Aggiornamenti recenti Ottobre 4th, 2024 9:00 AM
Giu 09, 2019 Morten Lehn Kaspersky Partner Space, RSS, Scenari, Scenario 0
Fare il ricercatore informatico è qualcosa di molto stimolante, è un’attività che richiede tante competenze che fanno riferimento a professionalità tra loro diverse: bisogna essere un po’ programmatori, ma anche matematici, detective forensi, storici, archeologi, a volte anche psicologi. L’attività migliore e più stimolante per un ricercatore di sicurezza è, però, quella relativa all’indagine sugli attacchi APT, gli attacchi informatici più complessi, persistenti e pericolosi.
Nel settore della cybersecurity abbiamo un’esperienza più che ventennale, oltre che un background ricco variegato, e quando i nostri ricercatori si trovano di fronte ad attacchi di questo tipo le domande che si pongono sono, prima di tutto, “Cosa è successo?”, poi “Possiamo risolverlo?” e, solo alla fine, la domanda più intrigante di tutte: “Chi è il responsabile?” Rispondere a questa domanda vuol dire procedere con la cosiddetta “attribuzione”; a volte provare a determinare un’attribuzione per un ricercatore è un po’ come cercare un ago in un pagliaio – e non un pagliaio “normale”, ma uno pieno di trappole tese dagli stessi cybercriminali con l’obiettivo di portare chi studia le minacce su strade sbagliate.
Partiamo dall’inizio. I ricercatori del GReAT di Kaspersky Lab (il Global Research and Analysis Team) quando si trovano di fronte ad un attacco APT cercano di affidarsi a degli indizi, dai quali provare ad individuare la fonte dell’attacco stesso; anche chi si occupa di altre aree di ricerca procede allo stesso modo. Questi indizi sono, in realtà, degli errori dal punto di vista operativo, fatti dagli stessi autori di cyberminacce nel momento in cui mettono in atto i loro piani.
Si dice che il crimine perfetto non esiste e questo vale anche per i crimini nel mondo informatico. Non importa quanto gli attaccanti si impegnino nel cercare di non lasciare tracce, alcune cose sono del tutto inevitabili: i cybercriminali possono dimenticare alcune keyword, limitarsi a copiare e incollare un codice prendendolo da altri progetti o usare lo stesso account personale per i loro attacchi.
Per rendere più difficile il compito dei ricercatori, a volte creano appositamente alcuni di questi “errori”, che quindi non sono più dei veri e propri indizi, bensì dei “falsi positivi” (in gergo “false flag”), creati ad hoc per fare in modo che i ricercatori vadano fuori strada: i criminali possono usare parole prese da un linguaggio che non è il loro, magari usando codici presi volontariamente da altre campagne con l’obiettivo di far pensare ad altri gruppi autori di minacce APT.
Anche usare una lingua madre diversa dalla propria per far pensare ad un’altra nazionalità, però, può portare, a sua volta, a commettere altri errori: una parola scritta in modo scorretto, ad esempio, invece di portare chi indaga sulla strada sbagliata, come era previsto, può trasformarsi nell’indizio giusto.
Uno dei più complessi esempi di “false flag” sui quali i ricercatori di Kaspersky Lab hanno indagato è stato sicuramente il caso Olympic Destroyer: i cybercriminali avevano falsificato un artefatto (in informatica forense una traccia residua prodotta dal regolare funzionamento di un software o dalle interazioni con l’utente) molto difficile da manipolare; ancora più difficile, poi, si era rivelata la dimostrazione della sua effettiva falsificazione. Quasi come se il DNA di una persona fosse stato rubato e poi lasciato sulla scena del crimine dal vero autore del misfatto. Nonostante queste difficoltà, i ricercatori di Kaspersky Lab sono stati in grado di dimostrare che l’artefatto stesso era un falso: in altre parole, si trattava di un “false flag”.
Non importa quanto impegno dedichino alle loro attività, i responsabili degli attacchi informatici sono comunque esseri umani e non possono falsificare qualunque cosa. Solitamente i grafici che mostrano il loro workflow – quando iniziano a lavorare, quando fanno una pausa, quante ore al giorno lavorano – sono in grado di offrire delle informazioni molto preziose. Analizzando attentamente gli indizi disponibili – di solito la lingua utilizzata e il fuso orario – possiamo parlare di gruppi di autori di minacce APT che parlano, tra le altre lingue, il cinese, il russo, il coreano o l’inglese.
Crediamo che il nostro lavoro principale riguardi la ricerca delle risposte alle prime due domande; l’attribuzione piena dovrebbe restare nelle mani delle forze dell’ordine che hanno una visione più ampia rispetto a quella a disposizione delle aziende private. Tuttavia, siamo anche convinti del fatto che la cooperazione tra i governi e i principali player del settore della sicurezza informatica è essenziale per rendere il mondo un luogo più sicuro e per far sì che un maggior numero di autori di cyberminacce venga assicurato alla giustizia.
La nostra azienda è fortemente impegnata nel sostegno di questo tipo di iniziative, tanto da promuovere valori come la trasparenza e la fiducia nell’intero settore della sicurezza informatica: la Paris Call per la fiducia e la sicurezza nel cyberspazio, ad esempio, rappresenta un passo importante in questa direzione.
La cooperazione è un valore particolarmente importante al giorno d’oggi: lo spazio virtuale è diventato più pericoloso che mai, proprio perché la guerra informatica non segue regole e non è costretta da confini di tipo fisico. Kaspersky Lab crede che le armi informatiche ricopriranno un ruolo sempre più importante nell’arsenale bellico delle nazioni e che gli attacchi informatici futuri punteranno sempre di più a colpire le infrastrutture critiche. Alcuni esempi li abbiamo già visti negli ultimi tempi in paesi come l’Ucraina, l’Arabia Saudita o il Venezuela.
Guardando il quadro generale della situazione e prendendo in esame la complessità dei cyberattacchi e il loro numero, in continua crescita, si può facilmente capire perché gli autori delle minacce rimangano sconosciuti nella maggior parte dei casi e perché solo pochi vengano effettivamente indagati in modo approfondito e poi scoperti. Se paragonassimo l’indagine sui cyberattacchi a un videogioco, capire ciò che è effettivamente successo rappresenterebbe il primo livello ; trovare il modo di risolvere l’attacco, con una chiave di decrittazione, ad esempio, potrebbe essere il secondo livello.
Collegare l’attacco stesso ad un determinato autore della minaccia, come ai gruppi APT noti con nomi come Equation, Desert Falcons o Lazarus, vorrebbe dire sconfiggere il mostro finale. Questo è un caso raro e molto fortunato che può verificarsi in caso di un lavoro congiunto da parte degli investigatori informatici e delle forze dell’ordine, che collaborano e riescono alla fine a catturare gli autori della minaccia, come accaduto nel caso di CoinVault.
Una cosa è certa: la missione dei ricercatori di Kaspersky Lab è quella di trovare il maggior numero possibile di elementi, ma solo la cooperazione tra le società di sicurezza informatica e i governi può portare, quando possibile, a completare l’intero puzzle.
Ott 02, 2024 0
Set 30, 2024 0
Set 30, 2024 0
Set 23, 2024 0
Ott 04, 2024 0
Ott 03, 2024 0
Ott 02, 2024 0
Ott 02, 2024 0
Ott 03, 2024 0
Dopo essere entrata in vigora il 17 gennaio 2023, la NIS2...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Ott 01, 2024 0
I ricercatori di ESET hanno scoperto che di recente il...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Set 24, 2024 0
Negli ultimi anni gli ambienti OT sono diventati sempre...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Ott 04, 2024 0
Fino a neanche un mese fa l’applicazione di ChatGPT...Ott 03, 2024 0
Dopo essere entrata in vigora il 17 gennaio 2023, la...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Ott 02, 2024 0
Tra le minacce alla sicurezza aziendale, l’errore...Ott 02, 2024 0
I ricercatori di Bitsight TRACE hanno individuato alcune...