Anche il 2018 sta volgendo al termine e, come di consueto, gli analisti iniziano a fare i primi bilanci per l’evoluzione delle minacce cyber rispetto all’anno precedente, per delineare il cyber security landscape.
Nei giorni scorsi a Mosca, alla “Cyber Crime Con/18”, esperti da tutto il mondo – con una provenienza maggiore dai paesi nordeuropei, russi e asiatici – si sono confrontati sullo stato dell’arte della materia. In tale contesto, Group-IB ha evidenziato i nuovi trend, analizzando alcuni casi recenti analizzati dai propri ricercatori presenti in Russia e negli Stati Uniti.
Indice degli argomenti
Attacchi sponsorizzati da Stati
Come noto, lo scorso anno gli esperti di cyber security sono stati impegnati su attacchi provenienti da malware quali WannaCry, NotPetya e BadRabbit. Il 2018, invece, è iniziato con una tipologia di attacchi più “particolari”, ovvero vulnerabilità appositamente inserite nei processori venduti da vari vendor (non è la prima volta che si registrano attacchi di questo tipo, ma tali informazioni sono sempre rimaste alquanto riservate in report per pochi addetti ai lavori). Attività attualmente ancora sotto i riflettori ed oggetto di indagini da parte di esperti in vari paesi del mondo. Queste vulnerabilità, nate presumibilmente per strizzare l’occhio al cyber espionage di qualche paese, non possono essere efficacemente eliminate con aggiornamenti software e come tali creano nuove opportunità per gli aggressori.
L’argomento, ad avviso di chi scrive, sarà ancora più pervasivo ai danni di “oggetti” in rete, che siano nati per la domotica (pensiamo ai vari Google Home, Alexa ecc.) o per gli altri settori telematici (pensiamo alle auto più tecnologiche ed altro ancora). Questo perché è ancora basso il livello di cyber security (by design) del mondo IoT (Internet of things) e questo a prescindere dal fatto che questi attacchi siano – al momento – oggetto di interesse di tipo governativo per cyber espionage. Attaccare un’auto in rete o un’infrastruttura energetica (una diga, a mero titolo di esempio) comporta una rivisitazione della mappa dei rischi cyber, che potranno avere sempre di più un impatto di tipo “fisico” e non solo strettamente “cyber”: pensiamo, ad esempio, all’attacco remoto di un’auto che poi viene guidata – contro la volontà del guidatore – contro persone nel centro di una città per scopo terroristico. O l’apertura di una diga a seguito di un attacco mirato nato come cyber. Per questo motivo, già dallo scorso anno, si è iniziato a parlare di “cyber weapons” e si sono registrati i primi attacchi in Ucraina, probabilmente di tipo dimostrativo.
I bad actor (che giornalisticamente vengono chiamati – erroneamente – hacker), sono sempre più concentrati a creare malware complessi e mirati a favore di Stati che sponsorizzano tali ricerche (spesso non direttamente ma per interposta azienda et similia), con lo scopo di penetrare nelle reti informatiche delle infrastrutture critiche di altri paesi per cyber-sabotaggio e spionaggio. Nel 2018, oltre che evolvere gli attacchi contro le aziende in vari settori critici quali l’energia nucleare, commercio, acqua, aviazione e altro, si è registrato un numero significativo di attacchi focalizzati al settore energetico.
Le minacce alla sicurezza della rete elettrica includono Industroyer, il primo software specializzato per gli attacchi sulle reti elettriche (scoperto fin dal 2016), e Triton, un framework che si rivolge ai sistemi Schneider Electric.
A febbraio 2018, un attacco che utilizzava malware chiamato Olympic Destroyer ha preso di mira il sito ufficiale delle Olimpiadi cinesi, di fatto “spegnendo” il Wi-Fi dello stadio ed interrompendo la trasmissione in diretta della cerimonia d’apertura. L’incidente ha dimostrato i rischi che gli attacchi informatici possono rappresentare non solo l’infrastruttura in sé, ma anche per l’immagine di un paese che aveva investito molto sull’evento mediatico.
Per quanto concerne gli utenti finali, invece, gli attaccanti (specialmente quelli sponsorizzati dagli Stati) si sono concentrati – nell’ultimo anno – sulle vulnerabilità di router domestici. Questo consente loro non solo di spiare gli utenti senza infettare i loro dispositivi, ma anche mantenere una infrastruttura di rete “zombie” diffusa e dinamica, per vari scopi. Si evidenzia, per motivi similari, un incremento di malware non solo per piattaforme Windows ma anche Mac OS e dispositivi mobili (Android ed Apple).
Attacchi mirati alle banche ed ai loro clienti
Anche le banche sono state un obiettivo primario del 2018. Group-IB ha identificato quattro gruppi criminali che rappresentano una vera minaccia per il settore finanziario avendo la capacità non solo di penetrare nella rete di una banca ed accedere ai sistemi, ma anche prelevare denaro tramite SWIFT, sistemi di elaborazione delle carte e ATM/Bancomat.
Questi gruppi sono Cobalt, MoneyTaker e Silence (tutti tre guidati da hacker russofoni), così come il gruppo nordcoreano (sponsorizzato dallo stato) denominato Lazarus.
Oltre che attacchi targettizzati agli utenti, i gruppi si sono concentrati su attacchi più infrastrutturali, ad esempio alla rete SWIFT che è sempre stata ritenuta molto sicura nel sistema interbancario.
Solo nell’ultimo periodo, difatti, si sono registrati 9 attacchi di successo alla rete SWIFT, precisamente in Nepal, a Taiwan, Russia, Messico, India, Bulgaria e Cile (secondo gli analisti, gli attacchi sarebbero riconducibili ai gruppi Lazarus e Cobalt).
Da non sottovalutare, nel 2018, l’evoluzione degli attacchi cyber agli ATM/Bancomat, per fare in modo che gli stessi possano erogare denaro a beneficio degli attaccanti. L’approccio seguito di solito vede partecipare più membri del sodalizio criminale, con attenzione alla geografia dell’attacco: gli aggressori sono in un paese, la vittima (la Banca) in un altro e l’incasso si svolge in un paese terzo (molto interessante, sul tema, l’attacco del gruppo Silence, per oltre 500.000 dollari, avvenuto a febbraio 2018).
Per quanto concerne i clienti delle banche, aumenta la recrudescenza dei Trojan per frodi sui conti correnti, in particolare per le banche che utilizzano sistemi di strong authentication. I trojan Dridex, Trickbot e Gozi rappresentano ancora la minaccia bancaria più significativa. BackSwap è il più importante dei nuovi Trojan. Inizialmente ha preso di mira solo le banche in Polonia, ma poi ha iniziato ad attaccare anche le banche spagnole e si prevede che possa attaccare quelle italiane. BackSwap è interessante perché combina diverse nuove tecniche per sostituire i dettagli di pagamento.
Il 2018 ha visto anche una crescita dei trojan per cellulari, venduti sui forum underground per uso fraudolento (ad esempio, Exobot 2.0, Asacub, CryEye, Cannabis, fmif, AndyBot, Loki v2, Nero banker, Sagawa ecc.). Solitamente, i trojan bancari per cellulari sono diffusi via messaggistica, anche se, all’inizio del 2018, il Trojan Exobot 2.0 era stato distribuito addirittura attraverso applicazioni in precedenza scaricate dai play store ufficiali.
Minacce alle criptovalute e progetti blockchain
Nel 2017 e 2018, l’interesse degli attaccanti per le criptovalute si è intensificato, registrando frodi stimate per 877 milioni di dollari (gran parte per il caso Coincheck in Giappone).
Lo spear phishing rimane il principale vettore di attacco: circa il 56% di tutti i soldi sottratti sono stati rubati tramite attacchi di phishing.
Si evidenzia un dato da non sottovalutare. Nel 2018, i ricercatori di sicurezza hanno scoperto un attacco usato per manipolare il tasso di cambio di una criptovaluta.
Altra minaccia in crescita è il Cryptojacking (mining nascosto). Dopo il lancio di Coinhive, un software di mining nascosto, altri sette malware simili sono stati scoperti dagli analisti nell’ultimo periodo (Crypto-Loot, JSEcoin, Minr, CoinImp e ProjectPoi).
Appare chiaro che questa tipologia di attacchi possono attirare, più di altri, alcuni “investitori” interessati agli aspetti di frode informatica o meglio ancora a minare la credibilità e reputazione delle criptovalute in generale.
