L’escalation di tensioni geopolitiche fa temere una imminente ondata di cyber warfare e il cybercrime non si ferma. Gli obiettivi sono diversi, il modus operandi No

La recente escalation di tensioni geopolitiche – soprattutto tra Usa, Israele e Iran – fa temere che ci possa essere presto un’ondata di cyber warfare a scopo di spionaggio o distruttivo contro infrastrutture critiche. In particolare verso quelle di settori-chiave come industrie energetiche e delle TLC. Inoltre, continua l’esplosione di aggressioni in tutto il mondo da parte del cybercrime. Nei due casi gli obiettivi cambiano (dall’arrecare un danno al trarre un beneficio), ma le tecniche usate sono le stesse. Gli hacker malevoli per lanciare un cyber attacco compiono otto passi, allo scopo di neutralizzare la cybersecurity del bersaglio, raggiungere l’obiettivo e fuggire lasciando meno tracce possibili.

Dalla ricognizione alla ricerca dei bersagli alla “weaponization” delle informazioni raccolte sulle possibili vittime

Il primo passo in un’aggressione informatica, che sia per cyber warfare o cybercrime, è la ricognizione. Gli hacker malevoli devono trovare un primo bersaglio vulnerabile, collegato anche se alla lontana al loro vero obiettivo. Perciò possono essere presi di mira soggetti terzi come fornitori, aziende partner, ecc… Solitamente il vettore d’attacco sono phishing email per distribuire il malware iniziale o ingannare il destinatario. Per trovare le vittime potenziali e i collegamenti si usa la social engineering, studiando in primis le informazioni che i bersagli mettono in rete. Dall’organico agli appalti, passando per i clienti e altro. Il secondo step è la “weaponization”, cioè la trasformazione in arma dei dati scoperti per la preparazione di contenuti mail e Watering Holes o false pagine web, utili a rubare le credenziali.

Il cyber attacco comincia a prendere vita. Partono le email di Spear Phishing e il successivo “exploitation” dei dati rubati per studiare il “network nemico”

Nella terza fase parte il vero e proprio cyber attacco, mediante email di Spear Phishing. Gli hacker malevoli devono poi solo aspettare che qualcuno cada nella trappola e inserisca le sue credenziali in siti “fake”. Oppure apra il malware nel falso allegato e lo attivi. Quarto passaggio è l’”exploitation”, lo sfruttamento dei dati raccolti. Gli aggressori li useranno per aprire le webmail aziendali o le connessioni VPN al network del bersaglio. In questo modo gli aggressori potranno farsi un’idea migliore del flusso di traffico al suo interno, di quali sistemi sono connessi e di che vulnerabilità ci sono. Di fatto, una sua mappatura più completa possibile.

Gli hacker malevoli manipolano il network-bersaglio per rimanere al suo interno il tempo necessario e poi ne acquisiscono il pieno controllo

Quinto passaggio da parte degli aggressori cibernetici è la manipolazione del network preso di mira. Viene installata una backdoor persistente, creati account Admin (con pieni poteri), disabilitati i firewall e attivato l’accesso remoto ai server e agli altri sistemi della rete. L’obiettivo degli hacker è garantirsi la possibilità di rimanere il più tempo possibile al suo interno. La sesta fase del cyber attacco è acquisire il controllo totale del network e far sì che nessuna minaccia possa distogliere dai propri obiettivi. Settimo passaggio è compiere la propria missione. Che sia rubare dati (spionaggio informatico e cybercrime) sabotare un’infrastruttura vitale (cyber warfare) o solo divertirsi a creare problemi per accrescere la propria reputazione nel panorama hacker globale.

Si compie la missione, che sia di cyber warfare o cybercrime, e si esce in silenzio. Oppure addossando la colpa ad altri (false flag)

Ottavo e ultimo step di un cyber attacco è uscire in silenzio. Gli hacker malevoli, una volta conclusa la loro missione, procederanno alla rimozione di tutti i tool usati per l’operazione e al ripristino del network (alcuni lo fanno durante la settima fase, eliminando gradualmente quello che non serve più, in caso siano interrotti prima di aver finito la pulizia). Ciò per evitare di essere scoperti, in quanto gli investigatori del settore incrementano le loro capacità su base quotidiana. Peraltro, ogni gruppo usa strumenti o tecniche precise, una specie di firma che va rimossa prima che sia troppo tardi. A meno che non si voglia rivendicare un incidente. In alcuni casi, invece, si lasciano volontariamente tracce legate ad altri attori per far ricadere la presunta colpa su di loro e sviare le indagini (false flag). Ciò vale soprattutto in ambito cyber warfare e spionaggio informatico.