L’attribuzione degli attacchi informatici è da sempre ritenuta una delle sfide cyber forensi più complesse da affrontare dopo incident di particolare impatto: le prove digitali per poter identificare i criminali informatici o il loro paese di origine vengono offuscate volontariamente dagli autori dell’attacco e rese di difficile interpretazione.
Indice degli argomenti
Gli attacchi dell’ultimo anno
In questi ultimi dodici mesi sono due gli attacchi che hanno segnato un’altra milestone nella storia della cyber security sia per rilevanza degli obiettivi colpiti che per capacità di diffusione planetaria.
Attribuzione degli attacchi informatici: SolarWinds
Il primo avvenuto a dicembre è il noto attacco a SolarWinds: una backdoor nel prodotto Orion installata su 17mila clienti ha dato il via ad una massiva attività di spionaggio.
I server del provider di servizi americano, protetti teoricamente dalla password “solarwinds123”, sono stati utilizzati per riscrivere circa quattromila righe di codice malevolo e distribuirlo in un aggiornamento.
Tra le vittime più illustri di questo attacco a catena la Casa Bianca, l’esercito americano, il Dipartimento di Stato americano e del Tesoro, l’NSA, centinaia di aziende appartenenti al Fortune 500, diverse università, Malwarebytes, Fireeye, Microsoft.
In seguito a violazioni così importanti, sono molteplici le società di cyber security e gruppi di analisti coinvolti per identificare pattern e somiglianze in attacchi già precedentemente avvenuti, alla ricerca di un modus operandi seriale.
Nel caso di SolarWinds Orion, l’NSA (National Security Agency) è stata in grado di attribuire l’attacco all’APT russa Cozy Bear grazie a parti di codice presenti nei software utilizzate per sfruttare le vulnerabilità.
Queste linee di codice hanno fornito l’impronta digitale, con un alto grado di accuratezza, degli autori dell’attacco.
Per riuscire a comprendere meglio il fenomeno ipotizziamo di scrivere un testo in italiano e successivamente tradurlo in cirillico grazie ad uno strumento di traduzione automatica: nonostante la sintassi sia differente, molti degli elementi caratteristici della nostra lingua rimangono all’interno del messaggio; in modo parallelo quando un criminale sviluppa codice mantiene determinati elementi stilistici, ma il linguaggio di programmazione per funzionare ha bisogno di essere tradotto in un comando comprensibile alla macchina in una serie di 0 e 1.
Il tool tecnico che effettua questa operazione si chiama compiler, compilatore, e implementa il linguaggio in modo incompleto o attraverso estensioni proprietarie, che creano dei veri e propri “dialetti” del codice principale.
Minacce APT: cosa sono le Advanced Persistent Threat, come funzionano e come difendersi
Attribuzione degli attacchi informatici: Microsoft Exchange
A marzo abbiamo assistito a un exploit zero day che ha avuto un impatto globale e che sfrutta ancora ora quattro vulnerabilità Microsoft Exchange Server: CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065.
Le macchine esposte su Shodan all’epoca del primo attacco erano oltre 266mila, tra organizzazioni commerciali e governative in tutto il mondo, Italia compresa.
L’indagine ha portato a classificare l’APT cinese Hafnium come responsabile, questa volta non attraverso l’analisi di codice, ma attraverso tracce digitali lasciate su server compromessi statunitensi utilizzati per sfoderare l’attacco.
Attacco ai server Microsoft Exchange: tre lezioni (fondamentali) che dobbiamo imparare
Attribuzione degli attacchi informatici: gli attori del cyberspazio
Entrambi i casi sopra citati sono stati attribuiti a gruppi Advance Persistance Threat, ma non è sempre così.
L’attribuzione degli attacchi informatici è un momento delicato: rompere sottili equilibri geopolitici è facile, basti pensare ai governi stranieri che sostengono alcune di queste organizzazioni criminali e a cui sono state applicate sanzioni internazionali, o ai paesi che hanno visto l’espulsione di diversi diplomatici.
Profilare i threat actors è di fondamentale importanza affinché l’intelligence possa comprendere e intercettare le motivazioni degli attacchi e costruire successivamente strategie di difesa.
“Hacker” è il soggetto che possiede capacità informatiche avanzate in grado esplorare ed estendere l’utilizzo dei sistemi programmabili ma, negli ultimi anni, è stato utilizzato nella sua accezione negativa come sinomino di “cracker” e per estensione di qualsiasi tipo di “cyber criminale”.
Questi ultimi possono essere raggruppati in base al loro set di obiettivi e motivazione: sono gli attori sponsorizzati dallo Stato, i criminali informatici, i cyberterroristi e gli hacktivisti.
State-Sponsored Actors
Si tratta di gruppi internazionali organizzati affiliati ad alcuni governi come Cina, Corea Del nord, Russia che vengono finanziati o ricevono assistenza tecnica per gli interessi particolari di quella nazione.
Le Agenzie di sicurezza definiscono questi gruppi con una sigla: APT – Advance Persistent Threat, definizione che riassume bene le competenze avanzate, le risorse finanziarie e la capacità di perpetuare le minacce nel tempo.
La loro prima ambizione è lo spionaggio ed esfiltrano proprietà intellettuale, informazioni di identificazione personale (PII) e denaro per finanziare altre campagne di spionaggio. In rari casi i dati esfiltrati appaiono in vendita nel dark web, di solito vengono conservati dagli attori per i propri scopi.
Criminali informatici
I criminali informatici sono motivati dal guadagno finanziario: operano attraverso campagne di phishing per la rivendita di dati personali, finanziari o sanitari oppure attaccano le aziende con ransomware per estorsioni in criptovaluta.
Il cybercrime as a service è un servizio in rapida crescita nel Dark Web, e fornisce una gamma di beni e servizi per un ciclo di vita completo di un attacco, dagli strumenti necessari per sfruttare un sistema fino al riciclaggio dei dati rubati.
Criminali con competenze elevate non sono soliti esporsi e, come in una struttura a piramide, rimangono ai vertici dei siti illeciti solo per poter amministrare e gestire il denaro ricavato.
Nella parte centrale di questa ipotetica piramide troviamo i broker: chi gestisce le piattaforme di compravendita, e infine alla base i mules, profili non dotati di capacità tecniche che hanno l’obiettivo di convertire le attività illecite in denaro grazie ad attività di riciclaggio.
Script kiddie
Il cyber crime non è solo prerogativa di chi ha capacità informatiche elevate ma al contrario, il facile accesso a malware, exploit e ransomware nel dark web ha permesso un cambiamento nei requisiti minimi necessari per agire con propositi criminosi. Gli script kiddie sono profili meno esperti e meno capaci, spesso giovani, che compiono azioni malevole per noia, per rabbia oppure per emulazione dei più famosi cracker.
Il denaro è la motivazione principale che spinge questi giovani criminali. La loro inesperienza li rende potenzialmente molto pericolosi poiché possono arrecare danni molto gravi, più per incapacità che volontariamente.
Cyberterroristi
Il cyberterrorismo unisce due importanti preoccupazioni moderne: gli attacchi attraverso la tecnologia ed il terrorismo tradizionale. È costituito da un gruppo estremista politicamente motivato che utilizza tecniche informatiche per intimidire, costringere o influenzare il pubblico, e per estensione forzare un cambiamento politico, provocare paura o causare danni fisici.
A febbraio è stato sventato un caso di cyberterrorismo che poteva causare una tragedia: si tratta dell’attacco al sistema di depurazione delle acque in Florida, di cui è stata tentata la manomissione per innalzare i livelli di soda caustica nel flusso, notoriamente dannosa per la salute.
Molti terroristi sfruttano il dark web per promuovere i loro obiettivi: per la raccolta di informazioni, imparare a costruire una bomba, per reclutare, incontrarsi e utilizzare applicazioni eseguibili per comunicazioni sicure; Al Qaeda e ISIS hanno fatto propaganda condividendo i wallet bitcoin per la raccolta fondi per le cellule terroristiche e manuali su come acquistare armi ed eludere le agenzie di sicurezza internazionali.
Nell’estate del 2014, un articolo intitolato “Bitcoin wa Sadaqat al-Jihad” (“Bitcoin e la carità della Jihad”) è stato pubblicato in un blog online per spiegare le varie ragioni strategiche e religiose per cui i jihadisti dovrebbero usare il Dark Web e i Bitcoin.
Ha promosso l’uso della valuta virtuale come mezzo per limitare il sostegno economico agli infedeli ed aggirare il sistema bancario occidentale. Ha anche raccomandato di utilizzare bitcoin per motivi ideologico-religiosi e per le sue caratteristiche tecnologiche insistendo sui vantaggi della valuta.
Hacktivisti
Gli hacktivisti sono un gruppo di persone in genere motivate da una causa politica, etica o sociale che compiono atti dimostrativi rispetto ai loro ideali.
Uno dei più conosciuti è Anonymous, che da anni prende parte ad azioni di vera e propria disobbedienza civile accusando multinazionali e governi di comportamenti scorretti nei confronti dei cittadini.
Il gruppo utilizza solitamente il DDoS (Distributed Denial of Service) come metafora alternativa ai cortei: l’invio massivo di mail sostituisce il volantinaggio e i defacement temporanei dei siti web sono i graffiti di protesta.
Gli attacchi hanno l’obiettivo di sostenere i diritti umani e di “svegliare” una società poco consapevole.
Anonymous diffonde dati sensibili in nome della libertà di parola o condivide guide per rendere note le vulnerabilità dei sistemi di aziende ed enti che non incontrano la loro ideologia.
Nel 2019 hanno attaccato caselle di posta certificata, esfiltrando i dati di circa 30.000 avvocati romani, tra cui il sindaco di Roma Virginia Raggi, per ricordare l’anniversario dell’arresto di due hacktivisti: Aken e Otherwise.
Conclusione
Non è raro che ci sia una sovrapposizione tra i vari attori delle minacce informatiche descritti, sebbene vi siano distinzioni e spinte motivazionali diverse per ciascuno.
Gli stessi strumenti e tecniche sono utilizzate da diversi gruppi, a volte perché questi sono gli unici strumenti disponibili, altre volte perché questa fluidità nel modus operandi aiuta a non essere perseguitati da agenzie internazionali col rischio di essere smantellati e disaggregati.
