Cresce in tutto il mondo il cyber spionaggio e diventa più distruttivo

Chi sono i 10 gruppi di cyber spionaggio più pericolosi. Lo rivela Symantec nel suo Internet Security Threat Report (ISTR) 2017, in cui analizza le minacce alla cybersecurity. In linea generale, inoltre, la società rileva che c’è un incremento e una trasformazione delle azioni di spionaggio informatico. Queste, infatti, sono sempre più tese a verso azioni maggiormente aperte, concepite per destabilizzare e disturbare organizzazioni e paesi mirati. Inoltre, si presume che quanto avvenuto nei confronti dell’Ucraina e degli Usa, in relazione all’attacco al DNC, si ripeterà anche verso altre vittime. L’obiettivo sarà sempre quello di influenzare la politica e seminare discordia in altre nazioni.

Sandstorm, Housefly e Frithillary

Il primo gruppo di hacker, specializzato nel cyber spionaggio e sabotaggio è SANDSORM (alias Quedagh, BE2 APT). È russo e come tattiche e procedure (TTP) usa Watering holes, cd-rom e chiavette USB infette, vulnerabilità, zero- days, custom back door, worms e programmi per il furto di informazioni. Ha colpito finora governi, organizzazioni internazionali e il settore energetico in Europa e negli Stati Uniti. È collegato agli attacchi ai media e alle infrastrutture energetiche in Ucraina. Il secondo è lo statunitense HOUSEFLY (alias Equation), Usa le stesse TTP del precedente gruppo e colpisce obiettivi d’interesse per gli attori a livello di nazione. Il terzo è il russo FRITILLARY (anche noto come Cozy Bear, Office Monkeys, EuroAPT, Cozyduke e APT29). È associato all’attacco al DNC e come TTP usa spear phishing e custom back doors. Ha colpito governi, think tank e media in Europa e negli Usa.

Strider, Swallowtail, Suckfly e Candelle

A seguire c’è STRIDER (Remsec). Si ritiene sia occidentale, ma non ci sono altre informazioni in merito. È stato scoperto da Symantec nel 2016 e usa tools per la sorveglianza avanzata. Ha colpito ambasciate e compagnie aree di Russia, Cina, Svezia e Belgio. Il quinto gruppo di hacker è il russo SWALLOWTAIL (Fancy Bear, APT28, Tsar Team, Sednit). Ha colpito governi in Europa e Stati Uniti ed è associato agli attacchi al DNC e alla Wada. Impiega le medesime TTP di SANDSTORM. In sesta posizione ci sono i cinesi di SUCKFLY. I bersagli sono E-commerce, governi, il settore tecnologico, l’healthcare, quello finanziario e delle spedizioni. Al settimo posto ci sono gli iraniani di CADELLE. Le vittime sono compagnie aeree, cittadini della Repubblica sciita, ONG, governi e aziende delle Tlc. Sono specializzati nella sorveglianza su bersagli interni in Iran e su organizzazioni in Medio Oriente.

Buckeye, Appleworm e Tick

In ottava posizione ci sono i cinesi di BUCKEYE (APT3, UPS, Gothic Panda, TG-0110). In passato hanno colpito obiettivi militari, dell’industria della Difesa, dei media e dell’educazione negli Usa e nel Regno Unito. Ultimamente, invece, hanno concentrato la loro attenzione su Hong Kong. In penultima posizione ci sono gli hacker nord coreani di APPLEWORM (Lazarus). Questi, oltre alle TTP precedentemente elencate utilizzano attacchi DDoS e payload distruttivi. I bersagli sono istituzioni finanziarie, militari, governi, dell’elettronica e dell’entertainment. Sono collegati al cyber attacco alla Bangladesh Bank. Infine, ci sono i cinesi di TICK. Le loro vittime sono realtà in ambito tecnologico, delle trasmissioni e dell’ingegneria idrica. In particolare in Giappone, verso cui stanno conducendo una campagna di cyber spionaggio e – a volte – di sabotaggio da lungo tempo.

Il rapporto integrale ISTR 2017 di Symantec (file PDF)