Il 4 gennaio del 2017 i tecnici informatici della Case Western Reserve University (CWRU), autorevole università di Cleveland, Ohio, furono contattati dai colleghi di un’altra organizzazione, che si era accorta di essere stata compromessa da un software malevolo. Il malware però comunicava anche con i sistemi della Case, e il sospetto era che pure quella tranquilla università, composta di edifici storici e prati all’inglese, fosse rimasta infetta. Il giorno dopo partiva così la segnalazione all’Fbi. Tuttavia quello che avrebbero poi scoperto gli amministratori di quella prestigiosa istituzione accademica andava oltre ogni loro peggiore previsione.

13 anni a spiare le vite degli altri

Non solo i computer infetti erano un centinaio. Non solo risultavano compromessi da anni. Ma l’artefice dell’infezione - che si sarebbe rivelata essere solo la punta dell’iceberg di una campagna molto più vasta - era addirittura uno studente dell’università. I tecnici della Case si sono infatti accorti che lo stesso IP del malware (l’IP è l’indirizzo che identifica ogni dispositivo connesso a internet) era stato usato anche per accedere alla casella di posta di un allievo. Si trattava di Philip R. Durachinsky, 28 anni, originario dell’Ohio, brillante studente di fisica che nel 2011 aveva pure ricevuto un premio per uno strumento di visualizzazione dei dati relativi al comportamento delle nanoparticelle, con tanto di menzione e foto sul sito dell’università. Nel mentre però, secondo l’accusa dell’Fbi, il giovane si occupava anche della visualizzazione di ben altri contenuti, un po’ meno accademici.

Durachinsky - arrestato e detenuto dal gennaio del 2017, sul pc gli hanno trovato il software di controllo del malware - è infatti sospettato di essere l’autore di una impressionante campagna di sorveglianza via computer, che ha colpito centinaia, forse migliaia di ignare vittime, sottraendo milioni di immagini. Durata ben 13 anni, dal 2003 al 2017. E il cui intento principale sembra essere stato quello di spiare l’intimità di perfetti sconosciuti. Secondo l’atto d’accusa del Dipartimento di Giustizia, diffuso in questi giorni, il giovane avrebbe sviluppato un malware per MacOs e Windows; lo avrebbe installato su migliaia di computer; e in questo modo avrebbe controllato i dispositivi di un numero imprecisato di persone.

Cosa poteva fare

In particolare poteva accedere ai loro file; caricare a sua volta dei file sui loro pc; fare degli screenshot dello schermo; carpire password o quanto veniva digitato sulla tastiera; attivare il microfono e la videocamera. Se la vittima scriveva in un motore di ricerca delle parole associate alla pornografia un alert avvisava Durachinsky (che a quel punto probabilmente azionava la videocamera). L’accusato avrebbe dunque usato il malware per guardare e ascoltare le vittime senza che loro lo sapessero. Tutto ciò in modo maniacale, per anni, salvando «milioni di immagini» e tenendo note dettagliate di quello che vedeva. Attraverso un pannello di controllo, dal suo pc nell’Ohio, poteva vedere video live e dati in simultanea, di più persone.

Nel corso degli anni Durachinsky avrebbe raccolto un’infinità di dati personali sui suoi target: dichiarazioni dei redditi, documenti medici, foto, video, dati bancari, ricerche fatte su internet, e comunicazioni personali potenzialmente imbarazzanti, oltre alle password di altri servizi web. È anche accusato di aver «usato dei minori per coinvolgerli in attività sessuali esplicite» e produrre materiale pedopornografico da distribuire online; e di aver usato più in generale le informazioni ottenute dalle vittime per fare soldi.

Il giovane sfruttava reti e computer altrui anche per salvare i materiali che aveva sottratto ad altri; oppure abusava dell’infrastruttura di istituzioni, dipartimenti governativi, aziende per diffondere il malware o ancora creare una rete di proxy che offuscassero il suo stesso ruolo nell’operazione.

Le prime segnalazioni

Un meccanismo andato avanti clamorosamente per anni, in silenzio, che ha iniziato a incepparsi a fine 2016, quando qualcuno in un centro biomedico inizia infine a notare uno strano traffico in uscita da un Mac. La segnalazione arriva ai ricercatori di sicurezza di Malwarebytes, che a inizio 2017 scrivono un articolo, parlando di un malware «come mai si era visto prima».

Un malware per Mac, che permette dettagliate attività di sorveglianza dei target, e che verrà battezzato Fruitfly. Non è chiaro però - e non è stato chiarito ancora adesso - come infetti i dispositivi, forse facendo scaricare qualcosa alle vittime. Non è nemmeno difficile da individuare. Eppure quel software sembra piuttosto datato, si pensa che circoli da diversi anni, osservano quelli di Malwarebyte, notando una vecchia libreria opensource e i riferimenti a versioni più recenti del sistema operativo dei Mac. Insomma, sembra che il software sia stato aggiornato nel tempo. «L’unica ragione che posso pensare per cui non sia stato individuato prima è che sia stato usato per attacchi molto mirati, con esposizioni limitata», scrivono all’epoca i ricercatori.

Ipotizzano anche un possibile movente internazionale, magari spionaggio russo e cinese. Non immaginando che di lì a poco sarebbe stato arrestato lo studente dell’Ohio. E che la sua attività sembra risalire al 2003.