Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Attacchi DDoS più che raddoppiati lo scorso anno: il report di F5 Labs
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
Attribuzione dei cyberattacchi: molto spesso un “puzzle” dal quale mancano dei pezzi
Fare il ricercatore informatico è qualcosa di molto stimolante, è un’attività che richiede tante competenze che fanno riferimento a professionalità tra loro diverse: bisogna essere un po’ programmatori, ma anche matematici, detective forensi, storici, archeologi, a volte anche psicologi. L’attività migliore e più stimolante per un ricercatore di sicurezza è, però, quella relativa all’indagine sugli attacchi APT, gli attacchi informatici più complessi, persistenti e pericolosi.
Nel settore della cybersecurity abbiamo un’esperienza più che ventennale, oltre che un background ricco variegato, e quando i nostri ricercatori si trovano di fronte ad attacchi di questo tipo le domande che si pongono sono, prima di tutto, “Cosa è successo?”, poi “Possiamo risolverlo?” e, solo alla fine, la domanda più intrigante di tutte: “Chi è il responsabile?” Rispondere a questa domanda vuol dire procedere con la cosiddetta “attribuzione”; a volte provare a determinare un’attribuzione per un ricercatore è un po’ come cercare un ago in un pagliaio – e non un pagliaio “normale”, ma uno pieno di trappole tese dagli stessi cybercriminali con l’obiettivo di portare chi studia le minacce su strade sbagliate.
Partiamo dall’inizio. I ricercatori del GReAT di Kaspersky Lab (il Global Research and Analysis Team) quando si trovano di fronte ad un attacco APT cercano di affidarsi a degli indizi, dai quali provare ad individuare la fonte dell’attacco stesso; anche chi si occupa di altre aree di ricerca procede allo stesso modo. Questi indizi sono, in realtà, degli errori dal punto di vista operativo, fatti dagli stessi autori di cyberminacce nel momento in cui mettono in atto i loro piani.
Si dice che il crimine perfetto non esiste e questo vale anche per i crimini nel mondo informatico. Non importa quanto gli attaccanti si impegnino nel cercare di non lasciare tracce, alcune cose sono del tutto inevitabili: i cybercriminali possono dimenticare alcune keyword, limitarsi a copiare e incollare un codice prendendolo da altri progetti o usare lo stesso account personale per i loro attacchi.
Per rendere più difficile il compito dei ricercatori, a volte creano appositamente alcuni di questi “errori”, che quindi non sono più dei veri e propri indizi, bensì dei “falsi positivi” (in gergo “false flag”), creati ad hoc per fare in modo che i ricercatori vadano fuori strada: i criminali possono usare parole prese da un linguaggio che non è il loro, magari usando codici presi volontariamente da altre campagne con l’obiettivo di far pensare ad altri gruppi autori di minacce APT.
Anche usare una lingua madre diversa dalla propria per far pensare ad un’altra nazionalità, però, può portare, a sua volta, a commettere altri errori: una parola scritta in modo scorretto, ad esempio, invece di portare chi indaga sulla strada sbagliata, come era previsto, può trasformarsi nell’indizio giusto.
Uno dei più complessi esempi di “false flag” sui quali i ricercatori di Kaspersky Lab hanno indagato è stato sicuramente il caso Olympic Destroyer: i cybercriminali avevano falsificato un artefatto (in informatica forense una traccia residua prodotta dal regolare funzionamento di un software o dalle interazioni con l’utente) molto difficile da manipolare; ancora più difficile, poi, si era rivelata la dimostrazione della sua effettiva falsificazione. Quasi come se il DNA di una persona fosse stato rubato e poi lasciato sulla scena del crimine dal vero autore del misfatto. Nonostante queste difficoltà, i ricercatori di Kaspersky Lab sono stati in grado di dimostrare che l’artefatto stesso era un falso: in altre parole, si trattava di un “false flag”.
Non importa quanto impegno dedichino alle loro attività, i responsabili degli attacchi informatici sono comunque esseri umani e non possono falsificare qualunque cosa. Solitamente i grafici che mostrano il loro workflow – quando iniziano a lavorare, quando fanno una pausa, quante ore al giorno lavorano – sono in grado di offrire delle informazioni molto preziose. Analizzando attentamente gli indizi disponibili – di solito la lingua utilizzata e il fuso orario – possiamo parlare di gruppi di autori di minacce APT che parlano, tra le altre lingue, il cinese, il russo, il coreano o l’inglese.
Crediamo che il nostro lavoro principale riguardi la ricerca delle risposte alle prime due domande; l’attribuzione piena dovrebbe restare nelle mani delle forze dell’ordine che hanno una visione più ampia rispetto a quella a disposizione delle aziende private. Tuttavia, siamo anche convinti del fatto che la cooperazione tra i governi e i principali player del settore della sicurezza informatica è essenziale per rendere il mondo un luogo più sicuro e per far sì che un maggior numero di autori di cyberminacce venga assicurato alla giustizia.
La nostra azienda è fortemente impegnata nel sostegno di questo tipo di iniziative, tanto da promuovere valori come la trasparenza e la fiducia nell’intero settore della sicurezza informatica: la Paris Call per la fiducia e la sicurezza nel cyberspazio, ad esempio, rappresenta un passo importante in questa direzione.
La cooperazione è un valore particolarmente importante al giorno d’oggi: lo spazio virtuale è diventato più pericoloso che mai, proprio perché la guerra informatica non segue regole e non è costretta da confini di tipo fisico. Kaspersky Lab crede che le armi informatiche ricopriranno un ruolo sempre più importante nell’arsenale bellico delle nazioni e che gli attacchi informatici futuri punteranno sempre di più a colpire le infrastrutture critiche. Alcuni esempi li abbiamo già visti negli ultimi tempi in paesi come l’Ucraina, l’Arabia Saudita o il Venezuela.
Guardando il quadro generale della situazione e prendendo in esame la complessità dei cyberattacchi e il loro numero, in continua crescita, si può facilmente capire perché gli autori delle minacce rimangano sconosciuti nella maggior parte dei casi e perché solo pochi vengano effettivamente indagati in modo approfondito e poi scoperti. Se paragonassimo l’indagine sui cyberattacchi a un videogioco, capire ciò che è effettivamente successo rappresenterebbe il primo livello ; trovare il modo di risolvere l’attacco, con una chiave di decrittazione, ad esempio, potrebbe essere il secondo livello.
Collegare l’attacco stesso ad un determinato autore della minaccia, come ai gruppi APT noti con nomi come Equation, Desert Falcons o Lazarus, vorrebbe dire sconfiggere il mostro finale. Questo è un caso raro e molto fortunato che può verificarsi in caso di un lavoro congiunto da parte degli investigatori informatici e delle forze dell’ordine, che collaborano e riescono alla fine a catturare gli autori della minaccia, come accaduto nel caso di CoinVault.
Una cosa è certa: la missione dei ricercatori di Kaspersky Lab è quella di trovare il maggior numero possibile di elementi, ma solo la cooperazione tra le società di sicurezza informatica e i governi può portare, quando possibile, a completare l’intero puzzle.
Condividi l'articolo
Germania: backdoor in 4 modelli di smartphone Android
La sicurezza? Prima di tutto è una questione di cultura
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova...
Ransomware: la serie
No posts found.
