skip to Main Content

Il cybercrime “su richiesta” si evolve. Ora sono gli stessi clienti a lanciare gli attacchi

Il Cybercrime “su Richiesta” Si Evolve. Ora Sono Gli Stessi Clienti A Lanciare Gli Attacchi

Marco Gioanola di NETSCOUT: Il cybercrime si evolve. Ora a lanciare le aggressioni cibernetiche sono gli stessi clienti degli attacks-as-a-service

Il cybercrime “su richiesta” si sta evolvendo. Ne è convinto Marco Gioanola, Senior Consulting Engineer e Services Architect di NETSCOUT. L’esperto di cyber security ha spiegato in un’analisi che sono in aumento i servizi di attacks-as-a-service, cioè gli aggressori che forniscono i propri servizi al miglior offerente. Inoltre, questi non si limitano a lanciare attacchi su obiettivi selezionati dai clienti, dietro compenso ma gli consegneranno direttamente gli strumenti DDoS, affinché siano loro stessi a fare il lavoro. Sebbene tali strumenti non siano una novità nella scena della criminalità informatica, la facilità di accesso, la rapida iterazione per includere nuovi tipi di cyber attacchi e l’ampio ventaglio di clienti internazionali consentono a un’orda di pirati informatici amatoriali di entrare in possesso di malware distruttivi. Con tutti i pericoli del caso, in quanto questi non sono in grado di prevedere che tipo di danno causeranno e quali conseguenze determinerà.

L’esperto di cyber security: Molti dei servizi booter e stressor, utilizzati dal cybercrime amatoriale, costano meno di 50 dollari e consentono a chiunque li “affitti” di lanciare attacchi contro qualsiasi bersaglio

Molti dei servizi booter e stressor, utilizzati dal cybercrime amatoriale, vengono offerti mediante pratiche commerciali comuni. Oppure utilizzando il modello SaaS per vendere abbonamenti mensili, che consentono ai clienti di poter lanciare attacchi cibernetici contro chi vogliono per meno di 50 dollari. Le transazioni vengono concluse con le cosiddette criptovalute o anche attraverso siti legittimi come PayPal. I profitti vengono poi destinati a finanziare le attività future dei criminali informatici. Il gestore dei tool, infatti, non ha solitamente nulla a che fare con chi ha inizialmente sviluppato il malware o con chi ne ha curato la diffusione iniziale. Ognuno degli attori di questo ecosistema offre i suoi servizi a chi sta sopra di lui nella catena alimentare del cybercrime. Diventa così possibile creare e mantenere infrastrutture d’attacco che possono essere facilmente ricalibrate per inseguire il trend più redditizio del momento, che sia spam, DDoS, cryptojaking, cryptomining o campagne di attacco più sofisticate.

La “botconomics” è nata a metà degli anni ‘2000 e da allora non ha fatto che crescere

Gioanola ricorda che è dall’inizio degli anni 2000, con gli attacchi DDoS perpetrati da Mafiaboy ai danni di Yahoo e altri, che è evidente la capacità di causare danni economici a livello globale utilizzando vettori di attacco informatico non particolarmente sofisticati. I virus si stavano trasformando in worm aggressivamente auto-replicanti. Allo stesso tempo i primi rudimentali vettori di DDoS, inizialmente nati per sfruttare specifiche fragilità nelle implementazioni dello stack TCP/IP, iniziavano ad aumentare di magnitudine grazie alla crescente diffusione globale di Internet e delle connessioni a banda larga. A posteriori, è altrettanto evidente che, per poterne trarre vantaggi economici, fosse necessario organizzare questo arsenale in infrastrutture facilmente utilizzabili a richiesta. A cavallo tra il 2006 e il 2007, Arbor Networks descriveva già la “botconomics”, cioè il mercato di host compromessi, password per accesso fraudolento, e servizi di attacco informatico a richiesta. Da quel momento, le infrastrutture di attacco non hanno fatto che espandersi, diventando più complesse, flessibili e resilienti.

Gioanola: Il boom dell’IoT sta creando eserciti di bot “weaponized”

L’esperto di cyber security sottolinea anche che l’aumento esponenziale degli oggetti connessi a Internet ha moltiplicato il numero di apparati utilizzabili come bot gestiti da reti di command&control. Inoltre, ha costantemente fornito nuovi protocolli soggetti ad attacchi di reflection&amplification e ha permesso la creazione di reti di gestione nascoste dentro domini “bullet proof” sempre più difficili da smantellare. Infine, ha reso possibile lo sviluppo di livelli di astrazione, ridondanza e scala nella gestione e nell’offerta sul mercato degli strumenti di cyber attacco, paragonabili a quelli dei giganti del cloud. Ogni nuovo vettore viene rapidamente “weaponized”, cioè tramutato in arma utilizzabile senza bisogno di alcuna conoscenza tecnica, e aggiunto agli arsenali esistenti.

Il manager di NETSCOUT: Gli strumenti tradizionali di cyber security hanno fallito e quelli più avanzati non garantiscono la sicurezza totale. Ecco cosa fare per migliorare le difese

Gioanola ricorda che gli antivirus “classici” hanno fallito nel proteggere gli utenti. Peraltro, anche gli strumenti più avanzati di cyber security basati su behavioral detection possono essere aggirati da malware sufficientemente avanzati o tramite tecniche di social engineering. Data la magnitudine delle infrastrutture Internet odierne è altresì impensabile gestire politiche inappuntabili di hardening a patching, come purtroppo è ancora lontano il giorno in cui i gestori di reti globali adotteranno con convinzione tutte le best practice per la messa in sicurezza delle infrastrutture di routing o DNS. A questo si aggiunga l’esplosione incontrollabile dell’IoT. Pur continuando a non abbassare la guardia per quanto riguarda la prevenzione, è necessario che gli operatori del settore disegnino le proprie politiche di sicurezza partendo dall’assunzione che l’incidente non solo accadrà, ma è probabilmente già avvenuto. Le intrusioni che portano ai furti massivi di dati ai quali siamo ormai abituati sono tipicamente il frutto di attività di lateral movement all’interno di reti compromesse inizialmente svariati mesi prima. Quindi bisogna affiancare alle politiche di prevenzione misure di rilevamento, contenimento e rimozione delle minacce. Sia interne sia provenienti dall’esterno.

L’importanza della cyber defense tecnologica

Questa nuova strategia va adottata specialmente nel campo della sicurezza di rete. Ma cosa non è, oggi, “in rete”? Sono disponibili tecnologie e best practice volte alla mitigation dei cyber attacchi. Gli Internet Service Provider possono adottare strategie di ispezione e filtraggio, ad esempio tramite l’infrastruttura DNS, per bloccare traffico macroscopicamente nefasto. Allo stesso modo possono implementare politiche di routing per evitare la diffusione di traffico chiaramente contraffatto. Sono disponibili strumenti e servizi di mitigation degli attacchi DDoS, sempre più potenti e sofisticati, in grado di ridirigere e neutralizzare volumi di traffico impensabili fino a pochi anni fa. Un intero settore dedicato alla Threat Intelligence è nato dalla necessità di disporre di strumenti di analisi e difesa avanzati quanto quelli in possesso degli attaccanti.

La sicurezza informatica passa anche dalla difesa “legislativa”, soprattutto per l’IoT

La massa di apparati Internet-enabled, etichettata come Internet of Things (IoT), e le implicazioni dell’utilizzo di sistemi informatici “intelligenti” in settori come quello delle auto a guida autonoma ha recentemente dato vita a un dibattito sull’opportunità di regolamentazione legislativa dei requisiti di sicurezza informatica (“security”) simili a quanto viene già fatto per quelli di sicurezza fisica (“safety”). E’ auspicabile che esperimenti come il dirottamento di una self-driving-car rendano evidente che il consumatore ha diritto non solo ad auto che non prendono fuoco all’improvviso ma anche che siano in grado di contrastare efficacemente gli attacchi informatici. E’ necessario, quindi, stabilire al più presto un insieme di requisiti minimi di cyber security che ogni smartwatch, webcam o frigorifero “smart” debbano soddisfare per poter essere immessi sul mercato.

La repressione tradizionale non funziona contro il cybercrime

La strategia punitiva delle forze dell’ordine si è spesso concentrata, negli anni passati, nel cercare di applicare tecniche investigative e di repressione tradizionali al mondo del crimine informatico. Tale approccio, spiega l’esperto di cyber security di NETSCOUT, si è presto scontrato con alcune difficoltà. Non solo nel risalire all’identità dei responsabili, ad esempio, della creazione di un certo malware ma soprattutto nel districarsi tra le svariate legislazioni internazionali coinvolte nell’utilizzo di sistemi informatici, fisicamente situati nelle regioni più inaspettate del globo. E’ risultato presto evidente che l’arresto di alcune persone o il sequestro di server non fornisce alcun beneficio pratico al livello complessivo di sicurezza di Internet. Ciò in quanto gli strumenti di cyber attacco, una volta rilasciati “in the wild”, vengono immediatamente riutilizzati da altri innumerevoli attori.

Gioanola: I “middlemen”, i gestori delle botnet, sono un obiettivo pagante contro la criminalità informatica, anche se i contraccolpi che essa riceve sono solo temporanei

La crescente sofisticazione delle botnet e dei servizi di cyber attacco on-demand ha creato una classe di “middlemen”, i gestori di botnet, aggiunge Gioanola. Questi fanno da tramite tra l’offerta di chi ha realizzato l’infezione iniziale e chi vuole lanciare, ad esempio, un attacco DDoS contro il sito web concorrente o una campagna di furto di dati a fini politici. I “reseller” risultano spesso un obiettivo più agevole per le forze dell’ordine, anche grazie alla superficialità con cui questi attori offrono i loro servizi criminali alla luce del sole. I successi in questo campo sono in aumento, grazie soprattutto alla cooperazione internazionale tra le forze dell’ordine. Nonostante, però, siano frequenti gli smantellamenti di servizi di booter/stressor, l’attività di attacco rilevata globalmente accusa contraccolpi solo temporanei. Le botnet, infatti, vengono prese in gestione da nuovi attori o rimpiazzate, grazie alla valanga di IoT costantemente immessi sul mercato.

Le forze di polizia hanno cominciato a perseguire gli utilizzatori dei servizi di cyber attacco on-demand. Ma qual è il rapporto costi/benefici?

Peraltro le forze dell’ordine, a seguito dei più recenti interventi contro i servizi di cyber attacco on-demand, sono entrate in possesso delle liste degli utilizzatori di tali servizi, e hanno iniziato a perseguirli localmente. Nonostante ciò rappresenti un’importante evoluzione nella lotta al cybercrime, agire contro centinaia o migliaia di cittadini presenta varie sfide di natura logistica. Inoltre solleva un dibattito sull’effettiva utilità (o, almeno, sul rapporto costo/benefici) del perseguire i singoli “consumatori” del servizio illegale.

Il mercato dei attacks-as-a-service ricalca le strategie e i modelli economici dei servizi cloud e non solo. Con tanto di condizioni di contratto, tariffe agevolate e variegate. I costi variano a seconda dei bersagli prescelti

Il mercato degli attacchi informatici ormai ricalca fedelmente le strategie e i modelli economici dei servizi cloud che tutti conosciamo, ha proseguito l’esperto di cyber security di NETSCOUT. Service Level Agreements regolano contratti dai termini “soddisfatti o rimborsati”, abbonamenti mensili premiano i clienti più fedeli con tariffe più economiche rispetto agli attacchi una tantum, livelli di servizio differenziati danno la possibilità di accedere a vettori di attacco più o meno sofisticati a seconda delle necessità dell’attaccante o della fragilità dell’infrastruttura della vittima. Ciò che influisce sui “costi” pagati dal cliente sono la ridondanza e la resistenza agli “attacchi” da parte delle forze dell’ordine o dei service provider.

Emergono una classe di utilizzatori dei cyber attacchi as-a-service, che si accontenta di servizi low cost, frequenti commistioni tra il dark web e i servizi cloud legittimi, il crescente impiego di anonimizzatori online e delle criptovalute

A seguito di tutti questi fattori, sta emergendo una classe di utilizzatori dei cyber attacchi as-a-service, che si accontenta di servizi low cost, i quali possono essere contrastati con relativa facilità. Ne è prova l’incremento di aggressioni cibernetiche della durata di un’ora esatta, segno evidente di procedure completamente automatizzate. Siamo, inoltre, di fronte a frequenti commistioni tra il dark web e i servizi cloud legittimi. Ciò per quanto riguarda l’hosting di infrastrutture di command&control presso provider spesso ignari, l’abuso delle risorse computazionali e di rete di tali provider come strumento di reflection/amplification, nonché l’utilizzo di sistemi di pagamento legittimi per tali transazioni criminogene. Questi aspetti genereranno ulteriori dibattiti sulle responsabilità di tali operatori sia sul piano della prevenzione sia su quello prettamente penale, conclude Gioanola. Nei prossimi mesi e anni potremo osservare anche quale effetto avrà sull’utilizzo delle piattaforme di attacco as-a-service il crescente impiego delle criptovalute e degli strumenti di anonimizzazione online da parte degli utenti meno tecnicamente dotati, con potenziali implicazioni per la massificazione del mercato degli attacchi online.

Back To Top