Il cyber espionage rappresenta una delle più importanti minacce dirette verso le aziende ed il settore pubblico. La sottrazione di know-how tecnologico, nonché di informazioni riservate, è una pratica in continua crescita che si avvale di tecnologie sempre più sofisticate.
Le perdite economiche derivanti da tali attività possono essere molto importanti e molti settori sono già stati oggetto di queste azioni che coinvolgono vari attori a livello internazionale.
È dunque necessario predisporre adeguate contromisure a protezione del proprio business, della propria reputazione e a sostegno della integrità dell’intero sistema paese.
Indice degli argomenti
I numeri e il contesto di cyber espionage
Secondo il Data Breach Investigation Report 2019 di Verizon, il 25% delle violazioni indagate sono riferite ad attività di spionaggio volte ad ottenere un vantaggio strategico. In un report del 2018, elaborato dal Center for Strategic and International Studies (CSIS) insieme a McAfee, si stimava che l’impatto del cyber crime sull’economia globale sarebbe ammontato a circa 600 miliardi di dollari all’anno e che lo spionaggio cyber avrebbe inciso su tali cifre per il 25%, più di ogni altra categoria di crimini informatici.
Sempre un report del 2018, ma dell’European Centre for International Political Economy, stimava che operazioni di cyber spionaggio per il furto di cd. “trade secrets” avrebbero provocato perdite annuali per 55 miliardi di euro e la perdita di circa 289.000 posti di lavoro. L’esposizione a tali conseguenze, secondo il report, aumenterebbe entro il 2025, con perdite che ammonteranno a circa un milione di posti di lavoro a causa della digitalizzazione.
Sebbene proporre delle stime su tale questione sia un esercizio molto difficile, è indubbio che il pericolo proveniente da attività di cyber espionage rappresenti una preoccupazione sia per i governi che per le aziende private.
In un’epoca caratterizzata dalla quasi totale dipendenza da sistemi tecnologici, lo sviluppo economico e reputazionale di un’organizzazione, pubblica o privata, risiede nella capacità di stare al passo con gli sviluppi della tecnica, applicandoli efficacemente al sistema paese o al proprio business.
Una tale condizione produce una naturale competizione a livello internazionale che ha condotto, nel tempo, ad un aumento progressivo di attività di spionaggio, spesso condotte attraverso il cyberspace.
Il cyber espionage prevede l’utilizzo di TTP (Tattiche, Tecniche e Procedure), malware, tools offensivi, e infrastrutture di attacco da parte di individui, gruppi, o aziende volte ad ottenere vantaggi individuali, economici o commerciali. Può essere impiegato anche da governi stranieri, o da gruppi loro collegati, al fine di implementare la propria sicurezza nazionale, la competitività economica, la capacità militare ed il proprio patrimonio informativo.
La Relazione sulla Politica dell’Informazione per la Sicurezza 2019, rilasciata recentemente dalla Presidenza del Consiglio dei Ministri – Sistema di Informazione per la Sicurezza della Repubblica, ha dichiarato che, per quanto riguarda il nostro Paese, l’obiettivo primario dell’attività di intelligence in ambito cyber nel 2019 è stato il contrasto ad operazioni di spionaggio digitale posto in essere da “gruppi strutturati di cui è stata ritenuta probabile – alla luce sia delle ingenti risorse dispiegate, sia della selezione dei target, quasi sempre funzionale al conseguimento di obiettivi strategici e geopolitici – la matrice statuale”.
Ma quali sono gli Stati maggiormente impegnati in attività di cyber espionage e che strumenti utilizzano per condurre le proprie operazioni?
Poste le difficoltà nell’eseguire una chiara attribution nell’ambito di attività cyber, a causa della intrinseca complessità strutturale del quinto dominio e data la sempre maggiore sofisticazione delle TTP utilizzate dai vari attori per nascondere la propria identità o ingannare gli avversari, è comunque possibile identificare una serie di Stati, e relativi gruppi, ritenuti particolarmente attivi sul fronte dello spionaggio cyber[1].
Iran: il cyber espionage per la stabilità del regime
L’Iran utilizza da tempo il cyber espionage per scopi strategici funzionali al mantenimento della stabilità del regime, nonché volti a colmare il gap presente nel comparto militare e di intelligence e acquisire una sempre maggiore forza nel quadrante geopolitico di riferimento.
Secondo il Global Threat Report 2020 di CrowdStrike, il settore della difesa, quello marittimo, delle telecomunicazioni, nonché quello relativo alla tecnologia dell’informazione sono candidati ad essere, nel prossimo futuro, i probabili target dei gruppi connessi al regime iraniano, soprattutto con riferimento ad entità pubbliche e private nell’area MENA e negli Stati Uniti.
I principali gruppi operativi ritenuti al servizio di Teheran sono:
- Cutting Kitten: ritenuto responsabile di attività di spionaggio e sabotaggio nei confronti dei computer della Marina Militare degli U.S.A., della compagnia energetica statunitense Calpine Corporation, e di altre aziende quali Saudi Aramco, Pemex, Qatar Airways e Korean Air. I principali malware utilizzati sono: TinyZBot e PupyRAT.
- APT35, o Charming Kitten: ritenuto responsabile di attività di spionaggio nei confronti di personale governativo, diplomatico e militare nonché di organizzazioni, media, aziende della difesa, energetiche, di ingegneria, delle telecomunicazioni, negli Stati Uniti e in paesi del Medio Oriente. Tra i malware e tools utilizzati si riscontrano: ALFA TEaM Shell, DROPSHOT, TURNEDUP, SHAPESHIFT, malicious HTA files, MacDownloader.
- APT33, o Refined Kitten, o Elfin: ritenuto responsabile di operazioni di spionaggio finalizzate alla raccolta di informazioni nel settore della difesa, dell’aerospazio e del petrolchimico. Si pensa che il gruppo abbia colpito organizzazioni saudite che forniscono formazione, manutenzione e supporto a flotte commerciali e militari dell’Arabia Saudita, ma anche Stati Uniti e Corea del Sud. Tra i malware e tools utilizzati si riscontrano: Shamoon[2], POWERTON, PupyRAT, POSHC2, AutoIt backdoor, TURNEDUP, Stonedrill, LaZagne, Quasar RAT, SniffPass, DarkComet, NetWeird, Mimikatz, Notestuk.
- APT34, o Helix kitten, o OilRig: il gruppo ha condotto varie operazioni, soprattutto in Medio Oriente, dirigendo la propria attenzione verso target operativi nel settore finanziario, governativo, energetico, chimico e delle telecomunicazioni con lo scopo di porre in essere operazioni di spionaggio a lungo termine a beneficio degli interessi dello Stato iraniano. Tra i malware e tool maggiormente utilizzati è possibile indicare POWBAT, POWRUNER, BONDUPDATER, Helmint, TwoFace, Quadagent, OopsIE, LongWatch, Neptun, Karkoff, TwoFace, Neuron, Nautilus.
- APT39, o Remix kitten, o Chafer: gruppo ritenuto collegato al governo iraniano e responsabile di ingenti furti di informazioni personali per scopi commerciali e operativi di monitoraggio, tracciamento e sorveglianza per il raggiungimento delle priorità nazionali iraniane o, potenzialmente, per creare ulteriori accessi e vettori per facilitare future campagne di attacco. I principali settori aggrediti sono stati quelli dell’industria del turismo, delle telecomunicazioni e dell’IT soprattutto in Medio Oriente ma anche in Australia, Spagna, Corea del sud, e Norvegia. I principali malware e tools utilizzati sono: ASPXSpy, Remexi, Mimikatz, PsExec, nbtscan, RemCom, SEAWEED.
Cina: il cyber espionage per la leadership tecnologica
La Cina è fortemente impegnata in attività di cyber spionaggio avendo come obiettivo strategico quello di conquistare la leadership tecnologica a livello globale (vedasi il piano industriale “Made in China 2025”). Il supporto del governo a programmi di ricerca e sviluppo ha dato una forte spinta propulsiva al perseguimento di tale finalità rafforzando, inoltre, la posizione competitiva di aziende cinesi nel mercato globale anche con l’ausilio di importanti operazioni di spionaggio industriale.
Campagne informatiche volte a sottrarre proprietà intellettuale e segreti commerciali sono state identificate e attribuite alla Cina già da diversi anni. Si stima che tra tutti i casi di spionaggio gestiti dal Dipartimento di Giustizia degli U.S.A. tra il 2011 ed il 2018, il 90% abbia coinvolto attori connessi alla Cina. Il cyber espionage posto in essere dalla Cina è fonte di preoccupazione anche da parte di numerose agenzie di intelligence europee[3].
I settori più colpiti risultano essere quello delle telecomunicazioni (di rilievo il malware MESSAGETAP utilizzato da APT41 per monitorare il traffico di SMS dalle reti di telecomunicazione che ha permesso di raccogliere e conservare dati acquisiti mediante determinati criteri come numeri di telefono, IMSI, e parole chiave), dell’healthcare, della difesa, dell’aeronautica, dell’energia, della finanza, dei trasporti, dell’automotive[4], nonché quello del settore governativo di alcuni paesi del sud-est asiatico.
Altre attività sono state poste in essere per sottrarre informazioni personali di massa[5] o di soggetti ritenuti di interesse per il governo cinese. Molti degli attori coinvolti in tali attività risultano, presumibilmente, connessi, ad organismi statali come l’MSS (Ministry of State Security) o al PLA (People Liberation Army).
I principali gruppi operativi in Cina per azioni di cyber espionage sono:
- APT1, o Unit 61398, o Comment Crew: il gruppo, ritenuto collegato al PLA e più specificamente al General Staff Department’s (GSD) 3rd Department, risulta aver operato per la sottrazione di informazioni relative a proprietà intellettuale, progetti tecnologici, processi di produzione, risultati di test, piani aziendali, prezzi, accordi di partnership, e-mail, nonché elenchi di contatti di figure apicali di varie organizzazioni. I settori maggiormente colpiti da tale gruppo sono i seguenti: informatica, aerospaziale, pubblica amministrazione, satelliti e telecomunicazioni, ricerca scientifica e consulenza, energia, trasporti, costruzioni e produzione, servizi di ingegneria, elettronica hi-tech, organizzazioni internazionali, pubblicità e intrattenimento, navigazione, prodotti chimici, servizi finanziari, alimentazione e agricoltura, sanità, istruzione. Tra i vari malware e tools utilizzati si riscontrano Poison Ivy, Mimikatz, SeaSalt, Cachedump, Lslsass, Tasklist, AURIGA e BANGAT.
- APT3, o UPS, o Gothic Panda, o BuckEye: il gruppo, ritenuto non più operativo dal 2017, è risultato collegato al MSS cinese e operativo in attività di cyber spionaggio di alto livello. Secondo una rilevazione di Symantec, APT3 risulta aver utilizzato, per alcune operazioni, delle varianti dei tools appartenenti al gruppo hacker “Equation Group” ritenuto collegato alla NSA statunitense. I principali settori colpiti sono: aerospazio e difesa, ingegneria, high-tech, telecomunicazioni, trasporti. Tra i malware e tools utilizzati risultano: Shotput, PlugX/Sogu, Bemstour, DoublePulsar. LaZagne, OSInfo.
- APT10, o CVNX, o Stone Panda: il gruppo risulta collegato al MSS Tianjin bureau cinese. Risultano attribuibili ad APT10 operazioni dirette contro governi volte ad acquisire importanti informazioni militari e di intelligence a sostegno del governo cinese, nonché il furto di informazioni commerciali riservate nei settori dell’ingegneria, dell’aerospazio, delle telecomunicazioni, al fine di sostenere e supportare lo sviluppo di aziende cinesi. Gli attacchi hanno interessato vari paesi tra cui Stati Uniti, Giappone, nonché paesi europei. Tra i malware e tools più utilizzati si riscontrano: ChChes, SNUGRIDE, QuasarRAT, PoisonIvy, EvilGrab, Mimikatz, UPPERCUT, Certutil, Haymaker.
- APT41, o Wicked Panda: originariamente nato per compiere operazioni rivolte verso il settore dei videogiochi motivate da interessi finanziari, il gruppo è poi divenuto strumento del governo per condurre operazioni di spionaggio. Le azioni poste in essere da APT41 nel settore dei videogiochi hanno permesso al gruppo di sviluppare delle TTP utilizzate successivamente a danno di ulteriori organizzazioni, o singoli individui. Risulta quindi che il gruppo operi su un doppio binario: da una parte svolge attività di cybercrime perseguendo scopi economici personali operando nel settore dei videogiochi, dall’altro svolge attività di spionaggio e sorveglianza nei settori dell’istruzione superiore, delle telecomunicazioni, dell’healthcare, dei media, dei travel services e dell’hi-tech a servizio del governo. Tra i vari malware e tools utilizzati dal gruppo (circa 46) si segnalano: ASPXSpy, BEACON, China Chopper, Derusbi, gh0st RAT, njRAT, ROCKBOOT, ZXSHELL, PlugX.
- APT40, o Leviathan: il gruppo ha nel tempo condotto operazioni volte a consentire l’ammodernamento della capacità navale della Cina orientando le proprie attività verso i settori dell’ingegneria, dell’hi-tech, dei trasporti, dell’industria della difesa, ma anche dell’università e della ricerca scientifica, impegnati tutti sul fronte dello sviluppo di attrezzature e unità navali. Questo attore ha inoltre condotto azioni contro specifici target di paesi strategicamente importanti per la Belt and Road Initiative, tra cui la Cambogia, il Belgio, la Germania, l’Arabia Saudita, Hong Kong, le Filippine, la Malesia, la Norvegia, la Svizzera, UK, U.S.A., oltre allo svolgimento di attività di intelligence verso paesi del Sud-Est asiatico, o coinvolti in dispute nel Mar Cinese meridionale. Tra i malware e tools principalmente utilizzati si riscontrano: at, Derusbi, NanHaiShu, Murkytop, Orz, HOMEFRY, China Chopper, BLACKCOFFEE, BADSIGN, PHOTO, SCANBOX, SOGOU, e WIDETONE.
Corea del Nord: notevoli attività dei gruppi criminali
Gruppi collegati alla Corea del Nord sono risultati molto operativi in tutto il 2019, sia in termini di attività che di sviluppo di nuove tecniche e tools.
Le operazioni di cyber spionaggio condotte da vari attori hanno avuto come obiettivo quello di acquisire informazioni commerciali e proprietà intellettuale, al fine di permettere il rafforzamento dell’economia del paese e del proprio apparato militare, ma sono state rivolte anche alla raccolta di informazioni di intelligence nell’ambito nucleare e allo spionaggio diplomatico, presumibilmente al fine di mantenere l’attuale regime al potere.
Si ritiene, inoltre, he la Corea del Nord sia stata impegnata in attività di cyber espionage a danno di aziende giapponesi, vietnamite e del medio oriente, nei settori della chimica, dell’elettronica, della manifattura, dell’aerospazio, dell’automotive, e dell’healthcare.
I principali gruppi operativi impegnati in attività di cyber espionage sono:
- APT37, o Ricochet Chollima, o Reaper: il gruppo ha condotto operazioni principalmente verso aziende pubbliche e private della Corea del Sud per poi orientare i propri sforzi anche verso il Giappone, il Vietnam ed il Medio Oriente, colpendo vari settori industriali come quello della chimica, dell’elettronica, della manifattura, dell’aerospazio, della finanza, dell’automotive, e dell’healthcare. Tra i principali malware e tools utilizzati si citano: RokRAT, Final1stspy, HAPPYWORK, KARAE, POORAIM, SHUTTERSPEED, SLOWDRIFT, BabyShark, KimJongRAT.
- Lazarus Group, o Labyrinth Chollima: il gruppo, considerato legato al governo nord coreano e subordinato al 110th Research Center, 3rd Bureau of the RGB, è stato ritenuto responsabile della recente campagna di spionaggio Sharpshooter la quale ha avuto come obiettivi il settore della difesa, del nucleare, dell’energia, nonché istituzioni finanziarie e governi in tutto il mondo. Si ritiene, inoltre, che il gruppo abbia colpito, con recenti attacchi, anche infrastrutture critiche in Germania, in Turchia, UK e in U.S.A. Il gruppo risulta essere responsabile dell’attacco contro la Sony Pictrures Entertainment del 2014, dell’operazione Ghost Secret (volta a sottrarre informazioni nei settori delle telecomunicazioni, della finanza, dell’healthcare, e dell’entertainment) nonché collegato all’attacco WannaCry del 2017. Tali azioni hanno provocato l’applicazione di sanzioni al gruppo e ad altri due sottogruppi ad esso collegati, Bluenoroff e Andariel, da parte degli Stati Uniti. Tra i principali malware e tools utilizzati si riscontrano: FallChill RAT, Bankshot, BADCALL, AuditCred, HARDRAIN, Hawup, KEYMARBLE, Mimikatz, RawDisk, netsh, Proxysvc.
Russia: attività di spionaggio mirato
Nota per aver posto in essere una serie di importanti operazioni di spionaggio cyber (operazione Moonlight Maze del 1996, violazione del Pentagono nel 2008, ingerenza nelle elezioni U.S.A. del 2016), la Russia è impegnata in attività di spionaggio nei confronti di una serie di target.
Le informazioni raccolte durante le varie operazioni sono state utilizzate, presumibilmente, per permettere ai leader russi di gestire meglio i negoziati diplomatici o per avere un vantaggio in termini di intelligence sul campo di battaglia[6] (soprattutto in riferimento al confronto in Ucraina).
Le operazioni sono state rivolte anche verso governi europei, aziende e fornitori di infrastrutture critiche.
Risulta di interesse rilevare come la Russia utilizzi le informazioni ottenute attraverso operazioni di cyber espionage per impiegarle in attività di disinformazione volte a manipolare la politica interna, anche di taluni paesi europei/NATO, attraverso, ad esempio, troll e bot usati per generare e diffondere determinate notizie (o distorcerle) mediante l’impiego dei social network[7].
Tra i principali gruppi si segnalano[8]:
- APT28, o Sofacy, o Fancy Bear, o Strontium: si ritiene che il gruppo, sponsorizzato dal governo russo, abbia posto in essere operazioni volte a raccogliere informazioni di intelligence su temi di interesse geopolitico o relativi alla difesa orientando quindi i propri sforzi verso target governativi e militari. Il gruppo risulta essere responsabile di attività dirette contro governi europei, prima delle elezioni del 2019, finalizzate all’acquisizione di informazioni di natura politico-internazionale utili alla Russia. Secondo un recente report di Microsoft il gruppo ha, inoltre, tentato di compromettere dispositivi IoT di varie aziende. Lo scopo era quello di ottenere l’accesso ai network aziendali al fine di scansionare la rete per intercettare ulteriori dispositivi non sicuri e spostarsi all’interno della stessa alla ricerca di account con privilegi più elevati che avrebbero consentito l’accesso a dati e informazioni di elevato valore. Tra i principali malware e tools utilizzati si riscontrano: ADVSTORESHELL, Cannon, CertUtil, CHOPSTICK, CORESHELL, DealersChoice, Downdelph, HIDEDRV, JHUHUGIT, Koadic, Komplex, Lojax, Mimikatz, Responder, XTunnel.
- APT29, o Cozy Bear, o Dukes: il gruppo, considerato collegato all’intelligence di Mosca, risulta essere particolarmente abile ed utilizzare strumenti molto sofisticati. Si ritiene che la violazione del Pentagono, avvenuta attraverso una sofisticata azione di spear-phishing, lo spionaggio effettuato a danno del comitato direttivo del Partito Democratico durante le elezioni U.S.A. nel 2016, nonché azioni rivolte verso think tank e NGO statunitensi, verso il governo norvegese, ed anche verso rappresentanti del governo tedesco, siano attribuibili a questo gruppo. Si pensa, inoltre, che APT29 possa attivarsi al fine di interferire nelle elezioni presidenziali U.S.A. del 2020. Una recente ricerca condotta dalla società slovacca ESET ha ritenuto il gruppo responsabile di un’operazione definita “Operation Ghost” che va avanti sin dal 2013 ed è ancora in corso. Tra i principali malware e tools utilizzati si segnalano: PolyglotDuke, RegDuke, FatDuke, CloudDuke, Cobalt Strike, CosmicDuke, CozyCar, OnionDuke, SeaDuke, POSHSPY, Mimikatz, HAMMERTOSS.
Cyber espionage: le minacce che non ti aspetti
Sebbene Iran, Cina, Corea del Nord e Russia rappresentino i paesi maggiormente impegnati in attività di cyber spionaggio, va sottolineato che anche altri importanti attori internazionali pongano in essere attività analoghe. Recentemente Qihoo 360, un’azienda cinese di sicurezza informatica, ha accusato la CIA (più specificamente il gruppo hacker ad essa connesso APT-C-39) di aver posto in essere un’operazione di spionaggio a danno della Cina per più di dieci anni, orientando le proprie attenzioni verso aziende operanti nel settore aeronautico, della ricerca scientifica, dell’industria del petrolio, nonché verso internet providers e agenzie governative.
Conclusioni
Come emerge dalla ricognizione più sopra effettuata molte aziende, impegnate nei più disparati settori industriali, risultano essere state oggetto di operazioni di cyber spionaggio.
I principali obiettivi perseguiti durante questo tipo di attività sono:
- furto di dati proprietari dell’azienda: operazioni, stipendi, attività di ricerca e sviluppo ecc.;
- furto di proprietà intellettuale: progetti riservati, formule, tecniche di produzione, piani commerciali strategici e tutto ciò che un avversario può ritenere di interesse al fine di aumentare la propria competitività commerciale o nazionale;
- informazioni di clienti: liste di clienti, prezzi applicati, servizi forniti, contratti ecc.;
- furto di informazioni legate al marketing e alla competitive intelligence: obiettivi di marketing a breve e a lungo termine, andamenti del mercato, informazioni su ulteriori competitors ecc.;
Al fine di impedire determinate operazioni, le quali avrebbero importanti ripercussioni sia in termini di perdite economiche che di danno reputazionale, incidendo fortemente sul perseguimento degli obiettivi strategici, è necessario predisporre una serie di misure volte a proteggere il patrimonio più importante di ogni azienda, cioè le informazioni.
Va evidenziato come un’efficace strategia finalizzata ad evitare di essere vittima di operazioni di cyber spionaggio debba prevedere un approccio proattivo e multidisciplinare, che parta da una maggiore sensibilizzazione verso determinate minacce.
Le principali azioni da compiere per limitare i rischi, e i potenziali danni, connessi ad attività di cyber espionage sono:
- condurre un adeguato risk assessment;
- definire una efficace Identity and Access Management Policy;
- definire corrette procedure per la gestione e conservazione dei dati;
- delineare un perimetro di sicurezza ed un network di difesa attraverso firewall, crittografia dei dati e restrizioni all’utilizzo di internet;
- addestrare ed educare i dipendenti rendendoli consapevoli dei possibili rischi e, allo stesso tempo, partecipi della sicurezza dell’intera organizzazione;
- effettuare controlli sui nuovi dipendenti e ripeterli con cadenze predeterminate;
- definire un’adeguata procedura in caso di risoluzione del rapporto di lavoro con un dipendente al fine di disabilitare le sue credenziali ed evitare l’esfiltrazione di informazioni potenzialmente trasferibili ad altri competitors;
- monitorare le azioni poste in essere per mitigare i rischi al fine di verificarne l’efficacia e condurre costanti operazioni di miglioramento.
NOTE
- Per economicità del presente articolo si riportano solo alcuni gruppi ritenuti maggiormente importanti. Tra gli altri qui non analizzati si segnalano: Kimsuky (Corea del Nord), Turla Group (Russia), APT32 (Vietnam). ↑
- Malware che, oltre a colpire i dispositivi della Saudi Aramco nel 2012, venne utilizzato anche per colpire l’azienda italiana Saipem nel 2018. ↑
- K. Kaska, H. Beckvard, T. Minárik, Huawei, 5G and China as a Security Threat, CCDCOE (NATO Cooperative Cyber Defence Centre of Excellence), 2019. ↑
- Secondo FireEye, il settore dell’automotive può essere aggredito al fine di ottenere informazioni su nuove tecnologie in fase di sviluppo per scopi militari, inclusi sistemi di veicoli autonomi, intelligenza artificiale e dettagli sui sensori. ↑
- Vedasi il recente caso che ha coinvolto l’agenzia di reportistica di credito al consumo statunitense Equifax oggetto di furto di informazioni personali di circa 150 mln di americani. Per tale azione sono stati ritenuti, presumibilmente, responsabili quattro membri del PLA. ↑
- CrowdStrike, Global Threath Report 2020. ↑
- Di interesse le varie pubblicazioni di NATO STRATCOM COE su Robotrolling. ↑
- Per una maggiore comprensione delle connessioni all’interno dell’ecosistema di APT russi vedasi la ricerca denominata “Mapping the connection inside Russia’s APT Ecosystem” condotta da Check Point e Intezer. ↑