Internet Archive ancora sotto attacco: gli aggressori scrivono agli utenti

È di appena qualche giorno fa la notizia della scoperta di un grave attacco informatico subìto da Internet Archive, organizzazione senza scopo di lucro che si occupa di preservare e rendere accessibili contenuti digitali, come pagine Web, libri, video, audio e software. Il problema, che ha portato alla sottrazione dei dati relativi a 31 milioni di account, è scaturito da una configurazione scorretta di GitLab. In pratica, un file contenente token di autenticazione perfettamente validi e funzionanti, scoperto su uno dei server di sviluppo dell’Internet Archive ha permesso ai criminali informatici di accedere alle risorse interne dell’organizzazione per poi muoversi lateralmente.

Gli attaccanti dichiarano di aver ripetutamente avvisato Internet Archive dei problemi di sicurezza riscontrati e che i token di autenticazione erano esposti da quasi due anni su GitLab.

Se da un lato Internet Archive ha ripristino alcuni servizi, gli aggressori sembrano volersi prendere gioco degli amministratori IT inviando un’email a coloro che in passato hanno contattato l’organizzazione attraverso il sistema di ticketing e supporto Zendesk.

Gli aggressori controllano ancora parte dei servizi di Internet Archive

Come si legge nella comunicazione inviata per email dai criminali informatici agli utenti di Internet Archive, il personale dell’organizzazione non avrebbe correttamente “ruotato” neppure i token per l’utilizzo delle API di Zendesk, dopo l’attacco dei giorni scorsi. Così, sfruttando questi token, gli aggressori hanno potuto accedere a oltre 800.000 ticket di supporto, inviati a partire dal 2018.

Gli utenti che avevano richiesto la rimozione di pagine dalla Wayback Machine, che consente di accedere al contenuto di una pagina così come si presentava tempo addietro, o avevano contattato il supporto per altre questioni hanno ricevuto email inquietanti che confermano il furto dei dati. Un messaggio recapitato da un attore malevolo include un avvertimento esplicito: “Sia che abbiate chiesto la rimozione di un sito o informazioni generali, i vostri dati ora sono in mano a terzi”.

Alcune richieste di rimozione includevano allegati contenenti informazioni personali, con la possibilità che tali documenti siano stati a loro volta scaricati attraverso le API di Zendesk.

Motivazioni dell’attacco

Nonostante le teorie cospirazioniste che circolano in merito alla motivazione dietro questo attacco – tra cui ipotesi di coinvolgimenti statali o aziendali in conflitto con il progetto – l’attacco sembra condotto principalmente per “cyber street cred“, espressione con cui si fa riferimento alla reputazione e al prestigio che un hacker o un gruppo di criminali informatici guadagna all’interno della comunità.

L’attaccante protagonista dell’azione contro Internet Archive ha approfittato dei token senza fini politici o economici. Esclusivamente per aumentare la propria reputazione nel sottobosco del cybercrime, dove la condivisione e il commercio di dati rubati sono all’ordine del giorno.

Anche se non ancora divulgato pubblicamente, è altamente probabile che il database sottratto all’Internet Archive sia presto condiviso sul “mercato nero”, a partire dal principale forum di hacking, diventando disponibile per altre comunità di malintenzionati.