L'analisi

AssetProtection. Attaccanti e vittime nel cyberspazio, chi attacca chi?

di Alberto Buzzoli, Socio ANSSAIF – Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria |

Troppo spesso si parla di hacker, ma al livello informativo, ci si concentra prevalentemente nel determinare tecnicamente la tipologia di attacco: Ransomware, DDoS, Botnet, e non si scende quasi mai nei dettagli nell'identificare vittime e aggressori.

La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.

Ormai non si parla d’altro che di attacchi hacker. Si titola anche molto spesso sulle testate on-line: “uno al giorno”. Magari! Purtroppo sono molti di più. La questione però è che troppo spesso, al livello informativo, ci si concentra prevalentemente nel determinare tecnicamente la tipologia di attacco: Ransomware, DDoS, Botnet, ecc. Ma non si scende quasi mai nei dettagli di chi attacca chi.

Esistono chiare relazioni tra cluster di attaccanti e cluster di vittime. E per ogni relazione tracciata tra le due tipologie di cluster sono identificate macroscopicamente le tecniche di attacco solitamente impiegate, il movente dell’attacco e le entità globali dei danni subiti. E’ il frutto del lavoro dell’ENISA, riportato nel Threat Landscape Report 2016 alla sezione Threat Agents, pubblicato on-line lo scorso febbraio 2017.

Queste specifiche informazioni forniscono un ottimo punto di partenza per poter sviluppare un’analisi del contesto più ampia e conseguentemente analizzare i rischi in modo più efficace, ritenendo che possa, in alcuni casi, costituire persino un modo per poter intravvedere il volo di un Cigno nero.

Gli attaccanti sono stati classificati in sette gruppi principali: criminali, dipendenti, attivisti, spie (poste in stretta relazione anche con enti governativi), combattenti, terroristi e imitatori (la traduzione qui riportata del termine inglese Script Kiddies è finalizzata a rendere l’idea di cosa fanno, ma certamente non risulta né letterale né precisa).

In base a quanto descritto nel TLR 2016 per ogni gruppo di attaccanti, è possibile classificare otto gruppi omogenei di vittime: banca e finanza, multinazionali relazionate a fonti energetiche (es. petrolio), grandi aziende, PMI e professionisti, settore della sanità, Stati e organizzazioni politiche, mondo sportivo, media e informazione.

A seguire, tenteremo di tracciare in modo particolarmente sintetico le relazioni e le relative caratteristiche dominanti, fermo restando che consigliamo la lettura della sezione specifica del TLR 2016.

Criminali: attaccano prevalentemente grandi aziende e PMI e professionisti, dimostrando di saper essere particolarmente incisivi anche con banca e finanza e nel settore sanità. Utilizzano tecniche incrociate di attacco che sfruttano contemporaneamente le vulnerabilità mobile, sociali e tecniche. Le finalità si concentrano sull’estorsione di denaro attraverso strumenti quali Ransomware e DDoS. Nello scorso anno, hanno fatto registrare danni per i 2/3 delle perdite totali rilevate nel cybercrime.

Dipendenti: nella maggior parte dei casi, a causa della mancata applicazione inconsapevole delle procedure e policy stabilite oppure a seguito di errori operativi, favoriscono l’esito positivo di attacchi basati su Phishing oppure codici malevoli su web. Hanno impatto prevalente per il cluster di vittime di grandi aziende e PMI e professionisti. Le informazioni sottratte possono riguardare principalmente quelle coperte da segreto industriale e le vulnerabilità più consistenti si concentrano su quelle figure apicali che dispongono di accessi estesi ma contemporaneamente, in alcuni casi, manifestano scarsa consapevolezza circa i rischi: in poche parole il vero anello debole della catena.

Attivisti: puntano prevalentemente, in base alla natura della contestazione che intendono sostenere, su banca e finanza, multinazionali relazionate a fonti energetiche, settore della sanità, stati e organizzazioni politiche e mondo sportivo. Prevalgono principalmente attacchi DDoS ed in alcuni casi la sottrazione di informazioni sensibili (attraverso i metodi più disparati) che vengono poi diffuse attraverso i media.

Spie: operano prevalentemente per  grandi aziende e Stati e organizzazioni politiche contro gli stessi gruppi. E’ difficile comprendere le tecniche utilizzate, poiché particolarmente evolute ed impiegate in modo silente. In alcuni casi gli stessi strumenti di attacco sono oggetto di furto. Gli attaccanti possono essere ricondotti anche a dipartimenti militari oppure ad agenzie governative nell’ambito di scenari di cyber-war; gli strumenti utilizzati possono essere paragonati a vere e proprie armi di distruzione di massa. Basti considerare come esempio la recente vicenda CIA WikiLeaks per comprendere le dinamiche pertinenti.

Combattenti: sono da considerare un mix tra spie, attivisti e terroristi. Ovvero operano per denaro, guadagnato sottraendo informazioni sensibili, ma sulla base di ideologie (anche religiose) condivise. Colpiscono prevalentemente Banca e finanza e Stati e organizzazioni politiche. Gli strumenti utilizzati per condurre le operazioni sono estesi a tutto campo, con particolare riferimento ai DDoS, all’impiego di tecniche di ingegneria sociale e al phishing.

Terroristi: Non si posseggono ancora informazioni specifiche, ovviamente secretate dai militari. Le attività principali sono condotte contro stati e organizzazioni politiche colpendo media e informazione. Per il momento si concentrano sullo sfigurare e dirottare siti web e account di social media. Ma l’obiettivo futuro sembra concentrarsi sul controllo dell’IoT, con particolare riferimento agli impianti di sorveglianza.

Imitatori: giocano a fare gli hacker, spesso inconsapevoli della potenza degli strumenti utilizzati (acquisiti con pochi spicci nel dark web). Colpiscono ovunque pur di dimostrare le proprie capacità impiegando i vettori più disparati. Spesso lo fanno per rancore nei confronti del proprio obiettivo oppure per motivazioni etiche e religiose; non sono però da confondere con attivisti e terroristi. Infatti, fortunatamente, dispongono di risorse economiche particolarmente limitate ed un livello motivazionale decisamente inferiore.

E’ possibile notare per il prossimo futuro un pericoloso flusso di competenze, via via crescente, nel settore militare. C’è da considerare – ma è ancora presto per farlo – che tipo di impatto avrà sulle imprese private e negli altri settori non direttamente coinvolti nelle guerre silenti tra stati. Infine è anche importante evidenziare un grande rischio per le giovani leve informatiche che, per passione o spavalderia, potrebbero cadere inconsapevolmente in questioni ben più grandi delle proprie possibilità.

Certo, con questo panorama conosciuto e quello ancora sconosciuto, che si può solamente immaginare, non c’è da stare per niente tranquilli.