La Threat Intelligence, ovvero la capacità di sfruttare informazioni multi-source per studiare e capire le minacce informatiche, oggi permette di avere una vista di dettaglio sul panorama degli attaccanti.
Il convegno mWISE, organizzato da Mandiant, società specializzata in Threat Intelligence acquisita recentemente da Google Cloud, offre uno spaccato sulla situazione attuale. Di seguito, alcune delle considerazioni più interessanti, con l’intervento del Ceo Kevin Mandia e le opinioni di Sandra Joyce, Vice-President, e John Hultquist, Chief Analyst.
Attaccanti Apex, chi sono e come proteggersi
“La velocità di adozione delle tecnologie IT – esordisce Mandia – è maggiore rispetto alla capacità di metterle in sicurezza. Le misure di prevenzione falliscono inevitabilmente. Oggi diventa necessario applicare una difesa moderna, contro gli attaccanti Apex, ovvero in grado di superare le barriere preventive”.
I nuovi hacker infatti si distinguono per una serie di caratteristiche, tra cui: ricorso a framework malware e vulnerabilità zero-day; profonda conoscenza del bersaglio e capacità di persistenza nell’ambiente target; utilizzo di tecniche di Living off the Land che permettono di sfruttare software legittimi, interni al sistema della vittima, per perpetrare azioni criminali.
Ripensare la cybersecurity oggi, secondo Mandia, significa investire soprattutto per conoscere le minacce e proteggere gli asset (layer di sicurezza 1) ma anche per identificare gli attacchi in corso, rispondere e contenere (layer 2), gestendo così l’eventuale fallimento della linea preventiva.
La prima regola è conoscere l’ecosistema IT e il business meglio degli avversari, applicando una serie di azioni fondamentali come ottenere visibilità e logs ovunque possibile, gestire i privilegi degli account, implementare sistemi di sicurezza multi-fattore, adottare un approccio zero-trust, condurre attività di red teaming.
Potenziare ulteriormente il sistema di difesa
Tuttavia, le sfide sono tante: la sofisticazione del social engineering, l’aumento degli attacchi zero-day, l’aggressività dei gruppi hacker, l’inevitabile furto delle credenziali, gli errori di configurazione e la mancata manutenzione dei software. Ecco perché occorre rafforzare, anche la capacità di risposta agli attacchi, dando per scontato che le misure preventive possano fallire.
Come suggerisce Mandia, la visibilità totale su reti, endpoint e applicazioni è fondamentale per garantire la detection, a fronte di violazioni e furti di credenziali che sempre più spesso prevedono movimenti laterali e sfruttano PowerShell. Una tecnica di rilevamento interessante è rappresentata dagli honey token, ovvero informazioni e credenziali fittizie introdotte nel sistema per attrarre e ingannare gli hacker: una violazione ai dati fasulli è un chiaro segnale di essere sotto tentativo di attacco. Ovviamente, le aziende devono avere una chiara comprensione dei loro obiettivi più sensibili, concentrando gli sforzi e le priorità sugli asset considerati a rischio. Mandia sottolinea anche la necessità di testare e validare preventivamente i processi di sicurezza, avvalendosi dei Red Team.
Artificial intelligence e responsabilità nazionale
Guardando al futuro, Mandia sottolinea l’impatto dell’intelligenza artificiale, un’arma potentissima nelle mani degli attaccanti, ma anche al servizio dei team di sicurezza, che sono sempre più sottopressione, sommersi di attività e a rischio burnout, dovuto alla frustrante sensazione di inefficienza. Grazie ai Large Language Model e all’innovazione AI, si riduce lo sforzo e si aumenta l’efficacia nel threath assessment e nell’identificare i profili degli attaccanti, mettendo a disposizione di qualsiasi utente l’expertise necessaria per investigare e identificare rapidamente le minacce. Inoltre, l’intelligenza artificiale permette di condensare le informazioni raccolte da più fonti e trasformarle in report di pronto utilizzo.
Mandia sottolinea infine la necessaria collaborazione tra il settore pubblico e privato per contribuire alla sicurezza a livello nazionale. Se le aziende hanno la responsabilità di implementare le migliori best practice e tecnologie difensive, adottando un approccio secure-by-design, i governi devono mettere in sicurezza istituzioni e infrastrutture critiche, vestendo un ruolo da attaccanti nel perseguire la criminalità informatica. Secondo Mandia, il gioco di squadra nel dominio cibernetico è andato progressivamente migliorando negli ultimi anni.
Cybercrime in trasformazione
Oltre a dipanare le prospettive strategiche, nel corso di mWISE, gli esperti di Mandiant hanno sintetizzato le ultime tendenze dal mondo della threat intelligence, partendo da alcuni esempi concreti.
Il caso recentissimo dell’offensiva hacker che ha paralizzato le operazioni di MGM Resorts International, colpendo alcuni casinò-hotel di Las Vegas, ha evidenziato il cambiamento nel panorama delle minacce.
“Il gruppo Scattered Spider o UNC3944 – spiega Hultquist – autore dell’assalto a Las Vegas, è responsabile di diversi attacchi contro aziende note delle Fortune 500, nei settori Hospitality, Retail e Professional Services. Ultimamente, però, si stanno concentrando sulle Telco e sui BPO (Business Process Outsourcer), società che gestiscono servizi conto terzi”.
Sostanzialmente, gli attaccanti mirano al BPO come “intermediario” per raggiungere il loro obiettivo reale. Sfruttando tecniche di ingegneria sociale (banalmente una telefonata) convincono gli addetti all’helpdesk o gli impiegati di un’organizzazione a cedere le credenziali di accesso agli account aziendali.
Come spiega Hultquist, gli hacker di Scattered Spider sono inglesi madrelingua (quindi sono avvantaggiati nel risultare credibili) e probabilmente sono basati negli Stati Uniti o nel Regno Unito. Sono diventati molto esperti nell’aggirare l’autenticazione multi-fattore, ad esempio attraverso il SIM swapping, e alcuni potrebbero avere meno di 18 anni.
“Spesso – aggiunge Hultquist – acquistano SIM e credenziali nei marketplace clandestini e quindi possono condurre le intrusioni con un approccio tecnico limitato rispetto ai concorrenti”. Ciò significa anche che la catena di attacco si complica, perché vengono coinvolti più attori (c’è chi ruba le credenziali e vende le SIM hackerate, chi sviluppa malware kit, chi distribuisce ransomware e così via) ed è difficile identificare i veri responsabili dell’offensiva finale.
“Infine – aggiunge Joyce – gli hacker UNC3944 sono molto audaci e aggressivi nel richiedere alla vittima di pagare un riscatto o compiere un’azione, utilizzando tecniche intimidatorie che fanno leva sulla sfera personale”.
Attacchi zero-day sempre più efficaci e redditizi
Una nota di attenzione riguarda gli attacchi zero-day, perpetrati da gruppi APT di cyber espionage oppure da criminali con obiettivi economici, che il team di Google Cloud e Mandiant ha osservato in-the-wild.
Pochissimi fino al 2019 (la media annuale a partire dal 1998 si attestava a 10-15), sono diventati più frequenti (32 nel 2019, 30 nel 2020) fino all’impennata del 2021, quando i casi registrati erano 81. Nell’anno in corso, il numero è già ragguardevole (62), in crescita rispetto al 2022 (55). Aldilà dell’andamento altalenante, le statistiche evidenziano che le minacce zero-day sono un problema concreto e sempre più pressante, con cui le aziende devono misurarsi.
“Stiamo osservando – afferma Joyce – un uso più aggressivo, efficace e redditizio degli attacchi zero-day da parte dei criminali informatici”. Basti pensare al recente caso MOVEit, il programma di gestione dei file hackerato dal gruppo cl0p, che ha potuto estorcere denaro a oltre un centinaio di organizzazioni. Come nota Hultquist, con un singolo attacco zero-day contro un servizio di file transfer, gli hacker hanno potuto colpire simultaneamente molti più obiettivi (le aziende utilizzatrici di MOVEit, che scambiano dati sensibili attraverso il servizio, e i loro clienti).
Cina, attacchi informatici sempre più sofisticati
Gli esperti di Mandiant offrono infine una panoramica sui principali Paesi da cui provengono gli attacchi: Cina, Nord Corea, Russia e Iran. “Nel recente contesto della cybersecurity – spiega Joyce – abbiamo assistito all’evoluzione totale della Cina, che si conferma a tutti gli effetti una superpotenza informatica. Tipicamente, gli hacker cinesi effettuavano campagne di spear phishing piuttosto elementari, mentre oggi conducono campagne di spionaggio molto sofisticate contro i governi di tutto il mondo”.
Le ragioni del cambiamento vanno cercate fuori dal contesto cibernetico. “Tutte le attività informatiche a livello di Stati nazionali – commenta Joyce – sono radicate nello spazio della geopolitica. Le relazioni tra Cina e Stati Uniti sono in un momento precario, soprattutto per le tensioni su Taiwan. Perciò mentre la Cina continua l’ascesa economica e politica, ne vediamo le propaggini cibernetiche”.
La ristrutturazione militare e dell’intelligence voluta da Xi Jinping nel 2016, che ha coinvolto le istituzioni PLA (People’s Liberation Army) e MSS (Ministry of State Security), ha permesso ai gruppi di spionaggio informatico affiliati alla Cina di evolvere le tecniche di attacco, soprattutto nell’ambito degli attacchi zero-day, di cui il Regno di Mezzo è il principale responsabile.
Come dichiara Joyce, le azioni di cyber espionage condotte dai gruppi cinesi filo-governativi non sembrano avere un evidente obiettivo economico, ovvero di racimolare denaro per conto dello Stato. Piuttosto alcune operazioni hanno interessato le organizzazioni coinvolte nell’iniziativa Belt and Road (la Nuova Via della Seta), con lo scopo di preservare le quote di mercato e il vantaggio competitivo cinese. Allo stesso modo, sono state osservate alcune campagne volte a creare disinformazione e preservare gli interessi della madrepatria.
Corea del Nord, Iran e Russia
Lo scenario delle minacce nella Corea del Nord, come spiegano gli analisti di Mandiant, è completamente diverso: gli attacchi osservati sono un misto di espionage classico (spesso con una connessione al programma nucleare nazionale), il livello di sofisticazione tecnica è ancora limitato e si preferisce fare leva sull’ingegneria sociale, diretta soprattutto verso le figure degli esperti. Tuttavia, gli hacker della Nord Corea sono degli specialisti negli attacchi alla supply chain, prendendo di mira soprattutto le società tecnologiche per risalire ai loro clienti, con l’obiettivo di guadagnare denaro in criptovaluta.
Anche per l’Iran, la principale osservazione è che la mancanza di acume tecnico viene compensato dall’ingegneria sociale, con operazioni poco sofisticate ma molto “creative” nei modi con cui vengono condotte le truffe.
Le considerazioni sulla Russia non possono prescindere dalla guerra in Ucraina, con Hultquist che riporta l’attenzione sul caso Infamous Chisel. Si tratta un malware per Android con cui il gruppo Sandworm ha infettato i tablet utilizzati dai combattenti ucraini per mappare il posizionamento degli altri attori sul territorio. Insomma, se i militari oggi sono dotati di strumenti informatici, la cyberwar si combatte in prima linea, direttamente sui campi di battaglia.
