Откуда взялись секретные данные, украденные хакерами "Equalize" у государства?

По версии следствия, эта информация была собрана незаконно, чтобы быть проданной или использованной для влияния на политические и корпоративные решения. Четыре человека были помещены под домашний арест, более 60 находятся под следствием: некоторые, как утверждается, непосредственно занимались шпионажем, другие - заказывали услуги шпионажа у Equalize, главной компании, вовлеченной в расследование.

Хотя многие аспекты еще неясны, дело актуально, поскольку расследование показывает, насколько уязвимы и ненадежны системы защиты этих баз данных, а в конечном итоге - насколько уязвимо и ненадежно само государство перед лицом киберугроз. По словам прокурора Франческо Де Томмази, благодаря беспорядочному распространению этих чувствительных и конфиденциальных, или секретных, новостей и информации, подозреваемые смогли бы «держать в своих руках» граждан и учреждения.

Главный архив, который мог быть взломан, - это SDI, аббревиатура от Sistema Di Indagine Informatico (Computer Investigation System), база данных, созданная в 1981 году, где хранится вся полезная для безопасности и общественного порядка информация, собранная всеми правоохранительными органами: аресты, жалобы, документы, паспорта, принадлежащее оружие, домашние и рабочие адреса, результаты обысков и проверок. Операторы, подключающиеся к SDI, также могут автоматически обращаться к другим базам данных, например, к базам данных ГИБДД и муниципалитетов.

Доступ к SDI регулируется строгими правилами, или, по крайней мере, должен регулироваться: полицейские и карабинеры могут войти в базу данных только с помощью личного пароля, указав причину запроса, например, написав, что они остановили человека на контрольно-пропускном пункте или что они занимаются расследованием, поиском пропавших людей, автомобилей или товаров. Причины сохраняются в архиве на случай возникновения споров. Те, кто незаконно обращается к этому архиву, рискуют быть осужденными за разглашение следственной тайны или неправомерный доступ к компьютерной системе.

В постановлении о предварительном заключении говорится, что в общей сложности было совершено 52 811 неправомерных доступов к SDI, а также 108 805 доступов к судебным и административным документам. В их число также входил конфиденциальный документ AISI, Агентства внутренней разведки и безопасности, то есть секретных служб. Как утверждается, доступ к SDI стал возможен частично благодаря соучастию некоторых сотрудников правоохранительных органов, а частично - в результате компьютерной атаки.

Среди подозреваемых - маршал Финансовой гвардии, служивший в следственном управлении по борьбе с мафией в Лечче, сотрудник государственной полиции, служивший в полицейском участке в Ро-Перо, провинция Милан, инспектор пограничной полиции в аэропорту Орио-аль-Серио, провинция Бергамо, и унтер-офицер карабинеров, служивший в следственном отделе Милана. По мнению обвинения, эти сотрудники правоохранительных органов получали доступ к SDI по заказу Equalize.

По словам следователей, они также обнаружили доказательства компьютерной атаки, организованной с помощью RAT - трояна удаленного доступа, программы, которая позволяет удаленно управлять компьютером без ведома его владельца. RAT позволяет завладеть всей системой, включая мышь и клавиатуру, и получить доступ ко всем документам. По данным прокуратуры, техникам Equalize удалось внедрить RAT в один из компьютеров сети Министерства внутренних дел, чтобы получить доступ к базам данных. Время от времени RAT адаптировался для обхода мер по обслуживанию и безопасности. Один из подозреваемых, Нунцио Самуэле Каламуччи, также утверждает, что перехватил электронное письмо с почтового ящика президента Республики Серджо Маттареллы.

Помимо SDI, Equalize имела доступ ко многим другим важным базам данных. Среди них была и та, что содержала так называемые SOS - «отчеты о подозрительных операциях», обрабатываемые Банком Италии и направляемые им в полицию и, в частности, национальному прокурору по борьбе с мафией и терроризмом, то есть судье, который координирует расследования по всей Италии по преступлениям, связанным с организованной преступностью. Система SOS уже была предметом другого расследования, связанного с предполагаемым неправомерным доступом к базам данных Национальной антимафиозной прокуратуры.

Система SOS регулируется законодательным декретом 2007 года, который за последние годы неоднократно обновлялся. Эта система требует от банков, финансовых брокеров и брокеров по недвижимости, биржевых маклеров, почтовых отделений, компаний по управлению активами и целого ряда других так называемых «обязанных сторон» сообщать Банку Италии о денежных обменах, которые, по их мнению, связаны с отмыванием денег или операциями по финансированию терроризма, либо получены в результате преступной деятельности.

Сообщение должно быть подано в электронном виде, до того, как будет выдано разрешение на проведение операции, без уведомления лица или компании, желающей это сделать. Сотрудник, отвечающий за эти процедуры, имеет специальный профиль на портале Infostat Банка Италии, доступ к которому он получает, введя свои учетные данные. Затем сообщение поступает в подразделение финансовой разведки (FIU), созданное в соответствии с тем же декретом 2007 года в Банке Италии. Получив SOS, проводится проверка, возможно, с запросом дополнительной информации у сообщившей стороны. Все эти проверки и обмен информацией происходят в основном через портал под названием SAFE, открытый в 2017 году, а также через другие старые компьютерные системы, такие как RADAR (сбор и анализ данных для борьбы с отмыванием денег), разработанный в 2011 году именно для того, чтобы лучше делиться аналитическими данными с обязанными сторонами и гарантировать анонимность должностных лиц, выполняющих эти процедуры.

Есть еще Serpico, база данных Налогового управления, где, помимо прочего, хранятся налоговые декларации и другая конфиденциальная информация о налогоплательщиках. Кроме того, существует система SIVA (Currency Information System), используемая Финансовой гвардией для сообщения о подозрительных финансовых операциях; ANPR, Национальный регистр постоянного населения, база данных Министерства внутренних дел, содержащая всю регистрационную информацию, собранную муниципалитетами; и база данных INPS, где хранятся данные о социальном обеспечении всех граждан.