Secondo Cybergon sono due gli attacchi che hanno segnato un’altra pietra miliare nella storia della cybersecurity, sia per rilevanza degli obiettivi colpiti, sia per capacità di
Per la business unit di Elmec Informatica dedicata alla cybersecurity, il primo (dello scorso dicembre) è l’attacco a SolarWinds: una backdoor nel prodotto Orion installata su 17mila clienti ha dato il via ad una massiva attività di spionaggio. I server del provider di servizi americano, protetti teoricamente dalla password “solarwinds123”, sono stati utilizzati per riscrivere circa 4.000 righe di codice malevolo e distribuirlo in un aggiornamento. Tra le vittime di questo attacco a catena ci sono stato la Casa Bianca, l’esercito americano, il Dipartimento di Stato americano e del Tesoro, l’NSA, centinaia di aziende appartenenti al Fortune 500, diverse università, Malwarebytes, Fireeye, Microsoft.
In seguito a violazioni così importanti sono molteplici le società di cybersecurity e gruppi di analisti coinvolti per identificare pattern e somiglianze in attacchi già precedentemente avvenuti, alla ricerca di un modus operandi seriale.
Nel caso di SolarWinds Orion, l’NSA (National Security Agency) è stata in grado di attribuire l’attacco all’APT russa Cozy Bear grazie a parti di codice presenti nei software utilizzate per sfruttare le vulnerabilità.
Le impronte digitali sull’attacco
Queste linee di codice hanno fornito l’impronta digitale, con un alto grado di accuratezza, degli autori dell’attacco. Per comprendere meglio il fenomeno Cybergon ipotizza di scrivere un testo in italiano e successivamente tradurlo in cirillico con uno strumento di traduzione automatica: nonostante la sintassi sia differente, molti elementi caratteristici della nostra lingua rimangono nel messaggio; in modo parallelo quando un criminale sviluppa codice mantiene determinati elementi stilistici, ma il linguaggio di programmazione per funzionare ha bisogno di essere tradotto in un comando comprensibile alla macchina in una serie di 0 e 1. Il tool tecnico che effettua questa operazione si chiama compiler, compilatore, e implementa il linguaggio in modo incompleto o attraverso estensioni proprietarie, che creano dei veri e propri “dialetti” del codice principale.
A marzo abbiamo assistito a un exploit zeroday su Microsoft Exchange che ha avuto un impatto globale e che sfrutta ancora adesso quattro vulnerabilità di Exchange Server: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065.
Le macchine esposte su Shodan all’epoca del primo attacco erano oltre 266 mila, tra organizzazioni commerciali e governative in tutto il mondo, Italia compresa.
L’indagine ha portato a classificare l’APT cinese Hafnium come responsabile, questa volta non attraverso l’analisi di codice, ma attraverso tracce digitali lasciate su server compromessi statunitensi utilizzati per sfoderare l’attacco.
I cinque tipi di cyber attacchi
I due casi sopra citati sono stati attribuiti a gruppi Advance Persistance Threat, ma non è sempre così. Profilare gli attaccanti è di fondamentale importanza affinché l’intelligence possa comprendere e intercettare le motivazioni degli attacchi e costruire successivamente strategie di difesa.
Teniamo presente, sottolinea Cybergon, che l’hacker è il soggetto che possiede capacità informatiche avanzate in grado esplorare ed estendere l’utilizzo dei sistemi programmabili ma, negli ultimi anni, è stato utilizzato nella sua accezione negativa come sinonimo di cracker e per estensione di qualsiasi tipo di cyber criminale. Questi possono essere raggruppati in base al loro set di obiettivi e motivazione: sono gli attori sponsorizzati dallo Stato, i criminali informatici, i cyberterroristi e gli hacktivisti
Attori sponsorizzati dallo Stato
Si tratta di gruppi internazionali organizzati affiliati ad alcuni governi come Cina, Corea del Nord, Russia che vengono finanziati o ricevono assistenza tecnica per gli interessi particolari di quella nazione. Le Agenzie di sicurezza definiscono questi gruppi con una sigla: APT – Advance Persistent Threat, definizione che riassume bene le competenze avanzate, le risorse finanziarie e la capacità di perpetuare le minacce nel tempo.
La loro prima ambizione è lo spionaggio ed esfiltrano proprietà intellettuale, informazioni di identificazione personale (PII) e denaro per finanziare altre campagne di spionaggio. In rari casi i dati esfiltrati appaiono in vendita nel dark web, di solito vengono conservati dagli attori per i propri scopi.
Criminali informatici
I criminali informatici sono motivati dal guadagno finanziario: operano attraverso campagne di phishing per la rivendita di dati personali, finanziari o sanitari oppure attaccano le aziende con ransomware per estorsioni in cryptovaluta. Il cybercrime as a service è un servizio in rapida crescita nel dark web, e fornisce una gamma di beni e servizi per un ciclo di vita completo di un attacco, dagli strumenti necessari per sfruttare un sistema fino al riciclaggio dei dati rubati. Criminali con competenze elevate non sono soliti esporsi e, come in una struttura a piramide, rimangono ai vertici dei siti illeciti solo per poter amministrare e gestire il denaro ricavato. Nella parte centrale di questa ipotetica piramide troviamo i broker: chi gestisce le piattaforme di compravendita, e infine alla base i mules, profili non dotati di capacità tecniche che hanno l’obiettivo di convertire le attività illecite in denaro grazie ad attività di riciclaggio.
Script kiddie
Il cybercrime non è solo prerogativa di chi ha capacità informatiche elevate ma al contrario, il facile accesso a malware, exploit e ransomware nel dark web ha permesso un cambiamento nei requisiti minimi necessari per agire con propositi criminosi. Gli script kiddie sono profili meno esperti e meno capaci, spesso giovani, che compiono azioni malevole per noia, per rabbia oppure per emulazione dei più famosi cracker. Il denaro è la motivazione principale che spinge questi giovani criminali. La loro inesperienza li rende potenzialmente molto pericolosi poiché possono arrecare danni molto gravi, più per incapacità che volontariamente.
Cyberterroristi
Il cyberterrorismo è la crasi di due preoccupazioni: gli attacchi attraverso la tecnologia e il terrorismo tradizionale. È costituito da un gruppo estremista politicamente motivato che utilizza tecniche informatiche per intimidire, costringere o influenzare il pubblico, e per estensione forzare un cambiamento politico, provocare paura o causare danni fisici.
A febbraio è stato sventato un caso di cyberterrorismo che poteva causare una tragedia: si tratta dell’attacco al sistema di depurazione delle acque in Florida, di cui è stata tentata la manomissione per innalzare i livelli di soda caustica nel flusso, notoriamente dannosa per la salute.
Molti terroristi sfruttano il dark web per promuovere i loro obiettivi: per la raccolta di informazioni, imparare a costruire una bomba, per reclutare, incontrarsi e utilizzare applicazioni eseguibili per comunicazioni sicure; Al Qaeda e Isis hanno fatto propaganda condividendo i wallet bitcoin per la raccolta fondi per le cellule terroristiche e manuali su come acquistare armi ed eludere le agenzie di sicurezza internazionali.
Hacktivisti
Gli hacktivisti sono un gruppo di persone in genere motivate da una causa politica, etica o sociale che compiono atti dimostrativi rispetto ai loro ideali. Uno dei più conosciuti è Anonymous, che da anni prende parte ad azioni di vera e propria disobbedienza civile accusando multinazionali e governi di comportamenti scorretti nei confronti dei cittadini. Il gruppo utilizza solitamente il DDoS (Distributed Denial of Service) come metafora alternativa ai cortei: l’invio massivo di mail sostituisce il volantinaggio e i defacement temporanei dei siti web sono i graffiti di protesta.
Gli attacchi hanno l’obiettivo di sostenere i diritti umani e di “svegliare” una società poco consapevole. Anonymous diffonde dati sensibili in nome della libertà di parola o condivide guide per rendere note le vulnerabilità dei sistemi di aziende ed enti che non incontrano la loro ideologia. Nel 2019 hanno attaccato caselle di posta certificata, esfiltrando i dati di circa 30.000 avvocati romani, tra cui il sindaco di Roma Virginia Raggi, per ricordare l’anniversario dell’arresto di due hacktivisti: Aken e Otherwise.