La prossima generazione di hacker in Cina non sarà quella criminale bensì statale e dedicata allo spionaggio: e anche se I criminali hanno una lunga storia di spionaggio informatico per conto della Cina.
Protetti dall’azione penale dalla loro affiliazione con il Ministero della sicurezza di Stato cinese (MSS) – afferma TechCruch – i criminali trasformati in hacker governativi conducono molte delle operazioni di spionaggio cinese anche se nelle intenzioni di Pechino c’è quella di avvalersi di nuove leve e pool di talenti non contaminato. Tra gli obiettivi infatti del presidente Xi vi è quello di ridurre la corruzione, prendendo di mira le relazioni tra gli hacker a contratto e i loro gestori, in un’ampia campagna rivolta all’anti-corruzione.
…nel 2017, la Central Cyberspace Administration of China ha annunciato un premio per le World-Class Cybersecurity Schools ; un programma che attualmente certifica undici scuole allo stesso modo in cui alcune agenzie governative statunitensi certificano le università come centri di eccellenza accademica nella difesa o nelle operazioni cibernetiche.
Si prospetta una Cina diversa da quella di oggi? Una cosa è certa, gli hacker, entro la fine del decennio saranno comuqnue più professionalizzati e la criminalità non sarà più la norma. Cosa invece che non cambierà in materia di spionaggio, comportamento accettato nelle relazioni internazionali.
Questo cambio di irezione può anche far pensare ad un cambiamento nelle tattiche operative ma soprattutto a nuove operazioni anticirimine invece contro i criminali informatici. Inoltre con a disposizione più hacker statali le campagne di spionaggio nonsaranno migliori ma sicuramente diventeranno più frequenti. Questo è un motivo per gli altri paesi per non abbassare la guardia.
Intanto il progettoTechCrunch Global Affairs esamina il rapporto sempre più intrecciato tra il settore tecnologico e la politica globale: l’ordine mondiale del 21° secolo sarà determinato da chi controlla la tecnologia più avanzata e così il destino degli stati dipenderà dalle tecnologie in loro possesso. Probabilmente ora è arrivato il momento di scegliere da che parte stare.
L’attaccoSolarWinds desta allarme anche in Italia: come si legge su Key4Bitz, il Nucleo di Sicurezza Cibernetica si è riunito “per valutare ogni possibile impatto della campagna di attacchi informatici condotti attraverso la compromissione della piattaforma SolarWinds Orion anche sulle reti e sui sistemi nazionali”.
In realtà l’allarme – di enti pubblici e privati – è attualmente in tutto il mondo: il gruppo APT29 infatti riesce a piazzare le sue backdoors nel sistema della società statunitense per spiare poi gli enti statali che utlizzano i suoi servizi. Così anche l’autorità di regolamentazione della privacy dei dati del Regno Unito ha avvisato le organizzazioni sotto il suo controllo che dovrebbero “controllare immediatamente” se sono state colpite dall’hack di SolarWinds.
Valutare l’impatto non sarà semplice: ci vorranno anni – ammette Bruce Schneier, ricercatore di sicurezza informatica – per scoprire dove l’agenzia russa di spionaggio si penetrata e sopratutto dove ha ancora accesso.
Sulla lista dei principali sospettati ci sarebbe il nome del gruppo noto come Cozy Bear o APT29, sponsorizzato dal governo moscovita. Lo stesso gruppo, collegato in vari modi all’FSB nazionale russo e alle agenzie SVR straniere, è stato accusato dall’agenzia britannica NCSC di aver preso di mira i laboratori di ricerca sui farmaci nel Regno Unito, negli Stati Uniti e in Canada a luglio. Il suo obiettivo: quello di “rubare informazioni e proprietà intellettuale relative allo sviluppo e al test dei vaccini Covid-19“.
Andrea Biraghi – Attacco informatico agli USA? Colpite le agenzie federali e i Dipartimenti del Tesoro e del Commercio
Attacco Solar Winds: i consigli del CSIRT Italia
Intanto la società di sicurezza informatica di Solarwinds Orion ha fatto rischiesta ai clienti di effettuare un immediato aggiornamento alle versioni più recenti dei suoi servizi e piattaforma.
Il CSIRT Italia ha dedicato una pagina a riguardo con la descrizione e i potenziali impatti dell’attacco, avvisando del rischio elevato che si corre. Consigliainfatti che fino a quando non usciranno gli aggiornamenti bisognerebbe “disconnettere i sistemi su cui è installato il prodotto fino alla verifica degli aggiornamenti rilasciati dalla società“. Qundi viene caldamente sconsigliato l’utlizzo di piattaforme obsolete iniziando al più presto un’analisi delle attività sospette e possibili azioni di mitigazione.
Leggi anche: Gli Hacker di Stato e gruppi ransomware raffinano le tattiche per infliggere più danni nel 2021
Le economie dei governi di tutto il mondo fanno sempre più affidamento su infrastrutture dipendenti dallo spazio; si è quindi aperta una nuova frontiera per la sicurezzainformatica.
Looking for Space Security
Sembra un’epoca passata quando avevamo bisogno di fare riferimento a una mappa cartacea per orientarci in una nuova città o trovare i migliori sentieri escursionistici. Oggi, la maggior parte di noi apre semplicemente Google Maps sul proprio smartphone per trovare la nostra posizione esatta, grazie ai satelliti GPS che orbitano a 20.200 km sopra le nostre teste.
Solo pochi anni fa, la connessione Internet su un aereo era inaudita. Ora possiamo navigare su un volo transatlantico grazie ai satelliti per le comunicazioni a circa 35.000 chilometri di distanza. La maggior parte di noi dà per scontata la tecnologia spaziale nella vita di tutti i giorni.
Con i satelliti che supportano le comunicazioni globali – per non parlare di una serie di funzioni economiche, governative e militari quotidiane – non dovrebbe sorprendere che si tratti anche un potenziale obiettivo per i criminali informatici.
Poiché Internet stesso si estende fino all’ultima frontiera, potenzialmente alle colonie umane su Marte, quando SpaceX o qualche altra agenzia o azienda riuscirà a crearle in un futuro non così lontano, è importante esplorare le più ampie implicazioni della sicurezza informatica nell’era dello spazio. La nostra schiacciante dipendenza dalla tecnologia spaziale ci pone in una posizione precaria.
La sicurezza dei satelliti GPS nello spazio
In settori come i trasporti e la logistica, i dati sulla posizione vengono registrati regolarmente in tempo reale dai satelliti GPS e inviati ai back office consentendo ai team di monitorare i conducenti e le risorse. Le organizzazioni che hanno avamposti remoti o navi oceaniche ovviamente non possono connettersi online tramite una rete mobile o via cavo, devono invece utilizzare i satelliti per le comunicazioni. Inoltre, i satelliti memorizzano le informazioni sensibili che raccolgono da soli, che potrebbero includere immagini di installazioni militari riservate o infrastrutture critiche. Tutti questi dati sono obiettivi interessanti per vari tipi di criminali informatici.
Fonte Immagine: Longitude 109 – Looking for space Security, Andrea Biraghi.
La continua proliferazione dell’esplorazione spaziale non farà che aumentare la portata del nostro ambiente connesso. Dato l’elevato valore dei dati memorizzati sui satelliti e altri sistemi spaziali, sono bersagli potenzialmente interessanti per chiunque voglia sfruttare questa situazione per realizzare un profitto illegale. Sebbene risiedere nel vuoto dello spazio profondo li renda meno vulnerabili agli attacchi fisici, i sistemi spaziali sono ancora controllati da computer a terra. Ciò significa che possono essere infettati proprio come qualsiasi altro sistema informatico più vicino a noi. Gli aggressori non devono nemmeno essere hacker provenienti esclusivamente da nazioni che trattano o lavorano con lo “spazio”, così come non hanno nemmeno bisogno di avere accesso fisico diretto ai sistemi di controllo appartenenti a organizzazioni come NASA, ESA o Roscosmos. In un mondo così interconnesso, hanno tempi facili.
Fonte Immagine: Longitude 109 – Looking for space Security, Andrea Biraghi.
Mentre i sistemi di navigazione satellitare come GPS (USA), GLONASS (Russia) e Beidou (Cina) potrebbero non essere gli obiettivi più facili da hackerare, ci sono dozzine di altri proprietari di satelliti per comunicazioni globali che non hanno assolutamente lo stesso livello di protezione. Inoltre, migliaia di altre società affittano la larghezza di banda dai proprietari di satelliti per vendere servizi come TV satellitare, telefono e Internet. Poi ci sono centinaia di milioni di cittadini e aziende in tutto il mondo che li utilizzano. In altre parole, è una superficie di attacco potenziale molto ampia collegata direttamente a Internet.
Secondo Will Roper della US Air Force, ci affidiamo ancora alle procedure di sicurezza informatica degli anni ’90 per proteggere i satelliti orbitali. Questo perché i sistemi basati sullo spazio sono tipicamente costruiti in un ambiente a scatola chiusa o (scusate il gioco di parole) nel vuoto. Il problema è che quasi tutti i sistemi oggi contengono software: la Stazione Spaziale Internazionale è basata sul sistema operativo Linux e il Mars Curiosity Rover esegue il VxWorks altamente specializzato sui suoi computer di bordo.
La criticità di qualsiasi tipo di software è che può contenere bug che i cybercriminali potrebbero tentare di sfruttare. Ad esempio, immagina il tipo di ransomware che i criminali informatici potrebbero chiedere se rilevassero un satellite da 400 milioni di dollari. Per dimostrare il rischio, oltre a sensibilizzare l’opinione pubblica sul loro programma di bug bounty, l’Air Force degli Stati Uniti ha recentemente sfidato gli hacker a tentare di dirottare un satellite in orbita.
La sicurezza nazionale, l’avanzamanto militare e la corsa allo spazio
Come molte tecnologie su cui siamo arrivati a fare affidamento, i sistemi spaziali sono in gran parte il risultato di obiettivi di sicurezza nazionale e avanzamento militare. La corsa allo spazio stessa era una competizione tra gli Stati Uniti e l’Unione Sovietica. Fortunatamente, le nazioni si sono unite per vietare le armi di distruzione di massa dallo spazio e promuovere l’uso pacifico dell’ultima frontiera.
Sfortunatamente, le più grandi potenze del mondo non stanno facendo un buon lavoro nel mantenere lo spazio un ambiente pacifico per tutti e hanno iniziato a fare pressione l’una sull’altra testando nuove capacità controverse. In effetti, i satelliti da ricognizione sono stati dispiegati nello spazio dagli anni ’50 e tutte le superpotenze del mondo ora dipendono da loro per prendere decisioni militari strategiche. Che si tratti di rilevare lanci di missili o intercettare onde radio vaganti, queste macchine gestiscono regolarmente alcuni dei dati più sensibili di tutti, il tipo di informazioni che potrebbero causare una guerra se finiscono nelle mani sbagliate.
Gli attacchi sponsorizzati dagli stati
Ovviamente, questo aumenta gli incentivi per gli aggressorisponsorizzatidallostato ad hackerare i loro rivali nello stesso modo in cui la commercializzazione dello spazio rende i satelliti per le comunicazioni obiettivi attraenti per i criminali informatici. Gli attacchi sponsorizzati dallo Stato contro le risorse spaziali potrebbero manifestarsi in vari modi: il disturbo del segnale GPS potrebbe rendere inutili i sistemi di guida missilistica. L’accesso a collegamenti satellitari non crittografati potrebbe consentire agli hacker di dirottare le comunicazioni satellitari. Le operazioni civili e militari potrebbero anche essere direttamente influenzate se gli Stati Uniti dovessero disattivare il GPS che è interamente di proprietà del governo degli Stati Uniti mentre viene utilizzato in tutto il mondo.
Galileo: il nuovo sistema di posizionamento
Proprio per far fronte a tale eventualità, nel 2003, l’Europa ha avviato il progetto Galileo, per creare un nuovo sistema di posizionamento. Questo progetto è nato dall’esigenza di evitare il monopolio commerciale statunitense sul servizio di posizionamento, che fino ad allora era l’unico disponibile. Per molto tempo, infatti, gli unici sistemi esistenti furono GPS e GLONASS, la versione russa, ma quest’ultimo rimase a lungo inefficiente. Per questo motivo è stato stabilito in tutto il mondo l’utilizzo esclusivo del servizio di posizionamento americano, in quanto è l’unico disponibile a livello globale.
L’idea nasce, non solo per evitare un monopolio commerciale, ma anche (e soprattutto) per la volontà di essere immuni dalla possibilità che il governo americano possa decidere le sorti del sistema di posizionamento mondiale, visto che gli USA si riservano il diritto di poter diminuire la precisione del servizio o addirittura di disattivarlo completamente. Un evento non solo teorico, ma avvenuto durante la Guerra del Golfo.
Lanciato ufficialmente nel 2003, il progetto europeo Galileo richiedeva un accordo tra l’Unione Europea e l’ESA (Agenzia spaziale europea); a differenza del GPS, il sistema di posizionamento Galileo garantisce la massima accuratezza, affidabilità ed esattezza in ogni momento e continuità di servizio. È rivolto al sistema globale ed è caratterizzato da un’elevata copertura, pensata per un uso non solo militare ma anche prevalentemente civile. Prevede infatti un miglioramento della precisione di posizionamento, riducendo la probabilità di errore, e una pronta risposta ad eventuali emergenze.
Nato molto più tardi rispetto al GPS, era dotato nativamente di sistemi di sicurezza per evitare attacchi informatici e / o jamming. In particolare il Programma Galileo incorpora nella sua base di servizi un servizio di autenticazione dei messaggi di navigazione, che consiste nella firma digitale dei dati di navigazione del servizio aperto (OS), per garantire l’autenticità dei dati, e un servizio di autenticazione commerciale (CAS), che consiste della crittografia di uno dei segnali Galileo per la protezione dagli attacchi di replay del segnale.
Le sfide globali della sicurezza informatica correlate alle tecnologie dello spazio
Questa è una chiara e tangibile dimostrazione di quanto sia grave il rischio per la sicurezza informatica correlato alla tecnologia spaziale. Tornando al contesto più ampio, la sfida più grande per la sicurezza informatica dell’era spaziale è quindi il fatto che così poche organizzazioni, tutte fortemente dipendenti dai finanziamenti di una manciata di governi, alla fine hanno il controllo su tutte le risorse spaziali. Quasi tutte le strutture di lancio del mondo sono di proprietà dei governi di Stati Uniti, Russia, Cina, Francia, Giappone e Corea del Sud. Più in basso nella gerarchia, ci sono altre dozzine di società che possiedono satelliti e molte società che possiedono sistemi di raccolta dati sulla superficie terrestre.
Ciò rappresenta un quadro piuttosto povero per la democratizzazione dei dati delle informazioni: la capacità per gli utenti finali di accedere alle informazioni digitali. Con il potere di garantire l’accesso e la gestione delle risorse digitali nello spazio nelle mani di così pochi, il rischio di attacchi è inferiore, ma tali sistemi sono anche obiettivi di alto valore per gli aggressori sponsorizzati dallo stato.
La sicurezza di dati nello spazio
Teniamo anche conto che le cose stanno gradualmente cambiando con la democratizzazione dello spazio e dei dati. Le società private promettono già di offrire modi più veloci ed economici per accedere allo spazio. Alcune aziende stanno persino lavorando per mettere l’archiviazione dei dati nel cloud dove è più sicuro dalle violazioni dei dati che si basano sull’interazione fisica: nello spazio. Tuttavia, se qualcuno ha accesso digitale, è tutto ciò che serve per compromettere il sistema, anche se risiede a migliaia di miglia di distanza dalla terra.
Allo stesso tempo, è difficile sostenere che lo spazio sia democratico quando è una frontiera esclusiva solo per gli individui, le imprese e i governi più ricchi del mondo.
Le cose cambieranno senza dubbio, ma potremmo dover aspettare qualche secolo prima che accada, nel frattempo assisteremo a una guerra silenziosa tra grandi potenze che sposterà anche la disputa sui dati, che ora è quotidiana qui sulla terra, nello spazio.
Secondo il rapporto Cyber Threatscape Report 2020 di Accenture gli hacker di stato e i gruppi criminali ransomware stanno raffinando le loro tattiche per infliggere ancora più danni. Nel rapporto vengono rivelate le minacce attuali nel panorama Cyber.
Cyber Threatscape – Rapporto 2020
Nuovi strumenti open source sono distribuiti in rete sfruttano i sistemi di posta elettronica e utilizzano l’estorsione online. Il rapporto, esamina le tattiche, le tecniche e le procedure impiegate dai criminali informatici ed hacker sponsorizzati dallo stato negli utlimi 12 mesi per comprendere e prevedere le loro prossime mosse e capire come potrebbero evolversi gli incidenti informatici nel 2021.
Gli attori delle minacce stanno impiegando nuovi TTP per aiutare a raggiungere i loro obiettivi di lunga data di sopravvivenza del regime, accelerazione economica, superiorità militare, operazioni di informazione e spionaggio informatico.
Il ransomware è diventato sempre più popolare tra i malintenzionati, poiché il furto di dati aumenta la pressione sulle vittime: tra gli attacchi ransomware rivoluzionari la minaccia Maze5
Hacker di stato e cyber crime: il rapporto Accenture 2020
Il rapporto Accenture è essenzialmente diviso in 5 punti principali e identifica quattro elementi di sicurezza adattiva che possono aiutare: una mentalità sicura, accesso sicuro alla rete, ambienti di lavoro protetti e collaborazione flessibile e sicura. La vera necessità è quella poi di comprendere le sfide per aumentare la resilienza.
Identifica cosi 5 fattori che stanno influenzando il panorama delle minacce informatiche:
1 – La trasformazione digitale e la pandemia di Covid hanno accelerato il bisogno di una sicurezza adattiva, ove prevenire è meglio che curare.
Le problematiche relative al lavoro da remoto, ad esempio, hanno messo alla prova il monitoraggio della sicurezza delle imprese, dalle piattaforme ai dispositivi. In questo caso si è rilevato a un aumento delle opportunità di ingegneria sociale. I gruppi di cyber-spionaggio e i criminali informatici hanno tentato e tentano di trarre vantaggio da dipendenti vulnerabili che non hanno familiarità con la gestione dei loro ambienti tecnologici.
Le interruzioni mondiali, economiche e aziendali hanno posto enormi sfide finanziarie alle imprese. Tali pressioni fluiscono inevitabilmente verso le operazioni di sicurezza delle informazioni per mantenere o aumentare la copertura sotto vincoli sempre più rigidi.
2 – L’economia è sempre quindi più vulnerabile e i criminali informatici continueranno a lavorare per monetizzare l’accesso ai dati o alle reti, forse in modo più frequente. I gruppi del cybercrime stanno adottando nuove tecniche mirando ai sistemi che supportano Microsoft Exchange7 e OWA, come i server di accesso client (CAS).
Tutto ciò corrisponde ad una sfida per la cybersecurity, oltre al fatto che gli hacker di stato sono sempre più difficili da rilevare , identificare e minitorare. Accenture afferma che i CISO dovrebbero impegnarsi con i leader aziendali per pianificare, prepararsi e fare pratica per una maggiore resilienza della sicurezza informatica, supportati dalle giuste risorse e investimenti.
3 – I cyber attacchi sono più complicati da rilevare, riescono a nascondere bene le loro tracce e sempre più organizzati, tendendo a compromettere le supply chain delle loro vittime. I gruppi di minacce riconosciuti hanno preso di mira organizzazioni governative e società, portando al furto di informazioni. Queste attività sono avvenute in Europa, Nord America e America Latina, e c’è stata un’attività significativa rivolta alle economie emergenti e all’India.
4 – Il ransomware diviene sempre più un modello di business redditizio e scalabile. Il riscatto e l’approcio “nome e vergogna” aumentano la pressione sulle vittime affinchè paghino. Vd Maze Ransomware.
5 – I sistemi e i dispositivi sono esposti a sempre maggiore connettività: i dispostivi Cloud sono sempre più diffusi come le minacce OT (Opreational Technology) che richiedono livelli di sicurezza adeguati.
Cyberspionaggio: una nuova campagna di spionaggio condotta da un gruppo hacker sponsorizzato dallo stato è attiva con l’intento di rubare informazioni.
Il Threat Hunter Team di Symantec, una divisione di Broadcom (NASDAQ: AVGO), che lo ha scoperto, ha precisato che gli attacchi – diretti contro organizzazioni in Cina, Taiwan, Giappone e Stati Uniti – sono stati collegati ad un gruppo di spionaggio noto come Palmerworm – alias BlackTech – che ha una storia di campagne che risalgono al 2013. I suoi attacchi sono rimasti inosservati su un sistema compromesso per quasi sei mesi, prendendo di mira le organizzazioni nei settori dei media, dell’edilizia, dell’ingegneria, dell’elettronica e della finanza.
Hacking e spionaggio
Cyberspionaggio: gli attacchi mirati dei gruppi APT
L’attività dei gruppi ATP – che continuano ad essere molto attivi – è sempre più difficile da rilevare: ciò sottolinea la necessità di avere soluzioni complete di sicurezza in grado di rilevarli. APT, ovvero advanced persistent threat, sono una tipologia di attacchi mirati e persistenti:
APT come ‘attacco’ e APT come ‘gruppo hacker’. Nel primo caso, si intente un cyberattacco mirato e persistente. Nel secondo caso, ci riferiamo al gruppo, spesso ben finanziato, che ha organizzato l’attacco.
Gli attacchi APT quindi sono attacchi mirati volti principalmente ad infettare un computer di una persona specifica: l’obiettivo finale è infatti quello di compromettere un computer con specifici dati di valore. Tutto ciò avviene spesso colpendo obiettivi lontani dall’obiettivo finale, per poi organizzare attacchi a catena per raggiungere l’obiettivo finale
Le principali motivazioni del gruppo Palmerworm APT, considerato un gruppo di spionaggio, potrebbero essere quindi quelle di rubare informazioni da aziende mirate. Secondo quanto affermato da Symantec la sua attività è rimasta inosservata per quasi sei mesi.
La campagna del gruppo Palmerworm – BlackTech
Per la campagna di Cyberspionaggio il gruppo Palmerworm utilizza una combinazione di malware personalizzato, strumenti a doppio uso e tattiche di vita fuori terra in questa campagna. Palmerworm è attiva almeno dal 2013, con la prima attività vista in questa campagna nell’agosto 2019.
Anche se le loro motivazioni non appaiono chiare, si pensa che il gruppo stia espandendo le campagne per abbracciare una serie di obiettivi più ampia e geograficamente diversificati. Infatti la maggior parte di questi attacchi non sono affatto un singolo evento, ma parte di una lunga catena per saltare da un computer all’altro.
Gli strumenti utilizzati sono dual-use e malware personalizzato,da utilizare solo quando necessario:
Backdoor.Consock
Backdoor.Waship
Backdoor.Dalwit
Backdoor.Nomri
Oltre a queste 4 backdoor, vengono utilizzati diversi strumenti a duplice uso, tra cui: Putty, PSExec, SNScan – per la ricognizione di rete – e WinRAR. Il malware trojan fornisce agli aggressori una backdoor segreta nella rete: PSExec e SNScan, vengono sfruttati per muoversi nella rete e WinRar viene utilizzato per comprimere i file, rendendoli più facili per gli aggressori da estrarre.
