Un enigma di cybersicurezza risale al 2012, quando 3,6 milioni di dati fiscali sono stati sottratti dalla Carolina del Sud. Una traccia potrebbe portare a un gruppo di hacker russi.
La domanda di chi abbia rubato i dati fiscali e finanziari circa tre quarti della popolazione residente in Carolina del Sud risale a circa un decennio fa, esattamente all’anno 2012. Durante un’audizione di conferma tenutosi la settimana scorsa, Mark Keel, nominato nel 2011 dalla governatrice Nikki Haley per guidare la divisione di law enforcement dello stato, ha dichiarato di conoscere l’identità dei responsabili del furto, senza però rivelare i dettagli.
Una retrospettiva decennale pubblicata nel 2022 da The Post and Courier di Columbia, S.C. ha spiegato che gli investigatori avevano accertato che la violazione dei dati era iniziata il 13 agosto 2012, a seguito dell’apertura di un link maligno inviato a un appaltatore informatico di stato. L’autorità statale ha affermato di essere stata informata dell’attacco da un organismo federale di law enforcement il 10 ottobre 2012.
In un’analisi di decine di forum di cybercrimine svoltasi attorno a questo periodo, si riscontra un solo indizio che potrebbe portare all’identificazione dei colpevoli. Il 7 ottobre 2012, tre giorni prima che le autorità della Carolina del Sud annunciassero di aver scoperto l’intrusione, un noto cybercriminale conosciuto con l’appellativo di “Rescator”, aveva messo in vendita una “banca dati del dipartimento fiscale di uno degli stati” in un forum del crimine in lingua russa chiamato Embargo.
Un’offerta simile si riscontrava una settimana dopo sul forum russo esclusivo Mazafaka, in cui Rescator annunciava la vendita di dati provenienti dal database fiscale di un stato USA, senza tuttavia specificare quale fosse questo stato. La tipologia di dati offerti includeva il Social Security Number (SSN), i dati relativi all’impiego, il nome, l’indirizzo, il telefono, il reddito tassabile, l’importo del rimborso fiscale e il numero del conto bancario.
Il 26 ottobre 2012, le autorità statali annunciarono pubblicamente la violazione, svelando di avere avviato un’indagine in collaborazione con gli esperti dei Servizi Segreti degli Stati Uniti e con i professionisti forensi digitali di Mandiant. La stessa azienda produsse un rapporto di incidente (PDF).
Il legame tra l’hacker Rescator e gli attacchi subiti da Target nel 2013 e da Home Depot nel 2014 è già noto. Questi attacchi hanno portato alla vendita nei negozi di cybercrimine gestiti dallo stesso Rescator di circa 40 milioni di carte di pagamento rubate nell’intrusione alla Target e 56 milioni di carte di pagamento dei clienti di Home Depot.
L’identità di Rescator sarebbe riconducibile a Mikhail Borisovich Shefel, un 36enne residente a Mosca che recentemente ha cambiato il proprio cognome in Lenin, secondo quanto risulta da un’indagine decennale pubblicata il 14 dicembre 2023 sul portale KrebsOnSecurity.
Nonostante l’oltraggioso furto dei dati, non vi sono prove concludenti che Rescator abbia venduto le informazioni sottratte. Tuttavia, la sua attività di vendita si svolgeva in un periodo in cui l’incidenza delle frodi legate alle dichiarazioni fiscali era in forte ascesa.
Roberia sul settore delle imposte si riferisce a quando qualcuno utilizza un’identità rubata e un SSN per presentare una dichiarazione fiscale a nome della vittima, richiedendo un rimborso fraudolento. Le vittime scoprono spesso di essere state truffate solo dopo che la loro dichiarazione viene respinta perché i truffatori le hanno precedute. Persone non tenute a presentare dichiarazioni possono comunque cadere vittime di questa forma di frode, così come persone non aventi diritto a un rimborso da parte del U.S. Internal Revenue Service (IRS).
Di seguito, riportiamo l’elenco di alcuni dei principali riferimenti studiati per redigere questo articolo: