Dopo diversi anni in cui il cyber-crimine è stato spinto principalmente da motivazioni commerciali, nell’ultimo anno abbiamo assistito ad una ripresa delle attività di intrusione mirate e sponsorizzate dagli Stati-Nazione, indirizzate ai nemici politici e/o volte a generare valuta per sostenere vari regimi.
Nell’ultimo “Global Threat Report” della società di cybersicurezza CrowdStrike viene fornita un’analisi dettagliata dello scenario internazionale delle minacce informatiche provenienti dal web.
Cyberwar: le nuove tecniche degli attacchi collegati alla Russia
Per lungo tempo, sono prevalsi nel mondo informatico gli attacchi sponsorizzati dallo Stato russo. Diversi avversari collegati alla Russia hanno usato in modo massiccio la guerra cibernetica come tattica per generare instabilità e rubare informazioni ai nemici politici.
Ne è un esempio ciò che è accaduto nel 2015 con “VOODOO BEAR”, che ha eseguito un attacco alla rete elettrica ucraina con conseguenti interruzioni di gas e luce per oltre 200 mila cittadini.
In passato, gli autori delle minacce russi utilizzavano in modo esteso le e-mail di spear-phishing contenenti documenti malevoli o link che reindirizzavano a infrastrutture dannose.
Le attività di intelligence recenti hanno rivelato come tali gruppi criminali abbiano iniziato ad optare sempre più per tattiche di raccolta delle credenziali, con tecniche di scansione su larga scala e siti di phishing progettati su misura per le vittime prese di mira.
L’obiettivo fondamentale di questi nemici informatici rimane la raccolta delle credenziali per acquisire informazioni e accesso primario nelle organizzazioni o nelle persone target.
Un’altra tecnica impiegata recentemente dai cyber-criminali russi è il furto di cookie di autenticazione per bypassare le restrizioni dell’autenticazione a più fattori (MFA) implementate nelle reti bersaglio.
Questa tecnica usa l’accesso alla rete locale esistente ed è stata usata per accedere agli account utente in possesso dei privilegi dei servizi cloud aziendali.
Cyberwar: le nuove sfide dalla Cina
Gli autori cinesi hanno a lungo sviluppato e distribuito exploit per facilitare le operazioni di intrusione mirate.
Tuttavia, lo scorso anno c’è stato un cambiamento significativo nei loro metodi di exploitation: mentre per anni gli autori collegati alla Cina si sono affidati a exploit standard che richiedevano l’interazione dell’utente, come l’apertura di documenti dannosi, nel 2021 si sono concentrati prevalentemente sulle vulnerabilità dei dispositivi e dei servizi internet.
L’intelligence recente rivela che gli avversari informatici cinesi, nel 2021, hanno prestato particolare attenzione ad una serie di vulnerabilità presenti in Microsoft Exchange, che sono state usate per lanciare intrusioni contro diverse imprese in tutto il mondo.
I nemici informatici con sede in Cina, inoltre, continuano a sfruttare i prodotti di routing di Internet, come le VPN e i router, e prodotti software su server Internet per acquisire infrastrutture e/o per ottenere l’accesso iniziale. È evidente come lo scenario delle minacce informatiche ad opera di autori cinesi continui a popolarsi.
L’Iran intensifica le sue tattiche informatiche
È risaputo come il ransomware sia una delle più grandi minacce alla sicurezza delle imprese moderne.
Dalla fine del 2020, diversi avversari sponsorizzati dallo stato iraniano hanno adottato l’uso di ransomware e operazioni lock-and-leak che hanno preso di mira molteplici organizzazioni negli Stati Uniti, Israele, nella regione del Medio Oriente e del Nord Africa (MENA).
Le operazioni lock-and-leak si caratterizzano per l’utilizzo di ransomware per mano dei criminali per criptare le reti target e, successivamente, far trapelare le informazioni della vittima.
I dati vengono così distribuiti attraverso siti dedicati alle fughe di notizie, social media e piattaforme di chat, che consentono a questi autori delle minacce di amplificare le fughe di dati e condurre operazioni multiple contro i paesi presi di mira.
L’uso di operazioni lock-and-leak di alto profilo, così come l’attività ransomware più sommessa ma pervasiva, fornisce all’Iran la capacità di colpire in modo efficace e dirompente i rivali interni alla regione e al di fuori di essa. Considerato il successo di queste operazioni, l’Iran continuerà probabilmente a usare ransomware dirompenti anche nel corso del 2022.
Cyberwar: i malware cripto dalla Corea del Nord
Gli autori cyber-criminali basati in Corea del Nord rimangono una delle minacce più attive nell’ecosistema del crimine informatico.
Una recente ricerca ha rivelato come la Repubblica Democratica Popolare di Corea (DPRK) si sia spostata su entità legate alla criptovaluta per mantenere alte le entrate durante le interruzioni economiche causate dalla pandemia e da altre sanzioni.
Una di queste tecniche legate alla criptovaluta è conosciuta con il nome di cryptojacking. Essa consiste nell’uso non autorizzato delle risorse informatiche di un individuo o di un’azienda per estrarre criptovaluta.
I programmi di cryptojacking possono essere malware installati sul computer della vittima attraverso tecniche di phishing, siti web infettati o altri metodi comuni agli attacchi malware.
Il cryptojacking è particolarmente efficace poiché l’estrazione di criptovaluta richiede una notevole quantità di potenza di calcolo ed elettricità. Pertanto, questi autori delle minacce possono condurre un’estrazione di criptovalute segreta e malevola sui sistemi di altre persone, permettendo loro di trarne vantaggio senza sostenere alcuna spesa.
Cyberwar: i nuovi gruppi avversari
Quest’anno, l’intelligence ha identificato due nuovi gruppi avversari sponsorizzati dagli Stati-Nazione e provenienti da Turchia e Colombia.
La presenza di questi nuovi avversari mostra l’aumento delle capacità di attacco dei governi al di fuori di quelli tradizionalmente associati alle operazioni informatiche e sottolinea, ancora una volta, come le imprese debbano rimanere vigili nella loro sicurezza informatica.
Ne è un esempio ciò che è accaduto un anno fa, ad aprile 2021, quando gli esperti in sicurezza informatica hanno rilevato avversari basati in Turchia prendere di mira i dati memorizzati nel cloud di Amazon Web Services (AWS), riuscendo a compromettere l’ambiente di AWS sfruttando credenziali rubate.
Conclusioni
È chiaro come sia i vecchi che i nuovi avversari siano continuamente alla ricerca di nuovi modi per aggirare le misure di sicurezza e condurre con successo i loro tentativi di attacco.
Questo è il motivo per cui è vitale, per le organizzazioni di ogni tipo, essere costantemente aggiornati sulle minacce informatiche e implementare soluzioni di sicurezza informatica di altissima qualità, che consentano di proteggere l’azienda contro gli attacchi attuali o futuri in modo efficace.
