Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Advanced Persistent Threat

Cyber warfare: tecniche, obiettivi e strategie dietro gli attacchi “state-sponsored”

Gli state-sponsored attack sono attacchi condotti nel cyberspace da attori statuali che procedono a offensive “ibride”, che si adattano alle molteplici opportunità del nuovo terreno di scontro e perfettamente inquadrabili nella narrazione geopolitica del mondo attuale. Vediamo quali sono i contorni e le caratteristiche

07 Gen 2020
Giuseppe Del Giudice

Cyber Security, IT Strategy and Governance at Sia Partners


All’aumento delle tensioni Usa-Iran, diversi esperti hanno avvisato che possono crescere gli attacchi cyber sponsorizzati dal governo di Teheran ai dannidi soggetti americani, soprattutto aziende con base nel Medio Oriente.

È l’ennesima conferma che la cyber warfare è diventato un tassello importante nel più ampio e complesso ambito delle strategie geopolitiche statali. Gli attacchi di tipo APT (acronimo che sta per Advanced Persistent Threat), state-sponsored, sono ormai considerati uno strumento di primo piano per perseguire interessi politici, economici, militari degli attori sullo scacchiere internazionale.

Il più delle volte confuso con una tipologia “avanzata” di malware o agente informatico, molto più pericolosamente l’Advanced Persistent Threat, servendo al disegno strategico geopolitico o militare dell’entità statale di cui costituisce la longa manus nel cyberspace, assume invece il volto di una vera e propria filosofia d’ingaggio e di exploitation, con caratteristiche peculiari le quali, queste si, ne descrivono la vera invasività.

Ma cosa rende particolarmente insidioso un APT? Provando brevemente a ragionare intorno alle principali caratteristiche di questa filosofia d’ingaggio, si noterà come lo strumento utilizzato e lo stesso obiettivo finale dell’attacco non sia altro che la punta dell’iceberg. Vediamo perché.

Cosa rende davvero insidioso un APT

Partiamo dal presupposto che le “nuove possibilità” consentite dal dominio cibernetico, sono state assorbite nell’ambito delle strategie geopolitiche statali, e in alcuni casi sono state inglobate ed armonizzate in veri e propri approcci strategici (pensiamo ad esempio al tema della hybrid-warfare russa). Diciamo subito, quindi, che l’insidia non pare tanto venire dalla sofisticatezza dell’arma utilizzata (il malware o del toolkit), né dallo sfruttamento di vulnerabilità non note su sistemi e servizi (cosiddetto zero day), ma si potrebbe dire che la pericolosità provenga, da una parte, dal tipo di attore che conduce tali operazioni, dal mindset che applica e dalle caratteristiche stesse di quella che si potrebbe definire come una “filosofia d’ingaggio”; dall’altra parte sono le caratteristiche stesse degli obiettivi individuati a contribuire, cioè organizzazioni complesse (pubbliche e private) calate in un contesto dove le interdipendenze offrono multiple possibilità d’attacco.

Strategie di attacco “su misura”

Rispetto ad altre tipologie di attaccanti che portano avanti operazioni in larga scala solitamente con il movente dell’appropriazione illecita di denaro[1] o di informazioni che possano essere poi monetizzate[2], gli attacchi APT legati ad entità statali, hanno un diverso movente: i primi solitamente non presentano obiettivi determinati, ma al contrario, l’attaccante cerca di raggiungere il numero più alto di utenti per aumentare la possibilità di monetizzare (si osserva l’utilizzo di agenti informatici come i trojan bancari, o le famiglie di ransomware[3], distribuiti attraverso campagne di phishing o mediante il ricorso a tecniche di autospread, come nel caso di Wannacry), i secondi invece, partono dalla definizione di un obiettivo specifico (che sia un’istituzione, un soggetto, un azienda privata, diverse organizzazioni di un settore strategico): dunque tutta la strategia d’attacco, compresi gli agenti malevoli e le tattiche da utilizzare, è disegnata “su misura” rispetto ad un predefinito e specifico target (che viene attentamente “studiato”).

La raccolta delle informazioni necessarie a “conoscere” quanto più possibile l’obiettivo, le persone ad esso legate e l’ambiente informatico stesso solitamente avviene in più fasi, prima ed anche durante l’attacco, con diversi scopi: dall’individuazione dell’opportuna strategia per stabilire un foothold all’interno della rete aziendale (ad esempio attraverso attacchi di tipo spear-phishing o watering-holes su determinati soggetti, solitamente personale non executive), fino a determinare una “fotografia”, e possibili vulnerabilità, di servizi o di tecnologia presenti sull’ambiente informatico tradizionale (ICT) o industriale (OT) dell’obiettivo[4].

Sono utilizzate diverse fonti, tecniche e tools (sia open source, che custom), che vanno da multiple tecniche di information gathering, all’Open Source Intelligence (OSINT) pura, fino all’analisi dei profili delle “persone d’interesse” legate all’obiettivo (attraverso tecniche di Social Media Intelligence ad esempio), con lo scopo di descrivere le reti sociali in cui si muovono, le tendenze, abitudini, o raccogliere informazioni legate all’organizzazione.

Inoltre, si osserva la tendenza a collezionare ulteriori informazioni anche dopo la prima fase dell’attacco (internal reconnaissance), cioè già quando l’attaccante ha stabilito un accesso persistente nella rete aziendale, solitamente mediante specifiche features dei malware usati, che estraggono ed inviano informazioni a server controllati dagli attaccanti (cosiddetti C&C).

Perché si parla di minaccia “avanzata”

Da non intendere solo in senso strettamente tecnico, alcuni attacchi APT non hanno sempre mostrato un livello tecnico alto[5], ma la caratteristica di “minaccia avanzata” è da intendere soprattutto con riguardo della “mente” che guida l’attacco e che ne ha definito la strategia, al mindset specifico dell’attaccante e alla sua attitudine, alle sue skills tecniche, e di come l’attore agisce su basi informate. In definitiva, l’aspetto che regala l’appellativo di “avanzata” a questo tipo di minaccia o di attacco, va a cadere direttamente sulla “capacità” dell’attaccante (o solitamente del collettivo di attaccanti) in senso lato, dunque tecnica, economica, strategica, tattica, informativa, di coordinamento di diverse risorse umane e fisiche (team multipli con differenti expertise). Dunque il punto fondamentale è su “cosa sta attorno” al collettivo attaccante ed al modo in cui conduce l’attacco.

Una delle caratteristiche principali è l’adozione di un approccio “low and slow”, dove il primo obiettivo, dopo aver stabilito un “foothold” nella rete aziendale, è quello di riservarsi nel tempo un accesso ai sistemi target e rimanere “undetected”.

Secondo uno studio di FireEye[6], il cosiddetto “dwell time”, cioè il tempo in cui gli agenti malevoli rimangono “undetected” nella rete e nei sistemi target prima che vengano individuati, ha subito un evoluzione che va, in media da 461 giorni nel 2011 a 78 giorni nel 2018, indice di una risposta in termini di detection da parte delle organizzazioni più strutturata e presente, ma che tuttavia ci parla di un accesso non consentito e persistente a sistemi e reti, in media, di poco meno di tre mesi.

Gli attaccanti si focalizzano interamente sul target finché non raggiungono l’obiettivo, sfruttando multiple vulnerabilità umane e tecnologiche, in modo solitamente “non lineare” e adattativo: pur se è possibile ricostruire path comportamentali nella conduzione di tali tipi di attacchi e definire modus operandi in termini di tattiche, tecniche e procedure (TTPs) utilizzate dall’agente modello, ci si scontra con la “staticità” di tali descrizioni a fronte di approcci che nascono “by design” come “adattativi”, sia rispetto al target, che rispetto alle specifiche condizioni in cui gli attaccanti si trovano ad operare (insieme ad altri fattori).

Multi stage attack

Generalmente gli stage di un attacco APT sono i seguenti:

  • Initial compromise – eseguito solitamente mediante tecniche di social engineering (spear-phishing), tramite e-mail, utilizzando virus zero-day. Un altro metodo utilizzato è stato la diffusione di malware su un sito Web che i dipendenti della vittima probabilmente visiteranno (watering hole attack).
  • Establish Foothold – generalmente viene eseguito codice malevolo su una delle macchine della rete aziendale che stabilisce una connessione con server controllati dagli attaccanti (C&C), da dove vengono scaricati ulteriori moduli del malware o altro codice malevolo. Sono create backdoors e tunnel per consentire una accesso persistente e silente alla rete aziendale.
  • Escalate privileges/ Internal reconnaissance – vengono utilizzati exploit e diverse tecniche per ottenere i privilegi di amministratore (priviledge escalation) e viene portata avanti l’attività di raccolta ed estrazione di informazioni per ottenere una “fotografia” di tutto ciò che compone l’infrastruttura di rete, windows domain ecc, per preparare lo step successivo.
  • Move laterally – espansione del controllo su altre macchine sulla rete aziendale, come server elementi infrastrutturali ecc., procedendo ad attività di harvesting di informazioni.
  • Complete mission – esfiltrazione delle informazioni, raggiungimento dell’obiettivo, e generalmente bonifica delle tracce lasciate.

State-sponsored attacks e hybrid warfare, nuovi (e vecchi) paradigmi delle strategie statali

Quanto abbiamo finora descritto può anche essere visto come una naturale conseguenza del posizionamento della cultura strategica di alcuni paesi rispetto, se si vuole, al modello clausewitziano o suntzuniano: cioè o come atto di forza, per costringere il nemico alla sottomissione, o enfatizzando l’uso dell’inganno e dell’informazione, “plasmandosi” rispetto al mutamento delle condizioni.

Va da sé che, pensando alle caratteristiche del mondo cibernetico, il secondo modello sembrerebbe proprio ben adattarsi al nuovo “campo di battaglia”; questo ha portato una maggiore predisposizione di alcuni attori statali all’impiego operativo di risorse nel cyberspazio, semplicemente assecondando la propria cultura strategica (e anche per ragioni di tipo geopolitico). Tutto ciò ha portato altre nazioni – ad esempio gli Stati Uniti – a doversi culturalmente riposizionare dopo il periodo della guerra fredda, per contrastare altri attori statali che evitano di competere sul terreno della forza bruta, ma ricorrono alla liquidità e all’invisibilità del cyberspazio (tema dell’attribuzione), ad approcci non lineari, non convenzionali e ibridi[7].

Questo ha presupposto lo sviluppo di capacità offensive nel cyberspace, ed ha inaugurato la comparsa di collettivi hacker con alte capacità tecniche, ben finanziati ed organizzati, che hanno iniziato ad essere protagonisti di attacchi con obiettivi “insoliti” per quanto si era fino a quel momento osservato: questi attori, ad esempio, non miravano alla monetizzazione delle informazioni trafugate, non lasciavano trasparire motivazioni collegabili ad ideologie, ma parevano agire proprio come longa manus dei servizi d’intelligence, se non proprio come truppe con intenti volti alla distruzione, anche fisica, di un obiettivo o all’interruzione della continuità operativa di servizi essenziali e critici, se non alla destabilizzazione economica e sociale.

Gli analisti del settore pubblico e privato, “connettendo i punti”, ne hanno così definito i contorni, iniziando a consolidare una vera e propria mappatura delle tecniche, tattiche e procedure utilizzate, e soprattutto delle similitudini o colleganze tra collettivi attaccanti e tra questi e gli interessi strategici, militari, economici, politici e sociali di alcuni paesi, trovandosi così direttamente catapultati in scenari geopolitici.

L’analisi tecnica degli artefatti (reverse engineering) ha poi consentito – seppur non in tutti i casi – d’individuare la potenziale “paternità” di un dato malware o attacco, così come le similitudini tra le differenti “campagne cyber”. Nascono da qui i nomi dati ai gruppi di attaccanti ed i loro supposti legami con ambienti governativi o apparati d’intelligence: nomi come APT28[8] (anche conosciuti come FancyBear, Stortium, Sofacy), di cui si sospettano legami con il GRU russo; Equation Group[9], anche chiamati Longhorn, di cui sospetta la vicinanza a l’NSA ed i FiveEyes; Comment Crew noti anche come Unit 61398; APT1 legati a China’s People’s Liberation Army (PLA)[10].

Gli attori attivi nel cyberspace e come vengono usati dagli Stati

Diversi sono gli attori fino ad oggi osservati nel cyberspace[11], come diverse sono le modalità d’impiego di tali gruppi da parte degli stati a cui potenzialmente sono legati o dei quali apparati di sicurezza fanno parte: dal cyber-espionage, ad operazioni di supporto ad offensive portate avanti con mezzi convenzionali. In particolare, la Russia proprio in occasione dalla crisi con l’Ucraina del 2015, ha dimostrato un’applicazione esatta di tali tipi di impieghi: inquadrata nell’inaugurata strategia della guerra ibrida, combattuta non solo con mezzi cosiddetti “convenzionali” o non “non convenzionali” (come disinformazione, networks of influence, useful idiots, tecniche che già erano di tradizione KGB), ma anche mediante lo sviluppo e l’impiego di capacità offensive nel cyberspace.

È il caso delle crisi della Crimea (2004), Georgia (2008) e Ucraina (2015-2017) , dove l’offensiva ibrida è passata anche dallo spazio cibernetico con attacchi ad infrastrutture critiche nazionali e apparati statali: solo la campagna cyber chiamata dagli analisti “Black Energy”, e potenzialmente attribuita al collettivo Sandworm collegato ad ambienti dell’intelligence russa, ha visto causare ripetute interruzioni del servizio elettrico con impatti su centinaia di migliaia di cittadini[12] nel 2015 e nel 2016. Ciò che però rende la misura dell’applicazione di tali strategie sul quinto dominio, è pensare come quest’ultima sia solo un’operazione, inserita all’interno di una serie di attacchi cibernetici che hanno, continuamente e sistematicamente nel tempo, insidiato praticamente ogni settore ucraino, non solo infrastrutture energetiche, ma finanziarie, governative, dei trasporti; questo a dimostrazione della pervasività ed alta efficacia dell’elemento cyber inserito come una delle linee di conduzione di un conflitto o come parte dei metodi di gestione di affari internazionali. Si pensi in quest’ultimo caso, ai recenti attacchi contro agenzie antidoping e organizzazioni sportive collegati all’esclusione degli atleti russi dai giochi olimpici fino al 2022[13]. E su questo fronte non si tratta certo di inediti, quando già il 9 febbraio 2018, in piena cerimonia di apertura dei giochi olimpici invernali della Corea del Sud, un’offensiva denominata Olympic Destroyer[14] ha bloccato diecimila computer, 20 mila telefonini, 6300 router wifi e 300 server.

Gli ultimi due esempi potrebbero servire ad individuare due tipologie d’impiego del mezzo cyber da parte degli stati: le operazioni cyber in Ucraina, rientrerebbero all’interno di un uso delle capacità cyber completamente inserito all’interno di conflitti ibridi già avviati; dall’altro l’impiego di gruppi hacker come mezzo di pressione nella gestione di affari internazionali, intesi in senso lato (dove non è in corso un potenziale conflitto).

Appartengono alla seconda categoria, nonostante il chiaro impiego di cyberweapons, le vicende riconducibili all’Iran e agli USA: da Stuxnet[15], fino ai continui attacchi cyber ancora attualmente scambiati[16].

Con il malware Stuxnet un attacco americano-israeliano ha danneggiato le capacità nucleari iraniane dieci anni fa.

È noto che gli Usa hanno condotto molte operazioni Cyber in medio oriente a supporto degli obiettivi militari sfruttando la propria posizione centrale nelle infrastrutture internet globali. Uno dei motivi che spinge alcuni paesi, come Russia e Cina, a cercare di farsi una internet autarchica.

Di contro gli hacker iraniani hanno attaccato molti bersagli soprattutto in Arabia Saudita, storico alleato americano.

In questo senso si potrebbe dire che la gestione della crisi del nucleare iraniano da parte degli stati uniti, avrebbe visto, oltre all’impiego di diversi “mezzi di pressione”, anche il ricorso ad attacchi cyber.

In definitiva, siamo dinanzi ad attori statuali che procedono ad offensive “ibride”, “liquide”, cioè che si adattano alle molteplici opportunità del nuovo terreno di scontro, sfruttando tattiche convenzionali e non convenzionali nella gestione di veri e propri conflitti e di rapporti internazionali, al cui fianco compaiono attori non ben identificati, dalle dipendenze non chiare con apparati governativi, che procedono ad operazioni nel cyberspace (State-Sponsored attacks), perfettamente inquadrabili nella narrazione geopolitica del mondo attuale. E la loro capacità non è limitata da penuria di risorse economiche, tecnologiche, informative.

______________________________________________________________

  1. Un esempio è il trojan BackSwap, osservato dai ricercatori (di ESET N.d.A) e diffuso attraverso una serie di email phishing in Polonia (ma espandendosi in breve tempo in tutta Europa). Il trojan consente l’esecuzione di codice JavaScript malevolo nel browser dell’utente alla connessione a specifici URL corrispondenti ad applicazioni di home banking note- L’obiettivo è recuperare le credenziali e i dettagli della carta di credito delle vittime (cfr. https://blog.eset.it/2018/05/backswap-linnovativo-trojan-bancario-che-introduce-nuove-tecniche-per-svuotare-i-conti-delle-vittime/).
  2. Ad esempio attraverso la vendita nel darkweb, oppure si pensi alla recente operazione del CNAIPIC e della Polizia di Stato, chiamata PEOPLE 1, conclusa con l’arresto di un sessantaseienne (identificato come Oorn) accusato di aver rubato migliaia di credenziali di accesso e di informazioni private contenute in archivi informatici della Pubblica Amministrazione, organizzando una banca dati illegale consultabile a pagamento (cfr. https://www.ts-way.com/wp-content/uploads/TLP_WHITE_Oorn_campagne-a-tema-INPS-e-Ispettorato-del-Lavoro-per-il-furto-di-credenziali-con-l-introduzione-di-CyclicOrder.pdf).
  3. Si pensi, ad esempio, a Wannacry o Petya/NotPetya (cfr. https://www.cybersecurity360.it/nuove-minacce/petya-e-notpetya-i-ransomware-cosa-sono-e-come-rimuoverli/).
  4. Nel caso di Stuxnet la fase di information ghatering preventiva, attraverso un vero e proprio lavoro d’intelligence, ha permesso di individuare la tipologia di PLC alla base del funzionamento delle centrifughe industriali del complesso nucleare iraniano di Natanz (vero target dell’operazione). Ciò ha consentito di disegnare un malware specificatamente portato ad attivarsi solo al rilevamento di tale modello di PLC che controlla le centrifighe e a sfruttare una sua vulnerabilità (ancora in quel momento non conosciuta, dunque un zero-day) causandone il danneggiamento e l’interruzione delle operazioni industriali.
  5. Si pensi all’Operazione NightDragon (https://www.mcafee.com/wp-content/uploads/2011/02/McAfee_NightDragon_wp_draft_to_customersv1-1.pdf).
  6. Cfr. https://www.fireeye.com/blog/executive-perspective/2019/03/mtrends-2019-celebrating-ten-years-of-incident-response-reporting.html
  7. Cfr. Sul tema della Hybrid-Warfare, http://www.natolibguides.info/hybridwarfare
  8. Gruppo hacker chiamato in causa dall’FBI e DHS statunitense in occasione dei cyber attacchi sferrati in prossimità delle elezioni statunitensi del 2016.
  9. Gruppo hacker collegato all’ingegnerizzazione e alla condizione dell’operazione Stuxnet che ha colpito il programma nucleare iraniano nel 2010.
  10. La società statunitense Mandiant, successivamente acquistata da FireEye, ha pubblicato nel febbraio 2013 un rapporto che esponeva una delle unità cinesi di spionaggio informatico, l’Unità 61398. Il gruppo, che FireEye chiamava APT1, è un’unità all’interno del People’s Liberation Army (PLA) cinese, collegati aduna vasta gamma di operazioni informatiche che hanno colpito il settore privato statunitense a fini di spionaggio.
  11. Per una mappatura più completa, dei gruppi, delle operazioni, toolkit e malware utilizzati può essere utile un excel condiviso da Google e periodicamente aggiornato (https://docs.google.com/spreadsheets/d/1H9_xaxQHpWaa4O_Son4Gx0YOIzlcBWMsdvePFX68EKU/edit#gid=1636225066).
  12. Cfr. https://ics.sans.org/blog/2016/01/09/confirmation-of-a-coordinated-attack-on-the-ukrainian-power-grid
  13. Gli analisti potenzialmente attribuiscono al collettivo APT28 (noto anche come FancyBear o Strontium) la conduzione delle operazioni d’attacco. Non le utlime sul fronte esclusione dai giochi olimpici dei russi:
  14. Cfr. https://securelist.com/olympicdestroyer-is-here-to-trick-the-industry/84295/ per un’analisi tecnica dell’attacco.
  15. Attacco avvenuto al complesso nucleare iraniano di Natanz, dove un sofisticato agente informatico, sfruttando una vulnerabilità non conosciuta (c.d. zero-day) di un dispositivo PLC della Simens, ha portato al danneggiamento di circa 1000 centrifughe ed infettato 3.000 computer (per approfondimenti tecnici, Bruce Schneier, https://www.langner.com/wp-content/uploads/2017/03/to-kill-a-centrifuge.pdf).
  16. Cfr. https://iranprimer.usip.org/blog/2019/oct/25/invisible-us-iran-cyber-war

@RIPRODUZIONE RISERVATA

Articolo 1 di 4