Tra di loro, gli "smanettoni" di Equalize, la società travolta dalle inchieste sugli accessi abusivi a migliaia di italiani, si davano aria da geni dell'hackeraggio. Ma dalle carte dell'inchiesta della Procura di Milano emerge che lo strumento-base utilizzato dalla banda per entrare nelle banche dati e intercettare le comunicazioni è stato un malware, un banale virus informatico che si può comprare su Internet per pochi soldi. Il gruppetto, nelle chiacchiere intercettate dai carabinieri, racconta di avere utilizzato un banale Rat, acronimo di Remote access trojan, praticamente in libera vendita a meno di cento euro. E' da lì che i nerd di via Pattari sono partiti per arrivare a "bucare" siti delicati come quello del ministero degli Interni e della Giustizia e le banche dati delle forze di polizia, fino ad arivare sulla soglia della casella di posta della Presidenza della Repubblica.



La creatività dei produttori di trojan è ineasuribile, in una lotta continua contro le aziende di cybersicurezza. Di recente è stato scoperto che un nuovo tipo di Rat derivante dalla combinazione di due precedenti famiglie di malware Android denominate Cosmos e Hawkshaw, è stato messo in vendita nel dark-web a prezzi popolari (circa 30 dollari Usa). In molti casi i Rat hanno funzioni soprattutto vandaliche, permettono cioè di distruggere i sistemi informatici della azienda vittima in modo da poterla ricattare. Ma gli stessi Rat hanno capacità spionistiche elevate, perché inoculano nel bersaglio una grande quantità di funzioni, ognuna delle quali ha il proprio modulo (DLL) specifico:dalla tracciatura delle sequenze tasti all'accesso alla voce, all'audio, alla telecamera, alla rilevazione di tutte le password utilizzate dalla vittima per accedere ai propri dati.



I Rat in commercio hanno un grande difetto: sono costantemente monitorati dagli specialisti della sicurezza informatica, che aggiornano i loro sistemi di alert e ne rilevano la presenza. Ma qui entrava in gioco la principale abilità degli spioni di Equalize, che modificavano la struttura del software personalizzandola e rendendola invisibile ai sistemi di controllo.

Certo, i custodi delle banche dati governative avrebbero potuto rilevare quanto stava accadendo rilevando altre anomalie, come l'eccessiva quantità di accessi da parte di alcune postazioni IP, o l'utilizzo di tool non autorizzati. Perché questo non sia avvenuto, è la domanda che nel mondo della sicurezza informatica si stanno facendo in molti, dopo i clamorosi arresti di Milano.