Il panorama delle minacce alla sicurezza digitale si fa sempre più complesso, anche in forza dell’attività di gruppi e APT (Advanced Persistent Threat) foraggiati da Stati come Corea del Nord e Iran: si parla, in questi casi, di attacchi di Stato.
Questi cyber attacchi non sono così sporadici come ci piace credere e non mettono nell’obiettivo necessariamente amministrazioni antagoniste. Come dimostrano gli ultimi dati, le offensive sono spesso volte a ottenere informazioni e proprietà intellettuale anche da entità private, in modo da colmare un gap tecnologico, o semplicemente al fine di sottrarre denaro.
E i rischi non sono necessariamente collegati a realtà politiche accettate e definite da confini chiari. Uno “Stato-nazione” può essere definito come un’entità sovrana legittima controllata da un governo non necessariamente definito da dei confini. Questo è l’esempio del popolo curdo che occupa un territorio formalmente appartenente a diverse altre nazioni, e anche per questo non è riconosciuto dai governi stranieri come un Paese indipendente. Anche realtà come questa sono attive nell’attività cyber criminale.
L’attività di spionaggio e terrorismo, le campagne di spear-phishing e depistaggio perpetrate da questi attori sono comunque molto concrete ed è necessario conoscerle per porre in essere le giuste contromisure.
Indice degli argomenti
Le peculiarità dei criminal hacker di Stato
Queste organizzazioni criminali svolgono un’attività diversa da quella di altre gang, poiché è diverso il loro ruolo e il loro posizionamento. Poter agire senza alcun timore dal lato legale (dato che i rischi di subire conseguenze come la detenzione o l’applicazione di sanzioni pecuniarie sono molto bassi), rende la loro attività ancora più spietata.
Spesso questi criminal hacker agiscono in collaborazione con agenzie o enti militari, attivi nell’ambito dell’intelligence o comunque collegati alle sfere alte dell’establishment statale.
In questo contesto si fondono l’aspetto politico e tecnico, creando organizzazioni ibride in cui il processo decisionale può coinvolgere rapidamente decision-makers statali, dopo aver consultato tecnici esperti.
Attacchi di Stato: il movente
Fra le principali “molle” che spingono l’attività di un Nation State Criminal Hacker c’è, manco a dirlo, il nazionalismo. L’obiettivo fondamentale è quindi ottenere un vantaggio per la propria nazione attraverso l’attività digitale.
L’azione comunque viene condotta con il massimo riserbo, in modalità “stealth”, e i risultati delle offensive non vengono quasi mai rivendicati.
L’attività di copertura è molto elaborata, al fine di evitare di ricondurre gli eventi al proprio Paese di origine. In alcuni casi vengono addirittura utilizzate altre “bandiere” per sviare le indagini (un po’ come fatto dai pirati che decidevano di battere bandiere straniere).
I rischi degli attacchi di Stato
Solitamente, le offensive di criminal hacker statali o di Stati-nazione si contraddistinguono da un alto livello di complessità (sebbene non siano mancati gli attacchi dallo schema semplificato).
È frequente anche lo sfruttamento dell’ingegneria sociale per ottenere il primo accesso nei sistemi informatici target (le tecniche difensive contro il phishing sono sempre valide, anche a fronte di email sempre più mirate e convincenti).
Lo scopo di tali offensive non è sempre lo stesso ma può essere ricondotto a queste casistiche tipo:
- sottrarre informazioni di valore a livello tecnologico e/o militare;
- delegittimare un rivale politico, diffamandolo o infangandolo;
- sottrarre dati o cifrarli al fine di richiedere un riscatto.
Per rendere la questione più concreta, è opportuno citare il caso dell’attacco SolarWinds che ha colpito agenzie federali statunitensi o quello degli attacchi “zero-day” rivolti verso i server email di Microsoft Exchange.
Come difendersi da questa minaccia
Anche in questo caso la prevenzione è fondamentale.
Per proteggersi da cyber attacchi di questa natura è importante valutare in anticipo quali siano gli asset strategici contenuti all’interno dei propri sistemi, al fine di suddividerli e proteggerli adeguatamente.
Conoscere il nemico e informarsi costantemente sul suo modus operandi è un’altra ottima strategia per sapere in anticipo quali possono essere i suoi obiettivi e gli strumenti che potrebbe utilizzare per raggiungerli. Come sempre, sapere è potere.
Una posizione netta sul risk management può ridurre i rischi massimi potenziali, proteggendo in compartimenti stagni e separati dati sensibili o comunque di valore.
Inoltre, è sempre consigliato aggiornare tutti gli elementi software e hardware presenti nel proprio sistema informatico, e installare eventuali patch per coprire vulnerabilità note.
Per quanto concerne i rischi legati al phishing, è opportuno investire sulla formazione delle proprie risorse umane.
Oltre all’applicazione di sistemi di monitoraggio e controllo automatici delle email potenzialmente rischiose, è importante che tutti i membri dell’organizzazione siano a conoscenza delle più recenti linee guida e informino i responsabili di sicurezza quanto prima.
Viste le peculiarità delle minacce, tutti i possibili obiettivi dovrebbero munirsi di servizi di protezione da attacchi DDoS, ora facilmente applicabili e reperibili sul mercato. Molto può essere fatto da noi per ridurre i rischi.
Non abbassiamo la guardia.