Dentro “Diesel Vortex”: come un sindacato di cybercriminali russo-armeni ha dirottato il trasporto merci occidentale

In un tranquillo mercoledì di primavera, un ricercatore di cybersicurezza si imbatté in una briciola digitale - una directory .git esposta su un sito web sospetto. Ciò che seguì avrebbe svelato una vasta operazione di cybercrime che, per mesi, aveva sottratto in silenzio segreti dalle stesse arterie del commercio occidentale: il settore del trasporto merci e della logistica.

Gli hacker, noti come “Diesel Vortex”, erano tutt’altro che dilettanti. Per cinque mesi hanno infiltrato piattaforme vitali per la movimentazione delle merci - load board, sistemi di gestione flotte e portali per carte carburante - spacciandosi per vettori e broker legittimi. Il loro bottino: credenziali di accesso che garantivano l’accesso a calendari di spedizione, valori dei carichi e la possibilità di reindirizzare o rubare interi carichi.

I ricercatori di Have I Been Squatted, un gruppo di protezione dei domini, hanno ricostruito il manuale operativo del sindacato dopo aver scoperto il codebase esposto. I file rivelavano non solo progetti tecnici ma anche chat interne - alcune in armeno - in cui gli operatori discutevano di colpire carichi di alto valore e coordinavano truffe di “double-brokering”. In questi schemi, un criminale prenota un carico usando un’identità rubata, poi lo riassegna, mascherando le proprie tracce e rendendo il recupero quasi impossibile.

La scala e la professionalità hanno sbalordito gli investigatori. L’operazione includeva una gerarchia strutturata, un call center, supporto via mail e ruoli dedicati alla comunicazione con autisti e contatti del settore. La loro piattaforma di phishing-as-a-service, marchiata “MC Profit Always”, era pronta a consentire ad altri criminali di noleggiare gli strumenti necessari per sfruttare il settore logistico.

L’analisi tecnica ha collegato l’infrastruttura a domini registrati in Russia e a registri societari legati ad aziende russe nel magazzinaggio e nel trasporto. Nel frattempo, le chat facevano riferimento a Erevan, Armenia, e includevano scambi in lingua armena su obiettivi redditizi. Il carattere multinazionale del gruppo riflette la natura sempre più globale del cybercrime.

Con il supporto di giganti della cybersicurezza come Google, Cloudflare e GitLab, l’infrastruttura dell’operazione è stata infine smantellata. Ma il danno era fatto: credenziali rubate, carichi dirottati e una dimostrazione inquietante di quanto vulnerabile sia diventata la spina dorsale digitale del commercio globale.

Mentre i legislatori si affannano a rispondere - più di recente con la proposta di Combatting Organized Retail Crime Act - gli esperti di sicurezza avvertono che la trasformazione digitale del settore merci è un’arma a doppio taglio. Se da un lato l’efficienza cresce, dall’altro aumenta anche l’esposizione a cybercriminali sofisticati e internazionali. “Diesel Vortex” quasi certamente non sarà l’ultimo del suo genere.

Nel mondo della logistica ad alta posta in gioco, la fiducia è moneta - e, come dimostra questo caso, una singola password compromessa può costare milioni. Il settore del trasporto merci può muovere il mondo, ma ora deve imparare a difendersi nelle corsie oscure del cyberspazio.

WIKICROOK

• Phishing: Il phishing è un crimine informatico in cui gli aggressori inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o a cliccare su link malevoli.
• directory .git: La directory .git è una cartella nascosta usata da Git per tracciare le modifiche e memorizzare la cronologia completa delle versioni e la configurazione di un progetto.
• Double: La doppia estorsione è un attacco informatico in cui i criminali sia cifrano sia rubano i dati, minacciando di divulgarli a meno che la vittima non paghi un riscatto.
• Phishing: Il phishing è un crimine informatico in cui gli aggressori inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o a cliccare su link malevoli.
• Furto di credenziali: Il furto di credenziali si verifica quando gli hacker rubano nomi utente e password, spesso tramite phishing o violazioni di dati, per accedere illegalmente ad account online.