Aggiornamenti recenti Settembre 21st, 2023 2:00 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Intel presenta Project Amber, una trust authority per la certificazione remota delle risorse
- La Cina accusa gli Stati Uniti di cyberspionaggio contro Huawei
- Earth Lusca torna all’attacco con una nuova backdoor
- Microsoft: una “gaffe” di sicurezza ha esposto 38TB di dati sensibili
- Il cybercrimine organizza competizioni per sviluppare nuovi metodi d’attacco
Attribuzione dei cyberattacchi: molto spesso un “puzzle” dal quale mancano dei pezzi
Fare il ricercatore informatico è qualcosa di molto stimolante, è un’attività che richiede tante competenze che fanno riferimento a professionalità tra loro diverse: bisogna essere un po’ programmatori, ma anche matematici, detective forensi, storici, archeologi, a volte anche psicologi. L’attività migliore e più stimolante per un ricercatore di sicurezza è, però, quella relativa all’indagine sugli attacchi APT, gli attacchi informatici più complessi, persistenti e pericolosi.
Nel settore della cybersecurity abbiamo un’esperienza più che ventennale, oltre che un background ricco variegato, e quando i nostri ricercatori si trovano di fronte ad attacchi di questo tipo le domande che si pongono sono, prima di tutto, “Cosa è successo?”, poi “Possiamo risolverlo?” e, solo alla fine, la domanda più intrigante di tutte: “Chi è il responsabile?” Rispondere a questa domanda vuol dire procedere con la cosiddetta “attribuzione”; a volte provare a determinare un’attribuzione per un ricercatore è un po’ come cercare un ago in un pagliaio – e non un pagliaio “normale”, ma uno pieno di trappole tese dagli stessi cybercriminali con l’obiettivo di portare chi studia le minacce su strade sbagliate.
Partiamo dall’inizio. I ricercatori del GReAT di Kaspersky Lab (il Global Research and Analysis Team) quando si trovano di fronte ad un attacco APT cercano di affidarsi a degli indizi, dai quali provare ad individuare la fonte dell’attacco stesso; anche chi si occupa di altre aree di ricerca procede allo stesso modo. Questi indizi sono, in realtà, degli errori dal punto di vista operativo, fatti dagli stessi autori di cyberminacce nel momento in cui mettono in atto i loro piani.
Si dice che il crimine perfetto non esiste e questo vale anche per i crimini nel mondo informatico. Non importa quanto gli attaccanti si impegnino nel cercare di non lasciare tracce, alcune cose sono del tutto inevitabili: i cybercriminali possono dimenticare alcune keyword, limitarsi a copiare e incollare un codice prendendolo da altri progetti o usare lo stesso account personale per i loro attacchi.
Per rendere più difficile il compito dei ricercatori, a volte creano appositamente alcuni di questi “errori”, che quindi non sono più dei veri e propri indizi, bensì dei “falsi positivi” (in gergo “false flag”), creati ad hoc per fare in modo che i ricercatori vadano fuori strada: i criminali possono usare parole prese da un linguaggio che non è il loro, magari usando codici presi volontariamente da altre campagne con l’obiettivo di far pensare ad altri gruppi autori di minacce APT.
Anche usare una lingua madre diversa dalla propria per far pensare ad un’altra nazionalità, però, può portare, a sua volta, a commettere altri errori: una parola scritta in modo scorretto, ad esempio, invece di portare chi indaga sulla strada sbagliata, come era previsto, può trasformarsi nell’indizio giusto.
Uno dei più complessi esempi di “false flag” sui quali i ricercatori di Kaspersky Lab hanno indagato è stato sicuramente il caso Olympic Destroyer: i cybercriminali avevano falsificato un artefatto (in informatica forense una traccia residua prodotta dal regolare funzionamento di un software o dalle interazioni con l’utente) molto difficile da manipolare; ancora più difficile, poi, si era rivelata la dimostrazione della sua effettiva falsificazione. Quasi come se il DNA di una persona fosse stato rubato e poi lasciato sulla scena del crimine dal vero autore del misfatto. Nonostante queste difficoltà, i ricercatori di Kaspersky Lab sono stati in grado di dimostrare che l’artefatto stesso era un falso: in altre parole, si trattava di un “false flag”.
Non importa quanto impegno dedichino alle loro attività, i responsabili degli attacchi informatici sono comunque esseri umani e non possono falsificare qualunque cosa. Solitamente i grafici che mostrano il loro workflow – quando iniziano a lavorare, quando fanno una pausa, quante ore al giorno lavorano – sono in grado di offrire delle informazioni molto preziose. Analizzando attentamente gli indizi disponibili – di solito la lingua utilizzata e il fuso orario – possiamo parlare di gruppi di autori di minacce APT che parlano, tra le altre lingue, il cinese, il russo, il coreano o l’inglese.
Crediamo che il nostro lavoro principale riguardi la ricerca delle risposte alle prime due domande; l’attribuzione piena dovrebbe restare nelle mani delle forze dell’ordine che hanno una visione più ampia rispetto a quella a disposizione delle aziende private. Tuttavia, siamo anche convinti del fatto che la cooperazione tra i governi e i principali player del settore della sicurezza informatica è essenziale per rendere il mondo un luogo più sicuro e per far sì che un maggior numero di autori di cyberminacce venga assicurato alla giustizia.
La nostra azienda è fortemente impegnata nel sostegno di questo tipo di iniziative, tanto da promuovere valori come la trasparenza e la fiducia nell’intero settore della sicurezza informatica: la Paris Call per la fiducia e la sicurezza nel cyberspazio, ad esempio, rappresenta un passo importante in questa direzione.
La cooperazione è un valore particolarmente importante al giorno d’oggi: lo spazio virtuale è diventato più pericoloso che mai, proprio perché la guerra informatica non segue regole e non è costretta da confini di tipo fisico. Kaspersky Lab crede che le armi informatiche ricopriranno un ruolo sempre più importante nell’arsenale bellico delle nazioni e che gli attacchi informatici futuri punteranno sempre di più a colpire le infrastrutture critiche. Alcuni esempi li abbiamo già visti negli ultimi tempi in paesi come l’Ucraina, l’Arabia Saudita o il Venezuela.
Guardando il quadro generale della situazione e prendendo in esame la complessità dei cyberattacchi e il loro numero, in continua crescita, si può facilmente capire perché gli autori delle minacce rimangano sconosciuti nella maggior parte dei casi e perché solo pochi vengano effettivamente indagati in modo approfondito e poi scoperti. Se paragonassimo l’indagine sui cyberattacchi a un videogioco, capire ciò che è effettivamente successo rappresenterebbe il primo livello ; trovare il modo di risolvere l’attacco, con una chiave di decrittazione, ad esempio, potrebbe essere il secondo livello.
Collegare l’attacco stesso ad un determinato autore della minaccia, come ai gruppi APT noti con nomi come Equation, Desert Falcons o Lazarus, vorrebbe dire sconfiggere il mostro finale. Questo è un caso raro e molto fortunato che può verificarsi in caso di un lavoro congiunto da parte degli investigatori informatici e delle forze dell’ordine, che collaborano e riescono alla fine a catturare gli autori della minaccia, come accaduto nel caso di CoinVault.
Una cosa è certa: la missione dei ricercatori di Kaspersky Lab è quella di trovare il maggior numero possibile di elementi, ma solo la cooperazione tra le società di sicurezza informatica e i governi può portare, quando possibile, a completare l’intero puzzle.
Condividi l'articolo
Germania: backdoor in 4 modelli di smartphone Android
La sicurezza? Prima di tutto è una questione di cultura
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Il cybercrimine organizza competizioni per sviluppare nuovi... Uno dei modi migliori per condividere idee e favorire la... -
DDoS tramite dispositivi IoT: una minaccia sempre più... I dispositivi IoT stanno trasformando l’operatività... -
Fine Grain Password: un servizio Microsoft per gestire... La sicurezza delle password è un aspetto cruciale per... -
Le PMI italiane nel mirino dei ransomware Il fenomeno dei ransomware non si arresta e, anzi, continua... -
L’Italia è il quinto paese al mondo per furto di... Il furto di account rimane uno dei principali problemi di...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Intel presenta Project Amber, una trust authority per la... Nel corso di Innovation 2023, Intel ha annunciato il... -
La Cina accusa gli Stati Uniti di cyberspionaggio contro... Sale la tensione tra Pechino e Washington: la Cina ha... -
Earth Lusca torna all’attacco con una nuova backdoor Earth Lusca è ancora in attività: il gruppo... -
Microsoft: una “gaffe” di sicurezza ha esposto... I ricercatori di Wiz, compagnia di sicurezza per il... -
Nasce HWG Sababa, il polo per guidare imprese e istituzioni... HWG, azienda di servizi gestiti e consulenza cyber, e...
Ransomware: la serie
No posts found.
