LulzSec: ascesa e caduta del colletivo di hacker che spaventò il mondo

Per tre mesi, nel corso del 2011, un collettivo di hacktivisti noto con il nome di LulzSec ha seminato il panico nel mondo, buttando giù a piacimento i siti di alcune delle più importanti organizzazioni mondiali. I bersagli venivano pubblicamente derisi per l’incapacità dei loro addetti alla sicurezza e per l’eccessiva facilità con cui gli hacker riuscivano, di volta in volta, a schiacciare corporation che – almeno sulla carta- avrebbero dovuto essere virtualmente inespugnabili.

Come delle divinità, gli hacker sceglievano le vittime da distruggere secondo il loro esclusivo sentimento. A volte per mandare un messaggio o per vendicare un torto – magari anche solo risibile -, ma il più delle volte gli attacchi a danno dei siti delle aziende e delle agenzie governative erano dettati da un mero capriccio.

«Lo facciamo per i Lulz e per la Giustizia», aveva raccontato a Forbes ‘Whirlpool‘, uno dei membri del team.

Lo facciamo per i Lulz e per la Giustizia.

 

All’epoca dell’intervista LulzSec aveva appena hackerato il sito della PBS, la televisione pubblica statunitense. Le password e le credenziali d’amministrazione di diversi siti dell’emittente erano state diffuse online, permettendo virtualmente a chiunque di prendere il controllo dei servizi digitali della TV. L’homepage del sito principale della PBS aveva smesso di mostrare le normali informazioni del palinsesto.

Al loro posto campeggiava un’enorme Nyan Cat.

La PBS aveva una sola colpa: aver mandato in onda un mini-documentario di un’ora dedicato ad Anonymous e Wikileaks. Documentario che descriveva le gesta degli hacker e di Chelsea Manning con toni estremamente negativi.

Sebbene il nostro obiettivo principale sia quello di diffondere intrattenimento, speriamo moltissimo che Bradley Manning [il deadname di Chelsea ndr] ne venga a conoscenza e faccia almeno un piccolo sorriso.

LulzSec aveva una predilezione per i siti dei media, che spesso venivano sottoposti a defacing per diffondere notizie false e palesemente satiriche, come quando hackerarono sempre la PBS dando la notizia che Tupac era ancora vivo e vegeto in Nuova Zelanda, o quando violarono la home page del The Sun, un famigerato tabloid inglese, annunciando la morte dell’editore Rupert Murdoch.

L’attacco entrato nella storia, quello di cui probabilmente i nostri lettori avranno più memoria, arriva il 23 maggio del 2011, quando Lulzsec viola i server di Sony Playstation rubando i dati di oltre 24.6 milioni di utenti e causando un interruzione dei servizi del PSN per diversi giorni.

In quel periodo il gruppo mette nel mirino diverse altre aziende del mondo del gaming, tra cui Bethesda, Minecraft e Blizzard.

L’unica a salvarsi fu Nintendo: gli hacker si limitarono a violare un server di minore importanza locato negli USA, rimanendo a mani vuote.

Non stiamo prendendo di mira Nintendo,
amiamo troppo l’N64.

 

aveva scritto il collettivo su Twitter.

La nascita di LulzSec

Il primo vero colpo di LulzSec risale a due settimane prima dell’attacco a Sony. Un conduttore di Fox TV aveva definito il rapper Common ‘spregevole’ e tanto è bastato per far scattare i sentimenti vendicativi del gruppo. Il 7 maggio del 2011 LulzSec pubblica online un dossier con le informazioni personali dei concorrenti di X-Factor divulgando anche le informazioni personali di diversi produttori e collaboratori del canale televisivo.

Set Sail for Fail!

 

LulzSec era appena nato per volontà di Sabu e tflow. Entrambi due ex Anonymous, collettivo da cui hanno deciso di distanziarsi per salpare verso nuove rotte.

Il collettivo nato su 4Chan aveva iniziato ad avere troppe regole, a partire dall’iniziale divieto di attaccare i media – una delle vittime preferite da LulzSec – e dalla necessità di dare alla gran maggior parte degli attacchi una connotazione politica. Limiti che iniziavano a stare troppo stretti alle più vaste ambizioni di Sabu e degli altri membri dell’equipaggio di quella che da lì a poco sarebbe diventata nota con il nome di Lulz Boat. Fin da subito il collettivo dà prova di avere una vocazione diversa da quella di Anonymous: seminare il caos mostrando al grande pubblico quanto siano deboli le difese dei giganti del mondo.

I membri del collettivo non si conoscevano con il loro vero nome, ma parlavano tra di loro esclusivamente usando gli pseudonimi che si erano scelti. A Sabu e tflow si erano presto aggiunti Kayla, Topiary, Pwnsauce, e AVunit.

A volte passavo per quello stronzo, alcuni membri volevano parlarmi della loro vita e io li mettevo in guardia: non mi interessa chi sei o cosa fai, limitiamoci alle nostre operazioni.

avrebbe raccontato diversi anni dopo il leggendario fondatore Sabu.

Il grosso dei membri era originario del Regno Unito, ma si tratta di una pura casualità. A dire il vero, la casualità ha dominato il grosso dell’attività del gruppo a partire dall’adesione di alcuni degli stessi membri fondatori.

All’epoca Anonymous aveva cambiato tutto. Gli attacchi ottenevano attenzione per pochi giorni e poi ognuno tornava alle sue cose, a guardare i video dei gattini o quello che era popolare all’epoca. Ma le attività di Anonymous continuavano senza sosta per settimane.

Una sera mi sono trovato a rimanere su una delle chat per più a lungo del solito. Invece di chiuderla ho scelto di continuare a vedere cosa veniva scritto e così mi sono trovato coinvolto ad un livello più operativo e meno casuale.

Si è trattato di una pura casualità.

ha raccontato Topiary nel 2014, in occasione di una reunion con altri membri del collettivo durante un evento organizzato dal Royal Court Theatre.

Prima di LulzSec non era mai esistito nulla del genere. Attorno al gruppo si era creato un immaginario cartoonesco, fatto di slogan, meme, icone ricorrenti e tormentoni. Il collettivo parlava al mondo dalla sua pagina ufficiale Twitter, l’immagine del gruppo veniva curata con attenzione gestendo frequentemente anche i rapporti con i media e rilasciando interviste in esclusiva – spesso con il solo scopo di far arrabbiare i reporter esclusi dal giro di dichiarazioni.

Le cause della caduta di LulzSec e il tradimento di Sabu

Come spesso succede, la caduta di LulzSec dipese almeno in parte da un eccesso di ambizione. A giugno del 2011 il gruppo di hacktivisti decide di volare troppo vicino al Sole, scegliendo un target fuori dalla loro portata. Gli hacker riescono con successo a mandare offline il sito della InfraGard, una realtà affiliata all’FBI e che si dedica alla protezione nazionale americana.

È una scelta di cui solamente poco dopo si sarebbero pentiti.

Nelle settimane successive il collettivo se la prende con il sistema sanitario nazionale del Regno Unito, con il Senato statunitense (divulgando le password dei politici) e, per chiudere in bellezza, pure con il sito della CIA.

Avete capito che oggi abbiamo sfasciato l’FBI? Questo significa che da oggi ognuno di noi dovrà essere estremamente cauto

aveva scritto il leader del collettivo, Sabu, nella chat usata dal gruppo per architettare gli attacchi.

Ironia del destino, sarà proprio Sabu a commettere uno degli errori più clamorosi della sua carriera di hacker, dimenticandosi di usare TOR prima di collegarsi ad un forum di Anonymous. L’FBI non si fa sfuggire l’opportunità e manda una squadra di agenti nella sua casa a Manhattan.

Hector Monsegur, vero nome del leader del collettivo, si trova davanti ad un bivio: passare la vita in carcere o diventare un collaboratore dei federali. Monsegur all’epoca aveva 28 anni ed era formalmente disoccupato, ma soprattutto aveva in affido due cugine più giovani. Il carcere avrebbe probabilmente segnato anche il destino di loro due, facendo scattare l’intervento dei servizi sociali.

Sabu torna online in qualità di leader di LulzSec, pianificando nuovi attacchi con i suoi compagni — completamente ignari del suo nuovo ruolo di informatore dell’FBI. Da lì a poco, l’intero castello di carte crolla rovinosamente.

Il 21 giugno la polizia di Londra bussa alla porta di Ryan Clearly, hacker appena diciannovenne che aveva collaborato in alcune occasioni con LulzSec e in particolare ad un violento attacco DDoS contro la SOCA, un dipartimento di sicurezza del Regno Unito. Il collettivo su Twitter smentisce la sua appartenenza al gruppo.

Nei giorni successivi tocca ad altri membri minori o ‘comparse’ saltuarie nelle operazioni di LulzSec, finché il 19 luglio la polizia metropolitana di Londra, collaborando con l’FBI, non consegna un mandato d’arresto a Mustafa Al-Bassam, vero nome di Tflow e co-fondatore del collettivo. All’epoca aveva solamente 16 anni. LulzSec smentisce ancora una volta che si tratti di uno dei suoi membri, ma questa volta si tratta di una bugia.

Poi tocca a Jake Leslie Davis (Topiary), all’epoca anche lui giovanissimo e di nazionalità inglese. Pochi giorni prima del suo arresto aveva cancellato tutti i suoi tweet con un’unica eccezione: “Non potete arrestare un’idea”, recita il post ancora online dopo tutti questi anni.

You cannot arrest an idea.

— Topiary (@atopiary) July 22, 2011

Nel frattempo – forse sospettando il peggio – LulzSec aveva scelto di celebrare i suoi 50 giorni di attività chiudendo con il botto: gli hacker caricano un ultimo leak chiamato non a caso 50 Days of Lulz.

Su pastebin la ciurma si congeda con un messaggio dedicato al suo ormai affezionato pubblico di supporter:

Thank you for sailing with us. The breeze is fresh and the sun is setting, so now we head for the horizon.

L’eredità del collettivo LulzSec

I membri di LulzSec non hanno tratto grossi profitti personali dalle operazioni del collettivo. Nessuno degli attacchi del gruppo aveva per obiettivo il ricatto delle aziende colpite o la rivendita delle informazioni rubate.

Sarebbe una banalizzazione anche dire che gli attacchi avevano l’unico scopo di intrattenere perpetuatori e pubblico. Certo, c’era una forte componente beffarda, ma è impossibile non attribuire al collettivo, se non una vera e propria ideologia, quantomeno un forte senso della giustizia e una voglia di vendicare ciò che gli hacker ritenevano dei torti. Ma l’eredità di LulzSec va oltre a questo.

Fino al 2011 i brand delle grandi aziende erano percepiti dal pubblico come delle corazze impenetrabili.

Il consenso generale era che mettere i propri dati e le proprie informazioni personali nei server di un colosso come Sony fosse una pratica sicura, non c’era nulla che potesse andare storto. LulzSec ha dimostrato che questo assunto si basava su una bugia.

Il motto di LulzSec era, letteralmente, “Laughing at your security since 2011”.

Non solo le grandi aziende – e perfino la CIA – potevano venire colpite esponendo le informazioni dei loro utenti, ma esisteva un problema generale, diffuso e universale che colpiva pressoché la totalità dei giganti del mondo.

LulzSec – consapevolmente o meno – ha dato un’importante lezione non richiesta (ma estremamente necessaria) al mondo.

LulzSec sta andando in giro a pestare alcune delle organizzazioni più potenti al mondo… solamente per potersi fare una risata.

Per i lulz! Questo dovrebbe dirvi tutto ciò che avete bisogno di sapere sulla sicurezza informatica: non c’è nessuna sicurezza informatica.

aveva scritto l’analista Patrick Gray all’epoca dei fatti.

Alla luce delle macerie lasciate alle spalle del collettivo, l’affermazione era indubbiamente vera nel 2011. Oggi un po’ meno, e lo dobbiamo almeno in parte a LulzSec e a quei tre mesi di puro caos avvenuti dieci anni fa.

 

The Gateway è il magazine settimanale di Lega Nerd che vi parla del mondo della tecnologia e dell’innovazione.

 

• LulzSec: what they did, who they were and how they were caught (theguardian.com)
• Inside LulzSec: Chatroom logs shine a light on the secretive hackers (theguardian.com)
• The Big Idea: In Conversation with LULZSEC (youtube.com)
• Interview With PBS Hackers: We Did It For ‘Lulz And Justice’ (forbes.com)