi contro il software bancario. Quasi tutti i malware in questione agivano in maniera similare: attraverso la fase preliminare di “esplorazione”, essi determinavano, in sostanza, se nel computer sottoposto ad attacco risultava effettivamente installato il software bancario ad essi “occorrente”; in seguito, tali programmi dannosi provvedevano al download di ulteriori moduli nocivi, tra cui, ad esempio, quelli che consentivano di creare automaticamente ordini di pagamento non autorizzati, modificare i dati già presenti sulle disposizioni di pagamento legittime, etc. Un simile livello di automatizzazione risultava possibile poiché i criminali informatici, nella circostanza, studiavano ed analizzavano accuratamente i meccanismi di funzionamento del software bancario di loro specifico interesse, per poi “calibrare” ed “affinare” ad hoc i moduli nocivi di cui si componevano i programmi dannosi da essi sviluppati, in base alla specifica soluzione software adottata dall’istituto bancario preso di mira.

Proprio in questi termini agivano i criminali responsabili della creazione e della diffusione di Lurk. Essi “prendevano” semplicemente la parte client del software bancario, la esaminavano con cura per studiarne il funzionamento, e poi modificavano, di conseguenza, il malware da essi sviluppato, creando, in tal modo, una sorta di add-on illegale per un prodotto pienamente legittimo.

Da parte nostra, tramite appositi canali “industriali” adibiti allo scambio di informazioni, siamo venuti a conoscenza del fatto che i servizi di sicurezza IT allestiti da varie banche russe stavano sperimentando tutta una serie di problemi dovuti all’attività nociva di programmi nocivi appositamente creati per condurre attacchi informatici nei confronti di un determinato tipo di software legittimo. Talvolta, poi, alcuni istituti bancari dovevano necessariamente rilasciare aggiornamenti, per la propria clientela, almeno ogni settimana. Tali update risolvevano, sì, alcuni problemi legati alla sicurezza informatica, ma nel frattempo, “dall’altro lato”, misteriosi hacker provvedevano in tempi estremamente rapidi alla release di una nuova versione del loro programma malware, in grado di bypassare la protezione implementata dagli autori dei software bancari.

Occorre comprendere bene che un simile “lavoro”, basato sul reverse engineering di un prodotto bancario professionale, rappresenta, a tutti gli effetti, un tipo di compito particolarmente complesso, del quale un hacker dilettante può difficilmente venire a capo. Si tratta, inoltre, di un’attività onerosa ed estremamente impegnativa, che richiede, tra l’altro, un notevole dispendio in termini di tempo impiegato; non siamo certamente di fronte ad un compito tecnico che può essere eseguito semplicemente sulle ali dell’entusiasmo. Si tratta, in assoluto, di qualcosa di cui può essere capace solo un team di veri e propri specialisti. Ma chi, essendo sano di mente, e dotato di un po’ di buon senso, può davvero impegnarsi nello svolgimento di un simile “lavoro”, dichiaratamente illegale? E chi può davvero disporre di tutto il denaro necessario per garantire un finanziamento costante di un’attività del genere? Ponendoci, più o meno, quesiti simili, siamo giunti alla logica conclusione che, dietro le varie versioni del malware Lurk, potesse davvero celarsi un gruppo ben organizzato di specialisti nel campo della sicurezza informatica.

Dopo un periodo di relativa “quiete”, negli anni 2011-2012, abbiamo nuovamente iniziato a ricevere informazioni riguardo ad incidenti informatici in cui risultava coinvolto il Trojan Lurk, a seguito dei quali veniva realizzato, da parte dei criminali, il furto di cospicue somme di denaro. Grazie al fatto che si rivolgevano a noi numerose organizzazioni rimaste vittima di tale malware, con il trascorrere dei mesi ottenevamo, in effetti, un numero sempre maggiore di informazioni riguardo all’attività dannosa di Lurk. Così, già entro la fine del 2013, basandoci esclusivamente sui dati raccolti nel corso delle analisi condotte sulle immagini degli hard disk di cui erano dotati i computer sottoposti ad attacco, così come sullo studio di specifiche informazioni accessibili attraverso fonti rese pubblicamente disponibili – avevamo di fatto elaborato un’idea di massima relativamente ad un gruppo di utenti Internet che, presumibilmente, erano in qualche modo collegati a Lurk.

Non si può certo dire, tuttavia, che si sia trattato di un’operazione particolarmente agevole. Le persone che tenevano le fila di Lurk, in effetti, sembravano conoscere bene tutti gli strumenti necessari per rendere il più possibile anonima la propria attività in Rete. Tali malintenzionati utilizzavano attivamente sofisticate tecniche di cifratura nell’ambito delle comunicazioni intrattenute quotidianamente; essi si avvalevano, inoltre, di dati fasulli per la registrazione dei domini, oppure ricorrevano all’utilizzo di appositi servizi in grado di garantire una perfetta condizione di anonimato al momento delle procedure di registrazione, e via dicendo. In altre parole, non abbiamo di certo ricavato nomi e cognomi attraverso i dati Whois, né ricercato gli utenti sospetti sul noto social network russo “Vkontakte”, oppure su Facebook, come è invece avvenuto in relazione ad altri gruppi di criminali informatici, di sicuro meno professionali, come, ad esempio, la cybergang denominata Koobface. La band che gestiva il malware Lurk non commetteva in alcun modo errori grossolani del genere. E gli eventuali errori individuati, si sono comunque rivelati essere, ad una prima analisi, non particolarmente significativi; gli stessi, soprattutto, si verificavano davvero di rado.

Non ritengo sia opportuno fornire, in questa sede, dettagliati esempi di tali errori; grazie al risultato delle analisi da noi condotte riguardo ad essi siamo ad ogni caso riusciti a ricostruire un quadro della situazione abbastanza chiaro e definito: avevamo a che fare, nella circostanza, con un gruppo di cyberdelinquenti composto da circa 15 persone (nell’ultima fase di attività dello stesso, il numero dei membri “permanenti” della gang era addirittura salito a quota 40). Il team cybercriminale in questione era in grado di garantire quello che può essere definito un “ciclo completo” di attività illecite: sviluppo, distribuzione e monetizzazione di programmi malware; una sorta di piccola società dedita allo sviluppo di software, ma con intenti criminosi. La “società” in causa contava, in quel momento, su due “prodotti” chiave: il malware Lurk ed un’enorme botnet, composta da computer-zombie infettati da tale software nocivo. Il suddetto programma malware disponeva di un proprio team di sviluppatori, responsabili della progressiva comparsa di nuove funzionalità malevole, della ricerca di efficaci metodi di “interazione” con i sistemi di remote banking, della stabilità del “lavoro” condotto, così come di ulteriori task. Al gruppo degli sviluppatori si aggiungeva, poi, una vera e propria squadra di tester, incaricati di verificare e valutare le performance del programma in ambienti diversi. Allo stesso modo, anche la botnet annoverava un proprio team (amministratore, operatori, gestori dei flussi di denaro ed altri collaboratori adibiti alla gestione dei bot attraverso l’apposito pannello di amministrazione), responsabile del “buon” funzionamento dei server di comando, così come della protezione di questi ultimi nei confronti del possibile rilevamento e dell’eventuale intercettazione delle relative funzioni di controllo.

Indubbiamente, per realizzare lo sviluppo di malware riconducibile ad una simile categoria occorrevano dei veri e propri professionisti. I leader del gruppo cybercriminale provvedevano così a ricercarli sui siti web abitualmente utilizzati per la selezione del personale adibito al lavoro da remoto. Esempi di “impieghi” del genere sono stati da me già descritti, alcuni mesi fa, nell’ambito del lungo articolo dedicato alla cybercriminalità “finanziaria” russa. Nei relativi annunci di offerta lavoro pubblicati dai criminali, ovviamente, non si faceva alcun riferimento alla natura illecita dell’attività proposta; soltanto nel successivo colloquio personale, il “datore di lavoro” avrebbe poi condotto una breve verifica, nei confronti dei candidati, riguardo alla solidità e alla stabilità “morale” di questi ultimi; in pratica, nell’occasione, veniva illustrato ciò di cui gli stessi avrebbero dovuto effettivamente occuparsi in seguito. Coloro che “superavano” il test, ovvero accettavano il “lavoro” offerto, pur sapendo bene che non si trattava affatto di un’attività “pulita”, venivano poi integrati nel team.

E così, ogni mattina, eccetto i fine settimana e le eventuali festività, in varie parti della Russia e dell’Ucraina, singoli individui si sedevano davanti allo schermo di un computer, ed iniziavano a “lavorare”. I programmatori mettevano a punto le funzionalità da implementare nelle successive versioni del malware, mentre i tester svolgevano le attività di prova e controllo per le quali risultavano preposti, verificando l’effettiva qualità di ogni nuova versione del programma dannoso in causa. In seguito, il responsabile della botnet, e gli incaricati del “buon” funzionamento dei moduli e dei vari componenti del malware, provvedevano all’upload delle nuove versioni di Lurk sul relativo server di comando; successivamente, inoltre, veniva effettuato l’aggiornamento automatico del software nocivo installato sui computer-bot. I malintenzionati analizzavano ugualmente le informazioni trasmesse dai nuovi computer infettati, determinando, così, se attraverso tali macchine risultava possibile accedere al sistema di remote banking, l’importo di denaro effettivamente presente sul conto bancario preso di mira, etc.

Il gestore dei flussi di denaro, personaggio che potrebbe essere ugualmente definito con il termine unico di “travasatore”, o “prelevatore”, è, in pratica, il responsabile del trasferimento delle somme rubate dagli account finanziari sottoposti ad attacco verso le carte di credito di cui dispongono i cosiddetti “muli del denaro” (money mules); nella circostanza specifica da noi esaminata, il gestore del denaro premeva semplicemente un pulsante sul pannello di controllo della botnet, e centinaia di migliaia di rubli andavano a finire immediatamente sui conti predisposti dai manager del servizio “money mules”. In molti casi, poi, non occorreva nemmeno premere alcun pulsante: il programma malware qui analizzato, in effetti, sostituiva in maniera furtiva i dati inerenti agli ordini di pagamento predisposti dal servizio contabilità, in modo che il denaro illecitamente sottratto andasse a finire direttamente sui conti bancari riconducibili ai cybercriminali.

Da tali account, le somme di denaro via via sottratte venivano poi redirette verso le carte bancarie dei “money mules”, i quali, servendosi degli apparecchi bancomat, prelevavano direttamente i contanti. In seguito, attraverso i manager del servizio “money mules”, tutto il denaro sottratto veniva trasferito al Leader del gruppo criminale, che si occupava poi della successiva ripartizione delle somme rubate, destinate al pagamento degli “stipendi” dei dipendenti e delle quote spettanti ai vari collaboratori esterni, alla costosa manutenzione dell’infrastruttura di rete utilizzata e, naturalmente, ai propri profitti. Ovviamente, il ciclo dannoso qui sopra descritto si ripeteva più e più volte.

Caccia a Lurk

L’epoca di cui abbiamo parlato sinora può essere definita, a tutti gli effetti, come il “periodo d’oro” nella storia delle attività di Lurk, visto che, in ragione delle effettive carenze a livello di protezione delle transazioni finanziarie nell’ambito dei sistemi di remote banking, il furto di denaro eseguito attraverso il computer infetto di un dipendente della divisione contabile dell’azienda sottoposta ad attacco, poteva essere effettuato senza possedere, necessariamente, particolari competenze in materia; talvolta, poi, la sottrazione illecita di denaro avveniva semplicemente in modalità automatica. Ma tutto quanto, ad ogni caso, prima o poi finisce.

Fine dell’epoca del “prelievo automatico”: iniziano i tempi duri, per i cybercriminali

Nel frattempo, naturalmente, l’industria del settore bancario e l’industria operante nel campo della cyber-sicurezza non sono rimaste certamente a guardare con le mani in mano. La crescita esponenziale del numero dei furti di denaro compiuti dalla band criminale Lurk, e da altri raggruppamenti di cyberdelinquenti, ha in primo luogo costretto ad una pronta reazione sia i servizi di sicurezza IT allestiti dalle varie banche, sia le stesse società specializzate nello sviluppo dei software bancari.

Innanzitutto, i produttori del software utilizzato nell’ambito dei sistemi di remote banking hanno rimosso i loro programmi dal pubblico accesso. Sino al momento della comparsa, sulla scena del malware, di gang cybercriminali particolarmente attive nella sfera finanziaria, qualsiasi utente avrebbe potuto tranquillamente scaricare, direttamente dal sito web del produttore, la versione demo di tali programmi. I malintenzionati, da parte loro, hanno ampiamente sfruttato questa ghiotta opportunità allo scopo di analizzare e studiare i meccanismi di funzionamento del software bancario in questione, e creare, successivamente, appositi programmi malware ad esso destinati.

Il secondo grande cambiamento introdotto nel settore è poi rappresentato dalla massiccia implementazione, da parte degli istituti bancari, di tecnologie atte a contrastare il cosiddetto “prelievo automatico”, ovvero quella procedura nociva attraverso la quale, mediante l’utilizzo di un apposito programma dannoso, i cyber criminali i riuscivano a modificare i dati inerenti all’ordine di pagamento emesso dal dipartimento di contabilità di un’azienda, procedendo poi, in maniera automatica, al furto delle risorse finanziarie prese di mira. Infine, la maggior parte dei produttori di software impiegati nei sistemi di remote banking, a seguito della “guerra invisibile” condotta contro i cybercriminali, e protrattasi per mesi e mesi, ha di riflesso innalzato, in maniera davvero sensibile ed efficace, il livello di sicurezza IT di cui è provvisto il proprio software.

Per quel che ci riguarda, possiamo senza ombra di dubbio affermare che, nel periodo a cavallo tra il 2013 e il 2014, conducevamo già approfondite indagini riguardo all’attività del malware dispiegato dal gruppo criminale in questione, ed avevamo già accumulato, di fatto, un considerevole bagaglio di conoscenze su tale complesso software nocivo. Nella nostra speciale bot farm siamo in pratica riusciti ad avviare l’esecuzione di uno script relativo a tale malware, del tutto “funzionante”; questo ci ha permesso di poter conoscere, tempestivamente, tutte le “innovazioni” via via introdotte dai malintenzionati nelle nuove versioni del programma. Allo stesso tempo, anche il nostro team di analisti aveva realizzato significativi progressi nell’ambito delle ricerche specificamente condotte in merito a tale malware. In quel momento, in sostanza, conoscevamo già con esattezza le modalità operative del Trojan, ed avevamo una chiara idea sia delle parti di cui esso si componeva, sia dei moduli aggiuntivi di cui Lurk disponeva grazie al proprio nutrito “arsenale”.

Le necessarie informazioni erano state da noi raccolte, principalmente, nel corso delle analisi effettuate riguardo agli incidenti informatici avvenuti a seguito degli attacchi sferrati da Lurk. Parallelamente, fornivamo consulenze tecniche alle forze dell’ordine, già impegnate, all’epoca, nelle indagini relative alle attività illecite svolte dalla banda criminale in questione.

Da parte loro, i cybercriminali avevano subito cercato di contrastare i vari cambiamenti specificamente apportati alla sfera bancaria, in particolar modo a livello di sicurezza IT. Ad esempio, una volta che i produttori del software bancario avevano cessato di rendere pubblicamente disponibile la versione demo dei propri programmi, i membri del gruppo criminale avevano immediatamente provveduto alla registrazione di un’apposita società fasulla, con il preciso scopo di ottenere, in tal modo, le versioni aggiornate del software utilizzato nell’ambito dei servizi di remote banking.

I furti di denaro, ad ogni caso, sono progressivamente divenuti meno frequenti, grazie ai miglioramenti apportati a livello di effettiva sicurezza del software bancario. I cosiddetti “prelievi automatici” funzionavano sempre più raramente; d’altro canto, il numero degli istituti bancari che ancora ricorrevano all’impiego di sistemi non sufficientemente protetti, si era rapidamente e drasticamente ridotto. Per quello che possiamo giudicare, sulla base dei dati a nostra disposizione, già nel 2014 l’impresa criminale Lurk aveva seriamente diminuito il proprio “giro di affari” e, come si suol dire, rischiava di ritrovarsi, improvvisamente, da una situazione di abbondanza ad una situazione di reale penuria di risorse; i malintenzionati in causa, ormai, non disdegnavano nemmeno di attaccare chiunque potesse rappresentare un potenziale bersaglio, incluso i singoli utenti ordinari. Nella circostanza, i cyberdelinquenti procedevano al furto anche se, a seguito dell’attacco, il bottino raccolto non avrebbe superato, complessivamente, il valore di alcune decine di migliaia di rubli.

Il motivo di tutto questo, a nostro avviso, era esclusivamente di natura economica; in effetti, l’organizzazione criminosa si avvaleva, allora, di un’infrastruttura di rete estremamente sviluppata e costosa. Oltre a provvedere al pagamento dei servizi resi dai “collaboratori”, occorreva di fatto sborsare denaro per l’affitto dei server, per le reti VPN, così come per ulteriori importanti elementi di natura tecnica. Secondo le nostre stime, la sola infrastruttura di rete costava, a coloro che guidavano il gruppo Lurk, varie decine di migliaia di dollari al mese.

Tentativi di vario genere per tornare sulla scena

I cybercriminali in questione hanno in seguito cercato di risolvere il problema dell’effettiva “mancanza” di denaro non solo incrementando sensibilmente il numero degli attacchi di minore entità da essi condotti, ma anche attraverso il ricorso ad una sorta di “diversificazione” delle proprie attività di “business”, e ad un evidente ampliamento del loro campo di azione. Con il termine diversificazione intendo, in primo luogo, le attività illecite legate allo sviluppo, al supporto e alla concessione in affitto, ad altri criminali informatici, del famigerato exploit pack Angler (ugualmente conosciuto con la denominazione di XXX). Inizialmente, tale kit di exploit è stato utilizzato dal gruppo Lurk soprattutto per recapitare il famigerato ed omonimo Trojan sui computer-vittima. Tuttavia, con la brusca diminuzione del numero degli attacchi riusciti, i proprietari di questo temibile strumento di diffusione del malware hanno reso disponibile l’utilizzo di Angler, a pagamento, per gang di cyberdelinquenti caratterizzate da dimensioni decisamente più contenute.

Tra l’altro, a giudicare da quello che abbiamo visto sui forum underground frequentati dai criminali informatici, Lurk è stato sempre considerato, da questi ultimi, una sorta di gruppo quasi “mitico”, perennemente circondato da un alone di “leggenda”. Per vari motivi: in primo luogo, per la sua segretezza ed apparente inaccessibilità; sono state davvero numerose le band cybercriminali di piccole e medie dimensioni che hanno ripetutamente espresso le proprie intenzioni di “lavorare” con il gruppo Lurk; tale gang, tuttavia, ha sempre preferito agire senza la collaborazione di “estranei”. Una delle ragioni di una simile scelta è rappresentata dal fatto che, nel momento in cui il gruppo Lurk ha consentito l’accesso ad Angler ad altri esponenti del mondo cybercriminale, l’exploit pack in causa ha rapidamente acquisito una vasta popolarità; il “prodotto” realizzato dalle massime autorità del cyber-undergound non aveva di certo bisogno di un’ampia pubblicità. A tutto questo si aggiunge, poi, un ulteriore elemento di particolare rilevanza: l’exploit kit in questione assicurava, di fatto, una percentuale davvero elevata di “penetrazione” (in termini di riuscito sfruttamento delle vulnerabilità); trascorso pochissimo tempo dalla sua comparsa, già alla fine del 2013, Angler era in pratica divenuto uno degli strumenti chiave nell’ambito dello specifico mercato “criminal2criminal”.

Così come avveniva prima della decisione di estendere il proprio campo di attività, il gruppo Lurk tornava quindi a prendere di mira i clienti di importanti istituti bancari russi, e le stesse banche, mentre in precedenza la gang si era orientata, temporaneamente, verso target di minore entità.

Nella seconda metà del 2014, avevamo osservato, sui forum underground, la presenza di nickname – a noi già noti – relativi a determinati utenti Internet che richiedevano la collaborazione di persone specializzate in frodi da realizzare tramite l’impiego di documenti contraffatti. Qualche mese dopo, ormai nel 2015, si assisteva, in alcune cittadine russe, ad una vera e propria ondata di notizie relative ad una particolare attività illecita condotta da certi malintenzionati: questi ultimi, avvalendosi di deleghe fasulle facevano in modo che venissero riemesse numerose SIM card, a totale insaputa degli effettivi proprietari delle stesse.

Tutto questo veniva fatto, in pratica, per ottenere l’accesso alle cosiddette password one-time, utilizzate per la procedura di autenticazione a due fattori, abitualmente inviate dalle banche ai propri clienti, allo scopo di confermare l’esecuzione della transazione finanziaria in corso, sia nell’ambito del banking online che dei sistemi di remote banking. Nella specifica circostanza, i malintenzionati si approfittavano del fatto che, nelle aree più remote del Paese, lontano dalle grandi città, il personale dei vari operatori di telefonia mobile non controllava sempre in maniera sufficientemente accurata l’autenticità dei documenti presentati, e rilasciava, quindi, piuttosto agevolmente, una nuova SIM card dietro apposita richiesta dei criminali. Il gruppo Lurk, da parte sua, provvedeva ad infettare il computer della vittima designata, e carpiva, poi, i dati personali relativi a quest’ultima; con l’aiuto dei “partner” individuati attraverso i suddetti forum, veniva in seguito allestita una procura fasulla, con la quale, infine, il criminale di turno si recava presso l’ufficio dell’operatore di telefonia.

Dopo aver ricevuto una nuova SIM card, i cybercriminali svuotavano il conto bancario della vittima, per poi scomparire letteralmente nel nulla.

Inizialmente, tale schema nocivo ha portato di sicuro dei frutti; all’epoca, tuttavia, numerose banche stavano già introducendo l’utilizzo di appositi meccanismi di protezione, allo scopo di monitorare l’eventuale modifica del numero univoco della SIM card. In tal modo, poco dopo l’inizio dell’ondata di furti di denaro riconducibili a questa particolare tipologia, il nuovo metodo allestito dai malintenzionati cominciava già a perdere considerevolmente in termini di efficacia. A questo si aggiunge poi il fatto, di sicuro non trascurabile, che la campagna nociva focalizzata sull’utilizzo illecito delle SIM card aveva in pratica costretto alcuni membri del raggruppamento cybercriminale in causa, così come i loro partner, a “devirtualizzarsi”; una simile circostanza andava quindi a tutto vantaggio delle forze dell’ordine, nel quadro delle attività investigative condotte per ricercare e identificare le persone sospettate.

I vari tentativi eseguiti dal gruppo Lurk per “diversificare” il proprio “business” e individuare ogni possibile falla nei sistemi appositamente allestiti per proteggere le attività di natura finanziaria – continuavano, ad ogni caso, ad essere regolarmente accompagnati da furti di portata relativamente minore, praticati con il “vecchio” metodo del “prelievo automatico”, qualora fosse caduta nella “rete” abilmente tesa dai criminali una vittima potenzialmente adatta alla realizzazione di tale metodo criminale. I cyber criminali in questione, comunque, progettavano già allora di “guadagnarsi” in altro modo le somme di denaro più consistenti.

Nuovi “esperti”

Nel mese di febbraio del 2015, il Global Research & Analysis Team (GReAT) di Kaspersky Lab pubblicava un dettagliato report sulle indagini condotte riguardo alla famigerata campagna dannosa denominata Carbanak, specializzata nel furto di ingenti somme di denaro, a danno di organizzazioni operanti nella sfera finanziaria. La differenza fondamentale che distingueva il gruppo Carbanak dai “classici” cybercriminali attivi in ambito finanziario consisteva nel fatto che l’APT Carbanak annoverava la presenza di esperti in possesso di profonde conoscenze in merito all’organizzazione dell’infrastruttura IT della banca-target, agli orari praticati nell’istituto bancario preso di mira, ai dipendenti chiave, dotati dell’accesso al software utilizzato per la conduzione delle transazioni. Prima di sferrare l’attacco, la cybergang Carbanak studiava accuratamente l’obiettivo prescelto; nella circostanza, venivano rilevati ed evidenziati tutti i punti deboli di quest’ultimo e, una volta scoccata l’ora “X”, il furto sarebbe stato effettivamente commesso nell’orario prestabilito. Come si è rivelato in seguito, la band Carbanak non era affatto l’unico gruppo a far ricorso ad un simile metodo di attacco. Anche all’interno del gruppo criminale Lurk, in effetti, nel corso del 2015 avevano fatto la loro comparsa “specialisti” del genere.

lerk_hunt_it_2

Ci siamo resi bene conto di tutto questo nel momento in cui siamo venuti a conoscenza di incidenti nei quali sembrava di poter intravedere l’inconfondibile “firma” di Carbanak; stranamente, tuttavia, non emergeva la presenza degli strumenti nocivi abitualmente dispiegati da tale gruppo. Si trattava, in effetti, di attacchi realizzati dal gruppo Lurk. Lo stesso malware Lurk, in questi casi, non era stato nemmeno utilizzato come strumento per compiere il furto del denaro, ma piuttosto come una sorta di “backdoor” particolarmente affidabile, allo scopo di riuscire a penetrare all’interno dell’infrastruttura IT dell’organizzazione sottoposta ad attacco. Nonostante, nella circostanza, non risultassero più operative le funzionalità malevole che consentivano, in precedenza, di sottrarre somme milionarie in modalità quasi automatica – dal punto di vista della furtività Lurk dimostrava di essere ancora un malware estremamente pericoloso, realizzato in maniera davvero “professionale”.

Ad ogni caso, malgrado i ripetuti tentativi di sviluppare nuove tipologie di attacco, Lurk sembrava ormai avere i giorni contati. Di fatto, i furti di denaro si sono protratti soltanto fino alla primavera del 2016; gli stessi cybercriminali, forse a causa di un’incrollabile fiducia nei confronti della propria impunità, o forse per una sorta di apatia, si sono preoccupati sempre meno di mantenere l’indispensabile (per loro!) condizione di anonimato, riguardo alle attività illecite svolte. Ciò si è verificato, in particolar modo, in quei frangenti in cui si rivelava necessario procedere all’incasso del denaro rubato: nell’ultima fase della propria attività, gli hacker sono ad esempio ricorsi all’utilizzo di un numero decisamente limitato di società fasulle, sui conti bancari delle quali venivano in pratica trasferite le somme via via sottratte; tutto questo almeno a giudicare dalle analisi condotte su certi dettagli emersi nell’ambito di quegli incidenti sui quali abbiamo indagato in veste di esperti dal punto di vista tecnico. La scoperta dell’effettiva esistenza di vari conti bancari impropriamente utilizzati dai criminali non si rivelava tuttavia essere un elemento determinante: sia da parte nostra, così come da parte di altri tecnici e delle forze dell’ordine era stata in effetti già accumulata una quantità di materiale sufficiente perché si potesse procedere all’arresto dei cybercriminali. E questo, difatti, è proprio ciò che è avvenuto all’inizio del mese di giugno dell’anno in corso.

Su Internet, davvero nessuno può sapere che sei un cybercriminale?

Secondo le mie impressioni personali – raccolte nel corso del lavoro condotto su Lurk – gli esponenti di tale gruppo criminale erano del tutto convinti che non sarebbero stati mai catturati. I motivi alla base di tale convinzione sono di vario genere: il principale, ad ogni caso, è da ricercare nell’approccio estremamente accurato e prudente adottato riguardo all’occultamento delle tracce lasciate dalle attività illecite svolte; in genere, gli hacker in questione hanno sempre cercato di agire con la massima accortezza e ponderatezza. Ma, come tutte le persone al mondo, anch’essi hanno fatto degli errori. Con il trascorrere degli anni tali errori si sono accumulati, ed hanno infine consentito di porre fine alle attività criminose condotte dal gruppo Lurk. In altre parole, anche se in Internet risulta effettivamente molto più semplice ed agevole nascondere le prove, non è ad ogni caso possibile occultare alcune tracce via via lasciate; con il passare del tempo, un team di professionisti, nell’ambito delle indagini svolte, trova di sicuro il modo di “leggere” ed interpretare tali elementi, che permettono poi di identificare e raggiungere i colpevoli.

Lurk non rappresenta di certo né il primo, né l’ultimo esempio atto a dimostrare quanto appena asserito. Prendiamo a tal proposito, in qualità di simile esempio, il caso relativo al Trojan bancario SpyEye, malware un tempo ben noto. I furti di denaro compiuti ricorrendo all’utilizzo di questo programma Trojan, erano stati realizzati, dai malintenzionati, più o meno nel periodo 2009-2011; il presunto autore di tale software nocivo è stato poi arrestato nel 2013, per essere infine condannato nel corso del 2014.

I primi attacchi eseguiti attraverso il dispiegamento del famigerato Trojan bancario Carberp, avevano avuto inizio, all’incirca, nell’anno 2010; i membri del gruppo cybercriminale sospettato della creazione e della distribuzione di questo temibile Trojan sono stati arrestati soltanto due anni dopo, nel 2012, per essere poi condannati, anch’essi, nel 2014. E gli esempi in merito potrebbero tranquillamente continuare.

Nella lunga ed intricata storia delle attività condotte dalle gang qui sopra menzionate, così come da vari altri gruppi cybercriminali, si è registrato un particolare periodo in cui a tutti quanti – e soprattutto agli esponenti stessi delle band in questione – è sembrato che questi ultimi fossero in pratica invulnerabili, mentre pareva, al contempo, che le forze di cyberpolizia, da parte loro, non avrebbero potuto in pratica far nulla, per poterli contrastare. I risultati ottenuti, però, indicano esattamente il contrario.

Lurk, purtroppo, non è di certo l’ultimo gruppo criminale specializzato nell’attaccare società ed organizzazioni allo scopo di realizzare sostanziosi profitti illeciti. Al momento attuale, in effetti, sono a noi noti altri gruppi simili, i quali attaccano società ed istituzioni situate entro ed oltre i confini della Federazione Russa. Per tali specifici motivi, desideriamo raccomandare a tutte le organizzazioni quanto segue:

  • Nel caso in cui la vostra società sia stata sottoposta ad attacco informatico da parte di ignoti hacker, rivolgetevi immediatamente alle forze di polizia competenti in materia, ed interpellate ugualmente, per un pronto intervento, gli esperti nel settore dell’informatica forense. Quanto prima avviene la denuncia, tanto maggiore sarà il numero di indizi e prove che gli esperti di indagini forensi in campo digitale riusciranno a raccogliere; al tempo stesso, le forze dell’ordine potranno disporre di un maggior numero di informazioni, che potrebbero rivelarsi quantomai preziose per giungere in tempi rapidi alla cattura dei cybercriminali.
  • Applicate, inoltre, policy particolarmente severe e rigorose, in materia di sicurezza IT, sia per quel che riguarda i terminali da cui possono essere effettuate le transazioni finanziarie, sia nei confronti del personale che opera su tali unità.
  • Istruite infine adeguatamente tutti i dipendenti della società che dispongono di accesso alla rete aziendale, riguardo alle regole e ai comportamenti da adottare per poter operare e navigare in tutta sicurezza su Internet.

La stretta osservanza delle suddette regole, ovviamente, non eliminerà al 100% il rischio che si manifesti un attacco informatico riconducibile alla sfera finanziaria, ma potrà ad ogni caso creare gravi difficoltà ad eventuali malintenzionati, impedendo loro di raggiungere gli scopi dannosi che si sono prefissi; al tempo stesso, aumenteranno considerevolmente le probabilità che, nel tentativo di superare le inattese difficoltà, questi ultimi possano commettere degli errori, per essi a volte fatali. In tal modo, inoltre, risulterà notevolmente agevolato il prezioso lavoro svolto dalle forze dell’ordine e dagli esperti di sicurezza IT.

Post Scriptum. Perché occorre così tanto tempo?

Le forze dell’ordine e gli esperti di sicurezza informatica vengono spesso accusati di una sorta di immobilismo. Come è possibile che gli hacker rimangano in libertà, sfuggendo alle loro effettive responsabilità, nonostante gli enormi danni arrecati alle vittime?

La storia di Lurk dimostra esattamente il contrario; essa può inoltre fornire un’idea ben precisa di quale possa essere il volume di lavoro da svolgere, per creare i presupposti legali necessari al fine di perseguire le persone sospettate. Il problema è che le regole del “gioco” non sono le stesse per tutti i “partecipanti”: il gruppo Lurk, ad esempio, ha adottato un approccio estremamente professionale, riguardo all’organizzazione della propria impresa criminale, ma, per ovvi motivi, non è stato in alcun modo “gravato” dalla necessità di dover seguire la legge alla lettera. Noi, invece, operando assieme alle forze dell’ordine, siamo naturalmente tenuti a rispettare la legge; si tratta, quindi, di un processo particolarmente lungo, soprattutto in ragione del gran numero di procedure “cartacee” e di restrizioni che la legislazione impone riguardo alle tipologie di informazioni con cui noi, in qualità di organizzazione commerciale, possiamo di fatto lavorare.

La nostra collaborazione con le forze dell’ordine, nel quadro delle indagini condotte in merito alle attività illecite di questo gruppo di criminali informatici, può essere descritta, a tutti gli effetti, come un produttivo scambio di dati, realizzato in varie fasi. Da parte nostra, abbiamo fornito alle forze di cyberpolizia i risultati intermedi del lavoro progressivamente effettuato; queste ultime hanno poi provveduto ad esaminare tali dati con cura, allo scopo di comprendere se i risultati del lavoro da noi eseguito avessero dei precisi riscontri con i risultati ottenuti grazie alle indagini da esse svolte. In seguito, abbiamo ricevuto il nostro set di dati “arricchito” dalle informazioni prodotte dalle stesse forze dell’ordine. Non si è trattato, ad ogni caso, di tutto quanto esse erano state in grado di scoprire, ma solo di una parte di tali informazioni, ovvero quelle con cui abbiamo effettivamente diritto ad operare in base alle leggi vigenti. Tale processo si è ripetuto più volte, sino a quando, finalmente, si è delineato il quadro completo delle attività cybercriminali condotte dal gruppo Lurk. Il caso, tuttavia, non era ancora concluso.

Gran parte del lavoro da noi condotto assieme alle forze dell’ordine e agli organi competenti è stata di fatto dedicata alla “traduzione” – dal campo “tecnico” a quello “giuridico” – delle informazioni che siamo stati in grado di ottenere, traduzione svolta nella specifica “lingua” in cui i risultati delle nostre ricerche sarebbero stati poi descritti in sede legale, con i termini giuridici più appropriati, allo scopo di risultare ben chiari e comprensibili al giudice e ai magistrati incaricati. Si tratta, in ogni circostanza, di una procedura particolarmente complessa, minuziosa e laboriosa; è questo, tuttavia, l’unico metodo per poter assicurare alla giustizia gli autori di simili crimini informatici.

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *