Si era già dimostrato reattivo e fantasioso, gli scorsi anni, cogliendo molte delle opportunità di attacco offerte da un’inaspettata pandemia globale. Nel 2022, il cybercrime ha svelato il suo talento anche sul fronte geopolitico, sfruttando ogni piccola o enorme tensione che ha caratterizzato questi 12 mesi. Per farlo ha compiuto veloci, significativi e, in molti casi anche definitivi cambiamenti, senza la resistenza tipica di molti altri contesti. Lo hanno fatti i criminali informatici “storici” e i “freelance” del mondo RaaS, ma anche gli autori di APT (Advanced Persistent Threat).
Quasi sempre sponsorizzati o per lo meno allineati a un governo, sono stati particolarmente attivi negli ultimi 12 mesi. Hanno sfruttato il loro intrinseco talento nell’adattarsi alle sfide geopolitiche, non fermandosi al “banale” schierarsi tra Russia e Ucraina. Secondo il nuovo report Cisco, basato sui set di telemetria raccolti da Talos, questa guerra ha permesso di ampliare le attività e, a chi li studia, di approfondirne le caratteristiche per migliorarne la comprensione.
Un reinventarsi continuo, monitorando l’attualità: l’inquieto 2022 dei gruppi APT
Ogni gruppo dedito ad attività APT persegue specifici obiettivi strategici, fortemente legati alla provenienza geografica e agli interessi di chi lo appoggia. Possono essere i più svariati, anche se predominano quelli economici e militari. In questo panorama di unicità in evoluzione, Cisco è riuscito a cogliere dei trend comuni, analizzando quanto rilevato nel 2022.
La prima evidenza riguarda l’aumento di malware e di strumenti personalizzati. In alternativa, sono state spesso distribuite nuove varianti di minacce già note, per sfruttare l’effetto sorpresa. Frequente anche la tendenza a incorporare strumenti open source, come software di accesso remoto e framework di post-exploitation. Individuate realtà con protocolli di patch deboli, solitamente sono stati usati exploit pubblicamente noti, come le utility Log4j, anche se la tendenza generale è stata quella di aumentare il grado di sofisticatezza della catena delle infezioni. Un chiaro indizio della determinazione con cui questi gruppi agiscono, non arrendendosi anche se individuati e bloccati.
Evolvono in continuazione, per tornare all’attacco attraverso molteplici mezzi di accesso. Sono quindi molto difficili da sradicare da una rete, una volta che sono riusciti a penetrarvi, e non fanno preferenze tra soggetti pubblici o privati. Non fanno eccezioni, nemmeno quando si tratta di attaccare ONG o studenti. Anzi, sono tra le loro vittime preferite.
La spietatezza nella scelta degli obiettivi è stata lampante per chi ha seguito il conflitto Russia-Ucraina, ma ha caratterizzato le attività APT rilevate in qualsiasi altro contesto. Mentre i media e la maggior parte della popolazione, soprattutto in USA ed Europa, è rimasta rapita dal conflitto scoppiato il 24 febbraio, di molto altro si sono occupati i cyber criminali. Hanno mostrato una maggiore capacità di monitorare le tante tensioni coesistenti nel mondo e alcuni gruppi APT hanno addirittura colto l’occasione per ampliare il raggio delle proprie operazioni e la tipologia delle vittime.
I 6 gruppi APT da conoscere
Se la guerra ha reso più evidente la spaccatura del mondo cybercrime in due tifoserie opposte – pro Ucraina e pro Russia – non ha comunque evitato che si verificassero attacchi anche altrove. Connessi o meno a questo conflitto, ne è infatti stato registrato da Cisco un numero crescente. A compierli sono stati gruppi prevalentemente provenienti da Iran, Cina, Corea del Nord e Paesi del subcontinente indiano, spaziando tra operazioni di spionaggio e furto di proprietà intellettuale o finanziaria a malware contro obiettivi mission critical. Una tendenza evidente durante il 2022 e che Cisco prevede continui nel 2023.
Per adeguarsi a questo scenario, dal punto di vista tecnologico serve un apparato di sicurezza stratificato con una forte segmentazione, autenticazione a più fattori e severe limitazioni degli accessi. Tutto questo non basta, però, e non basta nemmeno affiancare politiche organizzative più intelligenti e una massiccia attività di formazione degli utenti finali. Per comprendere come indirizzare gli sforzi di difesa, serve un attentissimo monitoraggio delle condizioni geopolitiche e, nello specifico, degli obiettivi e delle aspirazioni delle nazioni più attive.
Per iniziare a orientarsi in un universo popolato e complesso come quello dei gruppi APT, nel report Cisco ne vengono descritti alcuni dei principali protagonisti. Due sono russi, hanno trascorso un anno particolarmente impegnativo, ma non sono certo realtà non allenate. Gamaredon esiste dal 2013, fa spesso leva su tecniche di social engineering, sviluppando attacchi custom a seconda del contesto e delle vittime. Da sempre si scaglia contro gli interessi ucraini, lo ha fatto anche nel 2022 inaugurandolo con una dannosa campagna di phishing che ha impattato su un enorme numero di cittadini.
Il connazionale Turla sembrerebbe direttamente legato al Federal Security Service, per cui svolge una intensa attività di spionaggio contro i paesi NATO e post Sovietici. È particolarmente abile nell’eludere la difesa e usa un’ampia gamma di custom malware e modified open source malware, ma anche strumenti pubblicamente accessibili tra cui Tiny Turla, Uroburos e Mosquito.
Cambiando zona, in Iran si “incontra” Muddywater, dal 2017 al fianco del Ministero dell’intelligence & security (MOIS). Questo gruppo si dedica a operazioni di spionaggio e furto di proprietà intellettuale a supporto degli obiettivi strategici ed economici del governo e ai danni di soggetti sia privati che pubblici. Nel 2022 ha colpito diversi verticali tra cui i settori telecomunicazioni, oil & gas e IT, oltre a università, ONG e governi. Ha sfruttato vulnerabilità note e strumenti open source per accedere ed esfiltrare dati sensibili. Studiandolo, Cisco ha percepito si tratti di un conglomerato di team indipendenti che applicano tattiche diverse. Ciascuno, per ogni zona, sviluppa e sceglie TTP, malware e strumenti, partendo, per esempio, da email di phishing con allegati PDF e XLS.
Puro spionaggio è quello realizzato dal gruppo cinese Mustang Panda, che guarda con interesse soprattutto a USA ed Europa, a Hong Kong e Taiwan, tenendo d’occhio anche Myanmar, Mongolia, Vietnam, Afghanistan, Pakistan e India. Nel 2022 ha manifestato un particolare interesse per le Telco, i software provider, la sanità e la difesa e il mondo delle no profit. Il conflitto russo-ucraino ha permesso poi a questi criminali cinesi di spiare più liberamente tutta l’Europa, assieme a USA e Taiwan.
Nella Corea del Nord, a supporto dell’attività missilistica ma non solo, opera il Lazarus Group, sia spiando sia rubando dati, sia sferrando attacchi più distruttivi a supporto degli obiettivi di governo e di ricerca in campo militare. Nel 2022 si è mostrato molto attivo e ha sviluppato nuovi malware come ha fatto anche il pakistano Transparent Tribe. Creato nel 2016, questo gruppo concentra operazioni di spionaggio e furto di proprietà intellettuale nelle regioni del Centro, Sud ed Est dell’Asia. Nel 2022, si è concentrato su università e studenti, in India, per ricavare informazioni da giovani attivisti su temi strategici per il governo centrale. L’idea era soprattutto quella di controllarne e sfruttarne le connessioni con i “colleghi “internazionali.