Attacchi di cyber war: quali sono, come funzionano | Agenda Digitale

security

Attacchi di cyber war: quali sono, come funzionano

Definire cos’è cyber war è un lavoro complesso: il fine non è sempre quello di disabilitare strutture nemiche o guadagnare terreno, ma sempre di più è quello di acquisire intelligence. Vediamo quali sono gli ultimi attacchi classificabili come atti di cyber war e quali sono i passaggi salienti di un attacco di alto profilo

03 Feb 2020

Dall’inizio del 2020, quando un’operazione condotta dagli USA tramite drone porta a termine l’assassinio del generale Soleimani del Corpo delle Guardia della Rivoluzione Islamica iraniana, abbiamo sentito molto spesso parlare della possibile esplosione di una “cyber war”. Ma di cosa parliamo esattamente quando parliamo di cyber war? È possibile, anche se è complesso, provare a stabilire dei parametri che possano permetterci di identificare con chiarezza quali atti criminali possano o meno rientrare nel perimetro di una guerra cibernetica.

Gli atti di cyber war

Nella cyber war ci possono essere diverse azioni ai danni di un governo nemico

  • sabotaggio di infrastrutture
  • spionaggio di segreti industriali, militari (anche a supporto di attività terroristiche)
  • diffamazione
  • estrazione dati e infiltrazioni

Prendiamo, ad esempio, un recentissimo fatto di cronaca cyber: il presunto spionaggio ai danni di Jeff Bezos a opera di Mohammed Bin Salman principe ereditario, primo vice primo ministro e ministro della Difesa dell’Arabia Saudita. Posto il fatto che la notizia sia ancora tutta da verificare la domanda che ci si pone è: se una persona a capo di un’intera nazione, sfrutta la relazione di fiducia che esiste tra due conoscenti per attaccare una figura di altissimo profilo, sta commettendo un atto di cyber war?

Prima di addentrarci nei meandri degli ultimi attacchi classificabili come atti di cyber war e di esaminare le complesse e lunghe fasi che preludono a un attacco, partiamo da un dato: la cyber war è spesso diversa da come ce la immaginiamo.

Come il rumore di fondo di una metropoli, è talmente onnipresente che finiamo per ignorarla, finché non decidiamo di prestarci attenzione. Quella linea netta che divide lo stato di guerra dallo stato di pace diventa infatti confusa quando si abbandona il letterale campo di battaglia e ci si sposta, se mi passate il termine, nel cyber world. Ecco perché definire cos’è cyber war è un lavoro complesso: il fine non è sempre e necessariamente quello di disabilitare strutture nemiche, o guadagnare terreno, ma sempre di più è l’obiettivo silente di acquisire intelligence.

Attività di cyber war: gli esempi

Stuxnet: Usa

Ricordiamo tutti Stuxnet nel 2010, il sofisticato malware nato da un’operazione congiunta tra USA e Israele per attaccare, ancora una volta, proprio l’Iran. L’operazione, nome in codice Olympic Games, mirava a rallentare il più possibile il processo di arricchimento dell’uranio nella centrale di Natanz, ed ebbe un discreto successo, riducendo le capacità di produzione di circa il 10%. Tutta l’operazione è a mio avviso classificabile come atto di cyber war: un dispositivo software creato ad hoc per causare danno ad una struttura di interesse strategico. Ma davvero il confine è così netto? Soltanto la presenza di danno fisico è necessaria per inquadrare un’attività come cyber war?

Russia

Spostiamoci dunque al 2015, verso un meno noto attacco in Ucraina, quasi certamente proveniente dalla Russia e che riesce a compromettere tre aziende lasciando senza energia elettrica 230.000 persone per svariate ore. L’attacco è complesso ed è il primo mai documentato a compromettere con successo la griglia di distribuzione dell’energia, e a generare un blackout. Mentre è semplice calcolare il numero di persone colpite dall’evento, è più difficile determinare l’impatto derivante da una simile attività. Riattivare un impianto di distribuzione è infatti un lavoro complesso che può richiedere settimane, al cui sforzo va aggiunto il compito di dover identificare l’attaccante e rimuoverlo in maniera efficace prima di poter sperare di riattivare la distribuzione senza ulteriori intoppi. La Russia da oltre un decennio utilizza le infrastrutture ucraine come campo di allenamento, per una serie di esperimenti nel settore cyber di vario genere e questo attacco, relativamente piccolo, dimostra che un governo sufficientemente munito di risorse può mettere in ginocchio un intero Paese. Infatti quanti giorni un ospedale può restare senza elettricità? Quanto a lungo un aeroporto può operare in autonomia? E i trasporti?

Corea del Nord

Continuiamo a esaminare i movimenti degli Stati più attivi in questo settore e arriviamo al famosissimo Wannacry, il primo ransomware ad aver fatto davvero storia e ad aver infettato, nel giro di poche ore, 200.000 dispositivi. Prima di allora, pochi altri attacchi avevano ricevuto un simile livello di attenzione. Wannacry viene sviluppato da Lazarus Group, un gruppo di attacco nordcoreano, che riutilizza degli exploit trafugati dall’NSA (National Security Agency statunitense) da parte di ShadowBrokers, un gruppo di attacco russo. Al di là dell’intreccio di parti e degli intrighi di castello, da far invidia a House of Cards, le dinamiche in gioco sono interessantissime.

WHITEPAPER
Perché e quando il provider può diventare un vero e proprio partner di sviluppo del business?
Cloud

Da un lato c’è una nazione (gli USA) che sviluppa ed accumula exploit – a tutti gli effetti cyber armi – dall’altro c’è la Russia che combatte da sempre una battaglia contro gli USA mirata ad ottenere intelligence, e un terzo attore, la Corea del Nord, che immediatamente sfrutta l’occasione per lanciare un’offensiva globale. E qui i danni si fanno seri, perché le entità colpite sono disparate e si va dagli ospedali, agli aeroporti, banche e governi per una perdita totale che si stima intorno ai 4 miliardi di dollari. Danni che verranno seguiti poco tempo dopo da un altro ransomware (questa volta russo) noto come NotPetya che ne farà per 10 miliardi di dollari. Operazioni di questo tipo sono anche difficili da inquadrare: quale sarebbe stato il fine della Corea del Nord? La differenza tra i due attacchi è che il primo è difficile da comprendere, sembra eseguito in maniera irrazionale al punto da far pensare che si tratti di uno strumento sfuggito per errore. Il secondo è invece un attacco estremamente mirato che ha finito per creare dei danni collaterali, ma il cui obiettivo era chiarissimo sin dall’inizio.

L’attività di spionaggio

Abbiamo quindi identificato una serie di parametri per definire meglio il concetto di cyber war: danni fisici a strutture e macchinari, interruzione di servizi essenziali, attacchi mirati con intenti esclusivamente distruttivi.

Ed in tutto ciò, dove si inquadra l’attività di spionaggio?

Il grosso della cyber war avviene infatti in maniera per lo più invisibile al grande pubblico, a danno sia di soggetti statali che di privati, e val la pena menzionare due operazioni di grandissimo successo, entrambe cinesi. La prima viene identificata nel 2017 come operazione Cloud Hopper: un gruppo di attacco cinese, noto come APT10, inizia una vasta campagna contro i più grandi fornitori di servizi informatici (Fujitsu, Tata, Dimension Data etc) con un interesse particolare verso i clienti operanti nel settore della Difesa. Cloud Hopper non si conclude in un giorno ma rimane attiva per anni, gli attaccanti trafugano una quantità non identificata di intelligence destinata a ridurre i tempi di ricerca e sviluppo interni. Il secondo attacco, sempre identificato nel 2017 e sempre di origine cinese, avviene ai danni di un’azienda che oggi appartiene ad Avast, il produttore di antivirus e che, tramite un’esecuzione pressoché impeccabile, riesce ad infettare una piccola applicazione chiamata CCleaner, che abbiamo usato forse tutti almeno una volta nella vita, e che porta a casa, badate bene, più di 2.4 milioni di vittime – oltre 10 volte quelle di Wannacry.

Questa operazione ha forti connotati di intelligence e viene scoperta, un po’ come altre, quasi per caso, ma serve a delineare quelli che possono essere i confini da utilizzare per decidere cosa è cyber war e cosa no. Sottrarre dati e proprietà intellettuale è un atto sicuramente criminale che, se perpetrato da uno stato, certamente prende i connotati di cyber war, anche in assenza di danni tangibili o diretti.

Se fino ad ora abbiamo identificato i due filoni principali, ovvero spionaggio e sabotaggio, ora c’è da capirne bene le differenze. Un’azione di sabotaggio è sempre preceduta da un’operazione di intelligence che può svilupparsi sul campo, con agenti umani, come è avvenuto parzialmente nel caso di Stuxnet, oppure da remoto, come il caso appena descritto di APT10, e non è detto che queste siano due fasi distinte di due operazioni differenti. Il sabotaggio, infatti, può seguire la fase di acquisizione di intelligence senza che ci siano ovvie interruzioni.

Le fasi di un attacco di cyber war

Le principali differenze sono ovviamente i fini e le figure – o meglio gli apparati – dietro ogni passaggio: proviamo allora a ipotizzare una sequenza di attacco di alto profilo, utilizzando come traccia l’attacco del 2015 contro la rete di distribuzione di energia in Ucraina.

  • Stage 1 – 2 anni prima dell’attacco: parte la fase di “recon”, tramite tecniche di OSINT (Open Source Intelligence) e HUMINT (Human Intelligence) l’attaccante ottiene informazioni riguardo la tipologia di infrastruttura che intende colpire. In questo caso l’attaccante si è plausibilmente adoperato per scoprire il numero di stazioni di distribuzione, la marca, modello e versione dei controllori in uso. Ha certamente eseguito una mappatura dei dipendenti delle aziende da colpire, per identificare i target migliori, e ha scoperto i potenziali punti di accesso alla rete interna. Al termine di questa fase, tutte le informazioni riguardanti l’infrastruttura, gli apparati e le risorse umane sono raccolte e pronte ad essere passate al prossimo anello della catena.
  • Stage 2 – 1 anno prima dell’attacco: inizia la fase di “weaponization” ovvero l’informazione ottenuta durante il primo stage viene utilizzata per sviluppare gli strumenti necessari a creare il maggior danno possibile. In questo caso l’attaccante certamente si dota della stessa strumentazione in uso dalle loro vittime, e la utilizza per sviluppare e testare gli strumenti e le strategie che poi verranno adottate nella fase finale dell’attacco. Al termine di questo stadio, tutti gli strumenti per l’attacco sono pronti e – si spera – opportunamente testati, per essere certi che il giorno X funzioneranno come previsto.
  • Stage 3 – fino a 6 mesi prima dell’attacco: inizia l’attività di “targeting”, ovvero vengono identificati i potenziali obiettivi del primo stadio dell’offensiva, ovvero l’intrusione nella struttura “nemica”, e l’attacco ha inizio. Questo passo può prendere varie forme, ma nel caso dell’attacco alle centrali ucraine consiste in e-mail di spear phishing che contengono un documento Excel malevolo. Una volta aperto, il documento attiva un malware che consente agli attaccanti di accedere al computer del dipendente che lo ha aperto. A questo punto la struttura IT è compromessa.
  • Stage 4 – 2 mesi prima dell’attacco: inizia l’attività di “discovery” e “lateral movement”, ovvero l’attaccante colma le lacune informative sulla struttura interna della rete (tutto ciò che non era stato possibile acquisire via OSINT/HUMINT). Tutti i sistemi interni vengono mappati e identificati, quindi l’attaccante ruba le credenziali di accesso e si sposta su altre macchine. Questa operazione viene ripetuta acquisendo livelli di accesso sempre più elevati e si ferma soltanto quando l’attaccante riesce a trovare un punto di accesso dalla rete IT alla rete ICS (quella che controlla fisicamente i dispositivi industriali utilizzati per controllare le centrali).
  • Stage 5 – fino al momento dell’attacco: l’attaccante, se necessario, acquisisce le ultime informazioni sui dispositivi di controllo utilizzati – brand, versioni del firmware, a quali centrali sono connessi – ed esegue dei micro-test non distruttivi sull’infrastruttura attaccata, per assicurarsi che gli strumenti sviluppati funzionino a dovere, ed eventualmente correggerli. In questo caso le aziende utilizzavano un convertitore per consentire di accendere e spegnere i breaker (dei veri e propri interruttori che collegano tra loro parti diverse della griglia di distribuzione) da remoto – senza intervento umano. Gli attaccanti preparano una versione modificata del codice interno (firmware) di questi convertitori che disabilita qualunque riattivazione remota.
  • Stage 6 – l’attacco finale: l’attaccante adotta una serie di misure, attivate in contemporanea, per massimizzare l’impatto (“amplification”), nell’ordine: iniziano l’attacco alla rete ICS e aprono breaker, iniziando il blackout. Attivano le versioni modificate del firmware dei convertitori, per impedirne la riattivazione da remoto. Distribuiscono un wiper su tutti i computer a cui hanno accesso – un wiper è un software progettato specificatamente per distruggere i dati su disco, è simile ad un ransomware ma senza possibilità di recupero. Disconnettono gli UPS – le batterie che consentono al datacenter di continuare a funzionare anche in assenza di energia elettrica, per un periodo di tempo limitato. Dulcis in fundo: iniziano un attacco di tipo DoS (denial of service) dove un servizio automatizzato effettua migliaia di telefonate verso il call center delle aziende colpite, per impedire agli utenti di riportare il blackout.

Ogni stadio dell’attacco viene generalmente seguito da team con competenze molto diverse:

  • Stage 1: generalmente è in carico all’intelligence tradizionale e ai team di analisti. Il team di attacco può supportare le attività di mappatura dei network.
  • Stage 2: un team di R&D sviluppa e testa i tool necessari.
  • Stage 3: il team di analisti supporta la struttura e i contenuti dei vettori di attacco – come ad esempio le email di spear-phishing, questo stesso team può occuparsi della creazione degli account di posta necessari per la fase iniziale dell’attacco (e può essere supportato dall’R&D).
  • Stage 4: un team dedicato con esperienza IT, tecniche offensive e sistemistica conduce l’attacco sull’infrastruttura tradizionale, ovvero la parte non industriale.
  • Stage 5: Gli esperti di sistemi industriali (ICS), supportati dal team di infiltrazione iniziale, conducono questa fase.
  • Stage 6: il gruppo di attacco IT ed il gruppo di attacco ICS si coordinano per massimizzare l’attacco. Un gruppo esterno si occupa della fase di amplificazione, ovvero saturare i call center di telefonate.

Una preparazione lunga e meticolosa

Un attacco di questo tipo richiede una preparazione lunga anni. È vero che con la pratica le tecniche vengono affinate, e i processi ottimizzati, ma in generale l’investimento di tempo e risorse è considerevole, ed un attacco lampo è generalmente impensabile. A meno che l’attaccante non abbia già ottenuto accesso in precedenza, e sia rimasto silenzioso in attesa di essere attivato. Questa ipotesi non è da scartare – in fondo gli attaccanti in Ucraina hanno sferrato l’attacco finale 6 mesi dopo aver ottenuto accesso all’infrastruttura – ma è pericoloso perché rimanere “silenti” per intervalli lunghi di tempo è un compito estremamente complesso.

Paradossalmente, a meno di non aver già compromesso in maniera capillare una struttura, un attacco lampo di tipo cyber non è molto probabile. Attaccanti estremamente sofisticati, come ad esempio gli USA, hanno con ogni probabilità gli strumenti e i dati necessari per avere accesso iniziale, rapidamente, a moltissime strutture. Ma come abbiamo appena visto l’accesso iniziale è solo il primo di molti passi, ognuno estremamente complesso, specie se si decide di compromettere infrastrutture o impianti industriali (dighe, trasporti, distribuzione di energia etc). Tuttavia è decisamente possibile, se non certo, che vari Stati si ritrovino oggi a condurre operazioni di compromissione di infrastrutture critiche, con il doppio intento di acquisire intelligence, ma anche di tenere un dito sul grilletto qualora diventasse necessario.

La possibilità di attacchi lampo, o non pianificati sul lungo termine, esiste in presenza di exploit “wormabili”, ovvero codici che sfruttano vulnerabilità di un software, con la caratteristica peculiare di consentire la diffusione da dispositivo a dispositivo. Come nel caso di Wannacry. Di exploit ne esistono per ogni genere di applicazione, sia su computer che telefoni, tuttavia sono pochi (forse pochissimi) quelli che possono essere utilizzati per creare un malware che, a catena, diventi capace di propagarsi in autonomia. Nel caso di Wannacry si è dovuti arrivare addirittura all’NSA, l’agenzia più finanziata al mondo, per arrivare ad avere un exploit di questo tipo. E anche in questo caso non sarebbe stato possibile automatizzare completamente un malware per arrivare a danneggiare sistemi industriali a tappeto. Per cui sebbene non sia un’ipotesi da scartare, un attacco rapido e non pianificato con reali conseguenze sulle infrastrutture essenziali è poco probabile.

Resta un’ultima ipotesi, quella dell’attesa, dove un potenziale governo ostile si occupa di creare tutti i tool necessari per sferrare un attacco e restando in attesa di ottenere – in un modo o nell’altro – un opportuno vettore di infezione, che potrebbe arrivare domani come tra anni.

Quando un cyber crime può essere definito un atto di cyber war?

Spesso però le sorprese non mancano e ci si ritrova a dover analizzare operazioni che vengono eseguite con connotati diversi, sia in contingenza che in maniera opportunistica e a volte con riscontri singolari. Nel febbraio 2019 il National Enquirer pubblica alcuni messaggi e immagini private di Jeff Bezos, il CEO di Amazon, non è chiaro esattamente come vengano ottenute e quindi parte un’indagine, diretta dal responsabile della sicurezza di Bezos. Poco tempo dopo Bezos annuncia che il suo telefono è stato oggetto di hacking e che oltre alle sue foto, molto altro materiale è stato sottratto dagli attaccanti, e il dito viene puntato sui sauditi. La situazione rimane stabile per tutto il 2019 ma la bomba arriva il 21 gennaio 2020, quando il Guardian pubblica un articolo dove viene accusato dell’hacking, niente poco di meno che Mohammed Bin Salman in persona. Posto il fatto che la notizia sia ancora tutta da verificare, visto che il report forense crea più dubbi che certezze, e che ovviamente la Corona saudita nega ogni coinvolgimento, ci si domanda se una persona a capo di un’intera nazione, che sfrutta la relazione di fiducia che esiste tra due conoscenti per attaccare una figura di altissimo profilo, sta commettendo un atto di cyber war? I russi che hanno attaccato – con successo – Burisma, la compagnia del gas ucraina nella cui board ha servito Hunter Biden, hanno commesso un atto di cyber war? La ricerca di materiale politicamente compromettente, come pure avvenne con l’hack del DNC (il Comitato nazionale democratico) ai danni della Clinton, è un atto di cyber war?

Se decidiamo che ognuna di queste operazioni è un atto di cyber war allora dobbiamo considerare come tale ogni campagna di spionaggio, diffamazione ed estrazione dati operata da un governo ostile, anche in assenza di danni diretti a strutture o servizi.

Se invece consideriamo cyber war solo operazioni con fini di danneggiamento di strutture fisiche, allora dobbiamo forse coniare un nuovo termine da assegnare a tutte quelle operazioni palesemente ostili, che però non generano danni diretti come missione principale. Qualunque sia la terminologia in uso, resta il fatto che campagne di attacco, intelligence, estrazione dati e infiltrazioni profonde a fini di danneggiamento successivi sono sempre in atto, quotidianamente e quindi la risposta alla domanda “siamo in cyber war”? È sì, lo siamo da ben prima di internet, in fin dei conti la prima operazione di spionaggio mai riportata iniziò nel 1986 – condotta da un gruppo di tedeschi pagati dal KGB – quando quello che oggi chiamiamo Internet era un po’ diverso, perché stava appena nascendo da ARPANET.

Tuttavia, l’essere o meno in cyber war non deve essere la scusa per farsi trovare impreparati. L’anello debole è quasi sempre l’umano, ed in una società completamente interconnessa, come la nostra, gli elementi base della sicurezza dovrebbero far parte di un percorso educativo che deve cominciare già dalle nuove generazioni.

WHITEPAPER
Checklist e i suggerimenti essenziali per una migrazione perfetta al Cloud pubblico
Cloud
Hybrid cloud

@RIPRODUZIONE RISERVATA

Articoli correlati