Così i primi 100 giorni di guerra hanno cambiato (per sempre?) il cyber crimine: le nuove minacce
Data: 24 Giugno 2022

di Lorenzo Nicolao

I gruppi più pericolosi, le principali minacce e i nuovi bersagli, come istituzioni e ministeri. In un report di Leonardo come gli hacker hanno modificato il tiro dopo l’iniziativa bellica russa

A quasi quattro mesi dallo scoppio del conflitto in Ucraina anche la criminalità informatica e la cyberwar tra collettivi di hacker, gruppi criminali e Stati è radicalmente cambiata, con realtà che si sono esposte più di altre, contesti geopolitici che ne sono stati maggiormente coinvolti e nuovi obiettivi, a volte pubblicamente designati, che sono stati colpiti da nuove minacce oppure da strumenti già ampiamente utilizzati in questo ambito, mentre altri sono stati gradualmente dimenticati.

Non si tratta solo dell’interventismo di Anonymous o dei principali gruppi che hanno invece scelto di abbracciare la causa del Cremlino. Anche se la dimensione cyber non è più una novità nell’ambito della guerra tra Mosca e Kiev, con un significativo coinvolgimento dell’Occidente, siamo giunti a un tempo relativamente significativo per permettere a realtà come il Cyber Threat Intelligence Team di Leonardo di delineare l’impatto della guerra in termini di gruppi più attivi negli ultimi mesi, le armi informatiche maggiormente utilizzate e le realtà più a rischio, anche in Italia. Un report specifico sul tema ha fatto maggiore chiarezza sugli attori in gioco e sulle loro mosse per i primi tre mesi di guerra, ma non solo quelli direttamente legati a quanto sta accadendo nella regione interessata dall’invasione delle truppe di Vladimir Putin.

I gruppi più attivi

A livello globale le attività più rilevanti sono quelle finalizzate allo spionaggio e nel corso delle ultime settimane si sono particolarmente messe in mostra realtà come il gruppo russo APT29 (e APT27), il collettivo iraniano MuddyWater e i cybercriminali cinesi APT41o e Deep Panda, abili nello sfruttare le falle nella sicurezza di sistemi come Microsoft Exchange, Zoho SelfService e Log4Shell presente in VMWare Horizon. I gruppi APT sono tra gli emergenti, la maggior parte dei collettivi erano invece già conosciuti, solo che la maggiore complessità degli attacchi ha costretto aziende e istituzioni a innalzare solide difese e sistemi di sicurezza più adeguati.

Molti di questi criminali sono sponsorizzati a livello statale, come nel caso della Russia, ma non mancano quelli che, come MuddyWater, guardano al contesto del Medioriente o la cinese Earth Lusca, realtà che spia principalmente i movimenti politici che vorrebbero promuovere i diritti e la liberà a Hong Kong. Il gruppo cinese Mustang Panda si è invece distinto particolarmente nei tentativi di disturbo ai servizi europei e agli enti che ogni giorno provano ad accogliere il maggior numero possibile di rifugiati ucraini. TA2541 è invece un gruppo che ha rappresentato più volte una minaccia per il settore dell’aviazione, un ambito particolarmente delicato in un periodo storico come quello presente. Già noto in occidente è infine Lapsus$, solo per citare i principali, per via della sottrazione di molti dati riservati di progetti Microsoft come Bing e Cortana.

Le principali minacce

Gli strumenti a disposizione dei cybercriminali sono tanti, ma tra le minacce emergenti più significative spiccano i cosiddetti «backdoor», ovvero metodi per aggirare la normale autenticazione di un prodotto o di un sistema informatico, come sistemi criptati o algoritmi (i più diffusi dallo scoppio del conflitto sono SysJoker, xPack, Marlin, SockDetour, Small Sieve, Starwhale, Gramdoor e Daxin, a seconda dei sistemi operativi presi di mira e dell’area geografica di interesse.

Di fatto per gli hacker sono un modo per riuscire ad accedere da remoto a computer di istituzioni e aziende, ministeri e realtà governative comprese. In questo modo si può entrare in possesso del computer vittima. Tale strumento si rivela chiaramente l’arma più potente per chi vuole delinquere, dal momento che i tanto diffusi ransomware (che rimangono comunque una costante), utilizzati principalmente per carpire informazioni e dati e restituirle solo mediante il pagamento di un riscatto, hanno forse un impatto minore in un contesto di guerra, mentre in altre circostanze sono stati utilissimi per finanziare l’attività criminale e foraggiare il sistema, proprio come fosse la dinamica di un rapimento.

Attualmente i più diffusi sono AvosLocker, White Rabbit, Chaos, DeadBolt, Sugar, Zeon, Hive e Nokoyawa. Secondo il report pubblicato da Leonardo risultano invece sempre meno utilizzati i Botnet e i Trojan, tipi di virus e malware che, una volta immessi in un computer, procurano danni e malfunzionamento. La risposta chiara sulle tendenze della cybercriminalità sarebbe quindi quella di chiedersi «perché distruggere un obiettivo designato, molte volte ambito, se è oggi possibile prenderne il controllo?». Eccezione per i Remote Access Trojan (Rat), che sono essenzialmente quei malware che permettono di «bucare» un sistema, senza necessariamente distruggerlo (quelli che colpirono recentemente la Regione Lazio).

Gli obiettivi

Mentre prima della guerra le minacce informatiche e il comportamento di tanti collettivi poteva essere letto con un approccio anarchico, oggi gli obiettivi sono sempre più mirati e possono essere iscritti in ben precise categorie, data la frequenza degli attacchi e l’innalzamento della qualità e del grado di pericolosità degli stessi. Vere e proprie campagne di malspam, utilizzo delle email e altre comunicazioni per fini criminali, prendono di mira realtà aziendali e istituzioni, ma anche gli stessi dipendenti, che vi lavorano magari in smart working, collegati a reti Internet non propriamente sicure, ma detengono ugualmente l’accesso a piattaforme sensibili e informazioni riservate.

Dall’altra parte sono designati bersagli come prodotti utilizzati tanto in ambito IT (Information Technology), quanto in ambito OT (Operational Technology), comprendendo programmi specifici, sistemi cloud e motori di ricerca, anche diffusi, come Google Chrome e Mozilla Firefox. Nelle scorse settimane proprio importanti OT come Siemens e Schneider Electric hanno emesso diversi avvisi di sicurezza relativi a 50 vulnerabilità scoperte nei loro prodotti.

Le realtà esposte alla cybercriminalità sono comunque della più varie, con un significativo aumento dell’importanza e della rilevanza degli obiettivi designati. Per questo sono oggi chiamate a dotarsi di maggiore protezione organizzazioni internazionali, Ong e nel terzo settore (molto esposte agli hacker russi quelle che sostengono apertamente la popolazione ucraina), società informatiche e aziende che occupano settori strategici, anche a livello nazionale e regionale, fondazioni che operano nell’ambito della salute e della ricerca scientifica (particolarmente sensibili anche dopo la pandemia), ospedali, scuole, università (colpire soprattutto per carpire dati e informazioni personali di studenti e docenti), istituzioni in generale. Di particolare importanza il settore governativo e della Difesa, che dallo scoppio della guerra in poi è risultato tra i più colpiti. Le cyberoffensive in questo ambito possono essere rilevanti anche per l’andamento della guerra, sebbene gli arsenali più forti dei singoli Stati siano ancora, per il momento, le armi e le munizioni tradizionali.

24 giugno 2022 (modifica il 24 giugno 2022 | 07:26)

Fonte: https://www.corriere.it/tecnologia/22_giugno_24/cosi-primi-100-giorni-guerra-ucraina-hanno-cambiato-per-sempre-cyber-crimine-bb1ba0ce-f22e-11ec-9347-39962991c7ba.shtml