I governi non sempre sono in grado di identificare con certezza il paese, l’entità o l’operatore responsabile dei cyberattacchi che li colpiscono, spesso a causa di vincoli tecnici come le capacità limitate di analisi forense.
Attribuzione dei cyberattacchi: la sfida della trasparenza e il modello Intrusion Truth
Quando decidono di attribuire responsabilità, sono spesso riluttanti a rivelare le fonti e i metodi classificati impiegati per giungere alla loro valutazione sull’attribuzione, per timore di comprometterli. Di conseguenza, le dichiarazioni pubbliche sull’attribuzione dei cyberattacchi spesso mancano di trasparenza. Questo approccio da parte degli Stati può essere considerato responsabile?
Nell’aprile 2017, un gruppo anonimo online noto come Intrusion Truth ha lanciato un blog, tramite il quale ha esposto le identità di oltre 30 operatori informatici sponsorizzati dallo Stato cinese, appartenenti a diversi gruppi di Advanced Persistent Threat (APT)[1] cinesi e collegandoli al Ministero della Sicurezza di Stato (MSS) e ai suoi uffici regionali di Tianjin, Jinan, Hainan e altri.
Il ruolo dell’Open-Source Intelligence (OSINT)
In tutte le sue indagini, Intrusion Truth si basa principalmente sull’Open-Source Intelligence[2] (OSINT) e pubblica sul suo blog un resoconto completo delle sue scoperte, passo dopo passo. La sua capacità di sfruttare l’OSINT in modo affidabile e coerente per scopi di attribuzione pubblica, basati su prove e ad alta affidabilità, è unica. Tuttora, non si sa chi ci sia dietro Intrusion Truth e quante persone siano coinvolte. È possibile che agenti dell’intelligence o delle forze dell’ordine collaborino attivamente con Intrusion Truth o ne facciano parte, ma non sono ancora emerse prove a sostegno di tale ipotesi.
Tuttavia, le attività di Intrusion Truth offrono lezioni preziose alle agenzie governative. Ottimizzando l’uso e l’integrazione dell’OSINT nei processi e nelle dichiarazioni di attribuzione, le agenzie governative possono contribuire a risolvere i problemi di trasparenza.
Il processo di attribuzione delle operazioni cyber
Il processo di attribuzione delle operazioni cyber può essere suddiviso in tre componenti principali: tecnico, politico e legale.
L’attribuzione tecnica
L’attribuzione tecnica consiste nell’associare gli strumenti utilizzati per condurre attacchi informatici a un determinato attore, al fine di stabilirne la responsabilità. Questo processo implica l’analisi forense dell’incidente in questione, così come la raccolta di informazioni tramite signal intelligence (SIGINT) e human intelligence (HUMINT)[3] per identificare gli attori responsabili.
La responsabilità politica
In secondo luogo, dopo aver identificato la fonte dell’operazione, lo Stato deve decidere politicamente se e come ritenere pubblicamente responsabile l’attore, tenendo conto di fattori nazionali e internazionali.
L’attribuzione legale
Infine, da un punto di vista legale, l’attribuzione comporta l’assegnazione della responsabilità collegando l’attività malevola a un colpevole secondo le norme applicabili, legittimando possibili future misure di risposta. L’attuale corpus normativo internazionale non richiede la divulgazione di prove per l’attribuzione di attacchi cyber. Il problema dell’attribuzione pubblica non trasparente si presenta quando uno Stato incolpa pubblicamente un altro per un cyberattacco senza presentare prove sufficienti. Questo problema è esacerbato da motivazioni politiche, limitazioni tecniche e assenza di vincoli legali.
Le posizioni degli Stati sulla necessità di divulgare le prove dei cyberattacchi
Gli Stati hanno adottato posizioni diverse sulla necessità di divulgare le prove a sostegno delle accuse nel contesto di attacchi cyber. Dal 2015, Cina, Russia e altri Paesi sostengono che le accuse devono essere supportate da prove, nonostante questi stessi paesi, in particolare la Cina, non sempre lo facciano.
Al contrario, Stati Uniti, Regno Unito e altre nazioni europee sostengono che, poiché il diritto internazionale non impone la divulgazione di prove per convalidare le accuse, gli Stati dovrebbero agire in base a ciò che ritengono ragionevole date le circostanze. Questo punto di vista si basa sulla preoccupazione che la divulgazione delle prove potrebbe esporre informazioni classificate. Gli Stati che sostengono questa posizione basano la loro attribuzione pubblica degli attacchi sull’ analisi degli strumenti e dei metodi utilizzati dagli attori ostili, oltre che sul contesto geopolitico più ampio.
I rischi dell’opacità delle dichiarazioni di attribuzione
Questi ultimi Paesi attribuiscono molto più frequentemente di Russia e Cina. Tuttavia, le loro attribuzioni pubbliche si traducono spesso in dichiarazioni prive di una solida base probatoria. Ciò è stato vero per alcuni degli attacchi e delle campagne cyber più note dell’ultimo decennio, come il Sony Hack (2014), l’hack del Comitato nazionale democratico statunitense (2016) e l’attacco ransomware NotPetya (2017). In ognuno di questi casi, il governo statunitense e gli Stati membri dell’UE non hanno fornito prove specifiche a sostegno delle loro attribuzioni pubbliche. Questa mancanza di prove sostanziali, come sostiene il capo del settore Cyber del Dipartimento Federale della Difesa svizzera, Florian Egloff, ha creato un terreno fertile perché altre parti mettessero in dubbio la credibilità delle dichiarazioni di attribuzione. Ad esempio, nel caso del Sony Hack attribuito alla Corea del Nord dal governo statunitense, non solo la Corea del Nord ha negato il proprio coinvolgimento, ma anche importanti esperti di sicurezza informatica negli Stati Uniti hanno espresso dubbi e scetticismo sulle affermazioni del governo.
Un’attribuzione pubblica non trasparente ha diverse implicazioni negative. Tra queste, l’inefficacia come deterrente, l’incapacità di contribuire alla creazione di alleanze, la possibilità di lasciare spazio a interpretazioni errate e la suscettibilità alla manipolazione politica. Inoltre, contribuisce ben poco alla costruzione di norme nel cyberspazio a causa della mancanza di regole chiare.
Il modus operandi di intrusion truth
Le indagini di Intrusion Truth si basano principalmente su informazioni di tipo OSINT, dimostrando che gli attori delle minacce lasciano importanti tracce a cui è possibile accedere senza richiedere un’autorizzazione di sicurezza. Intrusion Truth ha scoperto tracce significative, come post pubblici sui forum di discussione e le offerte di lavoro online che mostravano un interesse significativo per lo sviluppo di malware e per le capacità di cracking delle password. È importante sottolineare che questi post e annunci pubblici contenevano dati personali come nomi utente, indirizzi e-mail e numeri di telefono. Gli stessi dati identificativi sono stati spesso utilizzati per operazioni cyber occulte, come la registrazione di società di facciata. Quando identificativi e dati collegati all’attività occulta sono apparsi in fonti pubbliche come i rapporti di aziende di threat intelligence, questi hanno permesso ad Intrusion Truth di stabilire collegamenti con specifici individui e gruppi APT cinesi.
In alcuni casi nomi, numeri di telefono o indirizzi e-mail, utilizzati in attività ostili sia palesi che occulte, sono stati adoperati anche per uso privato, ad esempio sui social media e sulle app. Ciò ha permesso a Intrusion Truth di scoprire informazioni personali, tra cui foto private e posizioni degli utenti. Con questi dati, gli analisti del gruppo sono stati in grado di stabilire connessioni tra le informazioni personali degli hacker, gli attacchi che hanno condotto e le società di facciata con cui erano affiliati. Per colmare occasionali lacune informative, le rivelazioni di Intrusion Truth si sono talvolta basate anche su fonti diverse dall’OSINT. In particolare, tra gli esempi ci sono le soffiate di analisti anonimi, gli estratti conto delle carte di credito, le ricevute Uber, gli account di archiviazione su cloud privati e le informazioni sugli abbonamenti frequent flyer.
Impatto operativo di Intrusion Truth
L’impatto operativo delle rivelazioni di Intrusion Truth può essere suddiviso in due categorie.
La divulgazione delle identità degli hacker cinesi
In primo luogo, la divulgazione delle identità degli hacker cinesi e la loro connessione a strumenti, tattiche e comportamenti specifici ha probabilmente imposto ai gruppi esposti costi tecnici elevati. Tali informazioni possono infatti aiutare potenziali vittime a difendersi meglio e rendono le attività malevoli cyber più difficili da nascondere. Questo effetto è amplificato se si considera che, negli ultimi anni, numerose APT cinesi hanno collaborato e condiviso risorse.
Costi socioeconomici ai singoli operatori cinesi
In secondo luogo, le rivelazioni di Intrusion Truth hanno provocato costi socioeconomici ai singoli operatori cinesi, soprattutto in relazione alla loro possibilità di viaggiare e al modo di continuare il loro lavoro. L’identificazione pubblica riduce le prospettive degli operatori di trovare lavoro al di fuori della Cina e li espone a potenziali accuse da parte delle forze dell’ordine straniere. Inoltre, tali rivelazioni potrebbero erodere la fiducia all’interno del Ministero della Sicurezza di Stato (MSS) e tra gli hacker stessi, causando preoccupazioni riguardo agli errori di negligenza o alla loro esposizione sui social media, aspetti generalmente scoraggiati dalle agenzie di intelligence cinesi. Questa esposizione potrebbe anche instillare timore tra coloro che non sono stati direttamente esposti, temendo di essere individuati e arrestati dalle forze dell’ordine straniere. Si tratta di una preoccupazione legittima, soprattutto se si considera che il Dipartimento di Giustizia degli Stati Uniti, in alcuni casi, ha emesso incriminazioni non solo contro gli hacker esposti, ma anche contro individui affiliati non specificamente menzionati nei post del blog di Intrusion Truth.
Impatto politico di Intrusion Truth
Le rivelazioni pubblicate da Intrusion Truth, confermate dalle principali società di intelligence sulle minacce informatiche, tra cui Crowdstrike e Recorded Future, hanno avuto un impatto tangibile. Hanno portato alla scomparsa di alcune APT e all’incriminazione da parte del Dipartimento di Giustizia degli Stati Uniti di individui affiliati a gruppi cinesi, come APT3, APT10 e APT40. Più in generale, le rivelazioni di Intrusion Truth hanno messo in luce il funzionamento interno e il coordinamento del sistema offensivo cinese, caratterizzato da forti interconnessioni tra aziende private, agenzie di intelligence e mondo accademico.
Le scoperte di Intrusion Truth hanno influenzato le discussioni politiche riguardanti il modo di affrontare le potenziali minacce provenienti dall’espansione del sistema informatico offensivo cinese. Bart Groothuis, membro del Parlamento Europeo, ha fatto implicito riferimento al lavoro di Intrusion Truth, incoraggiando gli Stati membri dell’UE a limitare la partecipazione di fornitori cinesi ad alto rischio nelle loro reti 5G. In un’intervista sull’argomento, ha dichiarato: “I rapporti open source pubblicati in passato hanno dimostrato una sovrapposizione tra il personale di Huawei e le spie cinesi. Nel caso del gruppo di hacker APT3, Boyusec e CNITSEC, le vulnerabilità di Huawei sono state sfruttate contro target europei.”
È complesso valutare l’esatto impatto delle scoperte di Intrusion Truth sulle denunce pubbliche del Dipartimento di Giustizia degli Stati Uniti riguardanti le minacce cinesi. Tuttavia, le rivelazioni del gruppo hanno certamente aumentato la consapevolezza sull’identità degli attori delle minacce sponsorizzate dallo Stato cinese, contribuendo anche a un dibattito più ampio sull’attribuzione degli attacchi cyber.
Verso un’attribuzione pubblica più trasparente
Le agenzie governative impiegano l’OSINT nei processi di attribuzione in misura diversa, a seconda delle loro capacità tecniche. Tuttavia, l’OSINT è raramente inclusa nelle dichiarazioni di attribuzione degli Stati. Il processo di attribuzione richiede spesso fonti e metodi classificati, come signal intelligence (SIGINT) e human intelligence (HUMINT), per rintracciare gli attori responsabili delle operazioni cyber. Allo stesso tempo, fattori strutturali e istituzionali spesso contribuiscono alla creazione di preconcetti che concorrono a privilegiare l’uso di informazioni classificate e di set di dati interni rispetto alle informazioni pubblicamente disponibili. Questo porta a sottovalutare e trascurare il volume e il valore delle fonti non classificate, con il risultato finale di un loro sottoutilizzo.
Intrusion truth: insegnamenti preziosi per le agenzie governative
Il caso di Intrusion Truth fornisce diversi insegnamenti preziosi per le agenzie governative. In primo luogo, in alcuni casi l’OSINT può rappresentare un’alternativa economicamente vantaggiosa ai tradizionali metodi di intelligence classificati, soddisfacendo in modo efficiente le esigenze di sicurezza nazionale e fornendo una comprensione completa del panorama delle minacce.
In secondo luogo, l’OSINT può integrare o convalidare le informazioni classificate, proteggendo le fonti e i metodi sensibili durante l’attribuzione pubblica. In terzo luogo, l’OSINT è particolarmente utile per la raccolta iniziale di informazioni, aiutando gli analisti a passare dal sospetto all’identificazione dei colpevoli e a ottenere una comprensione preliminare delle loro attività. Tuttavia, l’OSINT non sempre fornisce prove conclusive, e in questi casi possono essere necessarie le fonti di intelligence tradizionali per colmare le lacune.
Inoltre, il rilascio pubblico di informazioni da parte delle agenzie di intelligence è spesso limitato da rigidi regolamenti e da una supervisione burocratica stringente. Sebbene le agenzie governative possano occasionalmente divulgare informazioni sensibili per motivi strategici, tendono generalmente a classificare le informazioni con livelli di segretezza elevati. Questo approccio può variare a seconda delle circostanze. Alla fine del 2021, gli Stati Uniti hanno utilizzato informazioni declassificate in una campagna informativa contro la Russia. Nonostante non ci fosse una certezza assoluta sulla veridicità delle informazioni fornite dall’intelligence, gli Stati Uniti le hanno impiegate nel tentativo di dissuadere i piani di Mosca di invadere l’Ucraina. Questo processo ha comportato frequenti e ampie divulgazioni di intelligence, le quali hanno richiesto ulteriori precauzioni per proteggere le fonti e i metodi durante la declassificazione. Un approccio simile, se applicato all’attribuzione degli attacchi cyber, potrebbe validamente contribuire a risolvere le problematiche legate alle attribuzioni poco trasparenti.
Conclusioni
La trasparenza nell’attribuzione pubblica è essenziale per il processo decisionale democratico e per la legittimità politica, soprattutto nei settori che si occupano per diversi aspetti di attività cyber dannose, come aziende di assicurazioni, procedimenti penali e sicurezza nazionale. La mancanza di trasparenza lascia le società nell’ignoranza riguardo alle decisioni dello Stato, causando incomprensioni e lacune nell’individuazione delle responsabilità.
[1] Advanced Persistent Threat (APT) si riferisce a un attacco informatico nascosto su una rete di computer in cui l’aggressore ottiene e mantiene un accesso non autorizzato alla rete presa di mira e rimane non rilevato per un periodo significativo.
[2] L’Open-Source Intelligence (OSINT) è definita come l’intelligence prodotta raccogliendo, valutando e analizzando informazioni disponibili al pubblico con lo scopo di rispondere a una specifica domanda di intelligence.
