Kaspersky Security Bulletin 2015. Le “storie” di sicurezza IT che hanno maggiormente segnato il 2015

Contenuti

Attacchi mirati e campagne di malware

Gli attacchi informatici di natura mirata occupano ormai una posizione preminente nello scenario globale delle minacce IT; non costituisce quindi motivo di particolare sorpresa il fatto che tali attacchi risultino ben presenti nell’ambito della nostra rassegna annuale dedicata all’evoluzione del malware. Lo scorso anno, nello stilare le nostre abituali previsioni sugli scenari futuri della sicurezza IT, abbiamo delineato i probabili sviluppi del complesso mondo delle APT.

  • “Fusione” tra cybercrimine e minacce APT
  • Frammentazione dei maggiori gruppi APT
  • Evoluzione delle tecniche del malware
  • Nuovi metodi di esfiltrazione dei dati
  • Nuovi attori APT nella corsa ai cyber-armamenti

Descriveremo brevemente, qui di seguito, le più estese e significative campagne APT del 2015, da noi segnalate nel corso dell’anno corrente.

Carbanak ha combinato il cybercrimine – realizzato, in questo caso, attraverso il furto di ingenti somme di denaro a danno di note istituzioni finanziarie – con le tecniche di infiltrazione tipiche degli attacchi informatici mirati. La campagna è stata scoperta nella primavera del 2015. Di fatto, la società Kaspersky Lab era stata invitata a condurre un’indagine forense riguardo ai sistemi informatici implementati presso una banca ucraina, dopo che alcuni degli apparecchi bancomat allestiti da quest’ultima avevano iniziato a dispensare contanti in maniera “casuale”. È così emerso che i sistemi della banca in questione erano stati infettati dal malware. Carbanak è una backdoor appositamente progettata per compiere operazioni di spionaggio, eseguire il processo di esfiltrazione dei dati e condurre attività di controllo remoto dei computer infetti. Nella circostanza, per compromettere le loro vittime, i criminali si sono avvalsi di particolari metodi in “perfetto” stile APT, inviando, in primo luogo, insidiose e-mail di spear-phishing ai dipendenti degli istituti bancari. Una volta assunto il controllo del computer situato all’interno della banca, gli aggressori hanno effettuato una sorta di ricognizione manuale, allo scopo di identificare i sistemi correlati alle attività di elaborazione e contabilità, nonché agli apparecchi bancomat, ed hanno poi semplicemente emulato le attività svolte dal personale legittimo dell’istituto di credito. Il gruppo APT Carbanak ha utilizzato tre diverse modalità, per eseguire il furto del denaro: (1) erogazione del contante attraverso i bancomat, (2) trasferimento ai cybercriminali delle somme rubate, tramite la rete SWIFT e (3) creazione di account fasulli, con successivo utilizzo dei cosiddetti “money mules” (muli del denaro), per raccogliere le somme illecitamente sottratte. Gli hacker hanno bersagliato all’incirca 100 diverse istituzioni finanziarie; le perdite complessivamente subite da queste ultime potrebbero addirittura ammontare a quasi 1 miliardo di dollari.

Kaspersky Security Bulletin 2015. Le "storie" di sicurezza IT che hanno maggiormente segnato il 2015

Una delle “storie” di sicurezza IT di cui si è maggiormente discusso nel corso del primo trimestre del 2015 è quella relativa alle attività condotte dal gruppo di cyber-spionaggio Equation. I cyber criminali che si celano dietro all’APT Equation sono riusciti ad infettare i computer di migliaia di vittime, situate in Iran, Russia, Siria, Afghanistan, Stati Uniti, e in altri Paesi; l’elenco delle vittime comprende istituzioni governative e diplomatiche, società che operano nel settore delle telecomunicazioni ed aziende attive nel campo dell’energia. Si tratta, indubbiamente, di una delle più sofisticate campagne APT mai apparse sulla scena del malware; uno dei numerosi moduli nocivi sviluppati dal gruppo, ad esempio, è in grado di modificare il firmware dell’hard disk, conferendo all’attacco prerogative di furtività e persistenza decisamente superiori rispetto a quelle riscontrate riguardo ad altri attacchi di natura mirata. È ad ogni caso emerso in maniera evidente come lo sviluppo del codice nocivo utilizzato dal gruppo Equation risalga già all’anno 2001, se non addirittura agli anni precedenti. Sono state ugualmente riscontrate chiare correlazioni con altri noti attacchi informatici, ovvero Stuxnet e Flame; l’arsenale di Equation comprendeva infatti due vulnerabilità zero-day successivamente utilizzate nell’ambito di Stuxnet.

Mentre stavamo investigando riguardo ad un incidente informatico occorso in Medio Oriente, abbiamo scoperto l’attività di un gruppo ancora sconosciuto, specializzato nel condurre attacchi di tipo mirato. Desert Falcons è il primo gruppo di lingua araba che sia stato visto condurre operazioni di cyber-spionaggio su vasta scala, correlate, a quanto pare, alla delicata situazione politica che si riscontra ormai da lungo tempo nella regione. I primi segnali relativi alla conduzione di tale campagna risalgono al 2011. Le prime infezioni sono state prodotte nel 2013; il picco delle attività svolte da Desert Falcons si è tuttavia manifestato verso la fine del 2014 e nei primi mesi del 2015. Il gruppo in questione ha complessivamente realizzato il furto di oltre 1 milione di file, appartenenti ad oltre 3.000 vittime. Nella circostanza, il novero delle vittime comprende attivisti e leader politici, organizzazioni governative e militari, mass media e istituzioni finanziarie, situati principalmente in Palestina, Egitto, Israele e Giordania. È del tutto evidente come i membri del gruppo Desert Falcons non siano affatto degli attacker alle prime armi: essi hanno in effetti sviluppato da zero programmi malware sia per Windows che per l’OS Android, ed hanno abilmente organizzato una serie di attacchi basati sull’utilizzo di e-mail di phishing, siti web fasulli e falsi account di social network.

Nel mese di marzo 2015 è stato da noi pubblicato un report relativo al gruppo APT denominato Animal Farm; occorre tuttavia precisare che già nell’anno precedente erano apparse le prime informazioni riguardo ai sofisticati strumenti utilizzati per la conduzione di tale campagna di cyber-spionaggio. Infatti, nel mese di marzo 2014, il quotidiano francese Le Monde aveva pubblicato un articolo relativo ad un complesso kit di strumenti di cyber-spionaggio, identificato dal “Communications Security Establishment Canada” (CSEC), il Centro canadese per la sicurezza nel settore delle telecomunicazioni: il toolset in questione era stato utilizzato nel corso dell’operazione ‘Snowglobe’, la quale aveva preso di mira vari mass media francofoni in Canada, nonchè obiettivi situati in Grecia, Francia, Norvegia, e in alcuni paesi africani. Sulla base dei risultati delle analisi eseguite, il CSEC ha supposto che tale operazione potesse essere stata di fatto avviata dai servizi di intelligence francesi. Un anno dopo, alcuni ricercatori operanti nel campo della sicurezza informatica hanno pubblicato varie analisi (consultabili qui, qui e qui) relative a programmi dannosi che presentavano molti aspetti in comune con ‘Snowglobe’: in particolar modo, le ricerche condotte dagli esperti comprendevano sample di malware denominato ‘Babar’, in pratica il nome del programma menzionato, in precedenza, dal CSEC canadese. Dopo aver esaminato i programmi malware in causa, così come le correlazioni tra essi esistenti, Kaspersky Lab ha denominato con l’appellativo di Animal Farm il gruppo che si celava dietro tali attacchi informatici. L’arsenale di cui risultava provvisto il gruppo APT comprendeva due delle tre vulnerabilità zero-day che avevamo già individuato nel 2014, e delle quali avevano fatto uso i cybercriminali: ad esempio, un attacco lanciato attraverso il sito web compromesso del Ministero della Giustizia siriano, attacco che si era avvalso degli exploit destinati a sfruttare la vulnerabilità CVE-2014-0515, aveva generato il download di uno specifico tool denominato ‘Casper’, facente parte del set di strumenti nocivi abitualmente dispiegati dal gruppo Animal Farm. Un aspetto curioso, riguardo a tale campagna APT, è indubbiamente rappresentato dal fatto che uno dei programmi utilizzati nell’ambito della stessa, ovvero ‘NBOT’, risulta appositamente progettato per la conduzione di attacchi DDoS (Distributed Denial of Service). Si tratta di una circostanza alquanto rara e insolita, per i gruppi APT. È infine altrettanto curioso osservare come uno degli “animali” nocivi, facenti parte della “fattoria”, presenti uno strano nome, Tafacalou; è possibile che si tratti, nella fattispecie, di un’espressione in lingua occitana, idioma parlato, tra l’altro, anche in Francia.

Nel mese di aprile 2015 abbiamo riferito in merito alla comparsa di un nuovo temibile membro della nota e sempre più numerosa famiglia ‘Duke’, la quale comprende già, tra l’altro, MiniDuke, CosmicDuke e OnionDuke. L’APT CozyDuke (ugualmente conosciuta con gli appellativi di ‘CozyBear’, ‘CozyCat’ e ‘Office Monkeys’) intende colpire organizzazioni governative ed imprese commerciali situate negli Stati Uniti, in Germania, Corea del Sud e Uzbekistan. L’attacco prevede l’utilizzo di tutta una serie di tecniche particolarmente sofisticate, quali crittografia, speciali funzionalità anti-rilevamento ed un set ben sviluppato di componenti strutturalmente simili a quelli posseduti dalle precedenti minacce IT dispiegate nell’ambito della famiglia ‘Duke’. Ad ogni caso, una delle caratteristiche più evidenti di CozyDuke è rappresentata dall’utilizzo di insidiosi metodi di ingegneria sociale, allo scopo di poter mettere inizialmente piede all’interno delle organizzazioni e delle società prese di mira. Alcune delle e-mail di spear-phishing abitualmente distribuite dagli attacker contengono un link nocivo, preposto a condurre gli utenti-vittima verso siti web precedentemente violati (incluso siti di alto profilo, del tutto legittimi), i quali ospitano, di fatto, un archivio ZIP dannoso. L’archivio in questione contiene, a sua volta, un RAR SFX che provvede ad installare il malware, mostrando al contempo, come diversivo, un PDF completamente vuoto. Un ulteriore approccio consiste nell’invio di video flash fasulli, in qualità di allegati e-mail. Nella fattispecie, l’esempio maggiormente degno di nota è costituito dal file compresso denominato ‘OfficeMonkeys LOL Video.zip’, dal quale deriva, peraltro, uno dei coloriti appellativi con cui viene indicato il malware in causa. Tale file, una volta lanciato, genera a sua volta l’immissione di un eseguibile CozyDuke nel computer-vittima, mentre l’utente, nel frattempo, visualizza il famigerato video-esca dal contenuto decisamente divertente; in esso, per l’appunto, vengono mostrate delle scimmie intente a “lavorare” in ufficio… Ovviamente, questo induce le vittime ad inoltrare il video ai propri colleghi, aumentando, in tal modo, il numero dei computer compromessi dal malware. L’ampio utilizzo di astute tecniche di ingegneria sociale – attraverso le quali si cerca di far sì che il personale dell’organizzazione o della società presa di mira metta in qualche modo a repentaglio la sicurezza aziendale – da parte del gruppo CozyDuke e numerosi altri aggressori intenti a condurre attacchi di natura mirata, non fa altro che sottolineare, una volta di più, l’irrinunciabile necessità di conferire al personale un’adeguata educazione riguardo alle tematiche di sicurezza IT, in modo tale che ciò diventi un componente fondamentale nello sviluppo di qualsiasi strategia di sicurezza aziendale.

L’APT Naikon, da parte sua, si è focalizzata nella conduzione di numerose campagne di cyber-spionaggio rivolte ad obiettivi sensibili situati nel Sud-Est Asiatico e nell’area geografica raccolta attorno alle sponde del Mar Cinese Meridionale. Gli aggressori sembrano essere di lingua cinese; essi risultano attivi da almeno cinque anni; nel corso di tale periodo, i criminali hanno principalmente preso di mira agenzie governative di alto profilo, così come istituzioni civili e militari situate in Paesi quali Filippine, Malaysia, Cambogia, Indonesia, Vietnam, Myanmar, Singapore, Nepal, Thailandia, Laos e Cina. Al pari di numerose altre campagne che prevedono il ricorso agli attacchi mirati, anche l’APT Naikon fa largo uso di tecniche di ingegneria sociale, allo scopo di indurre i dipendenti delle organizzazioni bersagliate ad installare il malware. Il modulo principale è costituito da uno strumento di amministrazione remota (RAT, Remote Administration Tool) che supporta ben 48 diversi comandi, preposti ad esercitare il pieno controllo sui computer infetti: si tratta, nella fattispecie, di comandi che consentono di effettuare un inventario completo dei file di sistema, eseguire il download e l’upload di dati, realizzare l’installazione di speciali moduli add-on; a questo si aggiunge l’utilizzo, da parte di Naikon, di appositi keylogger, il cui scopo è quello di carpire le credenziali degli utenti-vittima. Ad ogni Paese target viene poi assegnato, da parte degli attacker, un proprio “operatore culturale”, in grado di sfruttare al meglio le caratteristiche peculiari delle varie culture e mentalità locali, come, ad esempio, la particolare tendenza, in certi paesi, ad utilizzare gli account e-mail personali nell’ambito delle attività lavorative. Il gruppo Naikon si avvale ugualmente di specifici proxy server, collocati entro i confini dei vari Paesi bersaglio, in modo da gestire al meglio, con cadenza giornaliera, le connessioni stabilite con i computer infetti e poter rapidamente trasferire i dati raccolti verso i server di Comando e Controllo (C2) progressivamente allestiti. Il nostro report principale ed il report di follow-up relativi all’APT Naikon sono disponibili all’interno del nostro sito web.

Mentre eravamo intenti a condurre le nostre indagini riguardo a Naikon, abbiamo ugualmente scoperto le attività del gruppo APT denominato Hellsing. Si tratta di un gruppo che prende di mira in particolar modo entità governative e diplomatiche situate nel continente asiatico: la maggior parte delle vittime di Hellsing risulta in effetti ubicata in Malaysia e nelle Filippine, sebbene siano state ugualmente osservate vittime in India, Indonesia e negli Stati Uniti. Di per se stesso, Hellsing è un gruppo di cyber-spionaggio piccolo e tecnicamente irrilevante (si stima che siano state bersagliate dall’APT in questione circa 20 organizzazioni). Ciò che rende la situazione particolarmente interessante è tuttavia il fatto che tale gruppo è stato a sua volta colpito da un attacco di spear-phishing condotto dal gruppo APT Naikon – ed ha deciso di passare immediatamente al contrattacco! Nella circostanza, la vittima dell’attacco si è rivolta al mittente per ottenere una conferma riguardo all’effettiva autenticità dell’e-mail ricevuta. Successivamente, il gruppo Hellsing si è visto recapitare la risposta formulata dall’aggressore Naikon, ma si è ben guardato, ovviamente, dall’aprire il documento allegato al messaggio di posta elettronica. Anzi, poco tempo dopo, Hellsing ha provveduto ad inviare un’e-mail di risposta agli attaccanti di Naikon, la quale conteneva, a sua volta, il proprio malware. È evidente che, dopo essersi accorti di essere bersagliati da un attacco IT, il gruppo Hellsing si è messo all’opera per identificare gli aggressori e raccogliere allo stesso tempo informazioni di intelligence riguardo alle attività condotte da questi ultimi. In passato, abbiamo visto gruppi APT calpestarsi accidentalmente i piedi a vicenda; è stato ad esempio realizzato il furto delle rubriche di proprietà delle vittime, e sono stati in seguito effettuati estesi invii a mailing di massa che includevano tutti gli indirizzi presenti in tali elenchi. Un attacco APT contro APT, tuttavia, è un evento a dir poco inconsueto.

Kaspersky Security Bulletin 2015. Le "storie" di sicurezza IT che hanno maggiormente segnato il 2015

Molte campagne di spionaggio in cui si ricorre all’utilizzo di attacchi mirati bersagliano in particolar modo società di grandi dimensioni, enti governativi ed altre organizzazioni di alto profilo. Leggendo poi certi titoli altisonanti, che spesso compaiono su quotidiani e riviste online, si è facilmente indotti ad immaginare che le suddette organizzazioni siano le uniche entità effettivamente prese di mira da coloro che allestiscono attacchi di natura mirata. Tuttavia, una delle campagne oggetto delle nostre indagini nel corso dell’ultimo trimestre, ha chiaramente dimostrato come gli attaccanti non si interessino esclusivamente ai cosiddetti “pesci grossi”. La campagna di cyber-spionaggio denominata Grabit è stata in effetti concepita allo scopo di realizzare il furto di dati sensibili appartenenti a società ed organizzazioni di piccole e medie dimensioni, situate principalmente in Thailandia, Vietnam ed India, anche se abbiamo riscontrato ulteriori vittime di Grabit negli USA, negli Emirati Arabi Uniti, in Turchia, Russia, Cina, Germania ed in altri Paesi. L’attacco in questione ha preso di mira soprattutto i seguenti settori: chimica, nanotecnologie, istruzione, agricoltura, mass media e costruzioni. Secondo le nostre stime, il gruppo che si nasconde dietro gli attacchi effettuati è riuscito a compiere il furto di circa 10.000 file. Non vi è dubbio riguardo al fatto che ogni società, ente, od istituzione rappresenti un potenziale bersaglio, in ragione delle risorse di cui dispone, oppure in considerazione del fatto che un attacco sferrato nei suoi confronti può magari permettere ai malintenzionati di infiltrarsi all’interno di un’altra organizzazione.

Nella primavera del 2015, eseguendo un normale sweep di sicurezza, Kaspersky Lab ha rilevato un’estesa cyber-intrusione, la quale interessava, di fatto, numerosi sistemi interni. La successiva indagine, condotta su larga scala dai nostri esperti, ha permesso di scoprire l’esistenza di una nuova piattaforma malware, elaborata da uno dei gruppi più abili, misteriosi e potenti del mondo APT, ovvero Duqu, talvolta definito una sorta di “fratellastro” di Stuxnet. La nuova piattaforma malware è stata da noi chiamata ‘Duqu 2.0’. Per ciò che riguarda nello specifico Kaspersky Lab, l’attacco è andato a sfruttare una vulnerabilità zero-day individuata nel kernel di Windows (poi risolta da Microsoft il 9 giugno 2015, mediante la release di un’apposita patch); nella circostanza, potrebbero essere state colpite altre due vulnerabilità (attualmente risolte), le quali, al momento dell’attacco, erano ugualmente classificabili come “zero-day”. Il principale obiettivo degli aggressori era quello di spiare le tecnologie in uso presso Kaspersky Lab, le indagini in corso ed i processi interni. Kaspersky Lab, tuttavia, non è stato l’unico target preso di mira dal gruppo Duqu 2.0. Alcune delle infezioni generate dal malware in causa sono apparse correlate agli eventi di cui è risultato protagonista il gruppo dei cosiddetti paesi P5+1, eventi connessi ai negoziati condotti con l’Iran relativamente all’accordo sul nucleare. Nella fattispecie, sembra proprio che gli aggressori abbiano lanciato attacchi informatici nei confronti di alcune delle sedi in cui hanno avuto luogo le trattative ad alto livello sopra menzionate. Inoltre, il gruppo APT ha eseguito un attacco del tutto simile in occasione del 70° anniversario della liberazione del lager di Auschwitz-Birkenau. Una delle più importanti caratteristiche manifestate dal malware Duqu 2.0 è indubbiamente rappresentata dalla mancanza di persistenza, visto che lo stesso non lascia quasi nessuna traccia all’interno del sistema. Il malware in causa, in effetti, non apporta alcuna modifica alle impostazioni del disco o del sistema: in sostanza, la nuova piattaforma nociva è stata progettata in maniera tale da poter sopravvivere quasi esclusivamente nella memoria dei sistemi informatici infetti. Tale elemento suggerisce un’importante considerazione: i cyber criminali, in pratica, agiscono ben sicuri del fatto di poter mantenere la loro presenza all’interno del sistema, anche nel caso in cui il computer-vittima venga riavviato ed il malware venga eliminato dalla memoria. Il documento che illustra i dettagli tecnici inerenti a Duqu 2.0, e l’analisi del modulo di persistenza del malware possono essere consultati all’interno del nostro sito web.

Nello scorso mese di agosto, abbiamo pubblicato l’analisi dei nostri esperti riguardo all’APT Blue Termite, una sofisticata campagna di cyber-spionaggio basata su attacchi di natura mirata, focalizzata sul furto di informazioni riservate relative ad organizzazioni ubicate entro i confini del territorio giapponese. I target prediletti da Blue Termite includono agenzie governative, enti governativi locali, gruppi di interesse pubblico, università, banche, servizi finanziari, così come società operanti in settori quali energia, comunicazioni, industria pesante, chimica, automotive, elettricità, mass media, servizi di informazione, sanità, settore immobiliare, alimentare, semiconduttori, robotica, costruzioni, assicurazioni, trasporti ed altro ancora. Uno dei target di profilo più elevato è risultato ad esempio essere il Japan Pension Service. Il malware in causa viene personalizzato a seconda della vittima specifica. La backdoor Blue Termite custodisce i dati relativi a se stessa, compreso le informazioni riguardanti il server C2 e il nome dell’API, così come apposite stringhe volte ad impedire eventuali analisi, i valori dei mutex, il checksum MD5 dei comandi della backdoor e le informazioni sul proxy interno. I dati si presentano in forma criptata, rendendo quindi più complessa l’analisi del malware; per ogni sample occorre, in pratica, una chiave di decodifica unica. Il metodo principale di infezione, così come per molte campagne basate su attacchi mirati, è rappresentato dall’invio di e-mail di spear-phishing alle potenziali vittime. Abbiamo ad ogni caso rilevato ulteriori metodi di infezione. Questi ultimi includono gli attacchi di tipo “drive-by download”, realizzati tramite un exploit Flash (CVE-2015-5119), ovvero uno degli exploit posti in circolazione a seguito della fuga di dati subita da Hacking Team; numerosi siti web giapponesi sono stati compromessi proprio attraverso tale specifica modalità. Abbiamo ugualmente individuato alcuni attacchi di tipo “watering-hole”; segnaliamo, tra di essi, un attacco condotto nei confronti di un sito web appartenente ad un membro di spicco del governo giapponese.

Il gruppo che si cela dietro la campagna di cyber-spionaggio denominata Turla è ormai attivo da più di otto anni (il nostro report iniziale, l’analisi di follow-up ed una breve panoramica riguardo a tale estesa campagna sono disponibili su securelist.com), ed ha infettato centinaia di computer, in oltre 45 paesi. Gli hacker selezionano le proprie vittime mediante l’impiego, nelle fasi iniziali, di specifici attacchi “watering-hole”. Tuttavia, come abbiamo sottolineato nel nostro ultimo report, per condurre le successive operazioni il gruppo si avvale di connessioni Internet satellitari, per gestire il traffico C2 (Comando-e-Controllo). Il metodo utilizzato dal gruppo Turla per effettuare l’hijacking delle connessioni downstream non richiede la sottoscrizione di alcun tipo di abbonamento per poter usufruire di Internet attraverso il collegamento satellitare. Il principale vantaggio, nella circostanza, è che si tratta di un metodo altamente anonimo ed è quindi molto difficile poter identificare gli attaccanti. I ricevitori per Internet via satellite possono essere di fatto ubicati in qualsiasi luogo compreso nell’area geografica coperta da un determinato satellite, area che, generalmente, è sempre piuttosto estesa. Tale approccio si rivela quindi molto utile e vantaggioso, in quanto non possono essere facilmente individuati né la location del server C&C, né il relativo hardware di cui si fa effettivamente uso; al tempo stesso, non si corre il rischio di possibili sequestri “fisici” delle apparecchiature utilizzate. Esso è inoltre meno costoso rispetto all’acquisto di una connessione satellitare, nonché più facile da mettere in pratica rispetto all’operazione di hijacking del traffico di rete tra la vittima e l’operatore satellitare, per poi iniettare dei pacchetti lungo il percorso. Il gruppo Turla tende a concentrarsi su provider di connessioni Internet via satellite ubicati in Medio Oriente e in Africa, in paesi quali Congo, Libano, Libia, Niger, Nigeria, Somalia ed Emirati Arabi Uniti. Normalmente, le trasmissioni satellitari provenienti da tali aree geografiche non coprono i paesi europei e nordamericani; questo rende estremamente difficile, per i ricercatori operanti nella sfera della sicurezza IT, poter condurre indagini riguardo a simili attacchi. L’utilizzo delle connessioni Internet satellitari da parte del gruppo Turla costituisce uno sviluppo di indubbio interesse. L’hijacking della larghezza di banda downstream comporta costi decisamente contenuti (circa 1.000 dollari $ per l’investimento iniziale, e circa 1.000 $ all’anno per le operazioni di manutenzione), è semplice da realizzare e garantisce un elevato livello di anonimato. Dall’altro lato, tale approccio non presenta sempre lo stesso grado di affidabilità di alcuni dei metodi più “tradizionali” e collaudati, quali l’hosting di tipo “bullet proof”, l’utilizzo di livelli proxy multipli o di siti web violati – tutti metodi di cui il gruppo Turla fa ugualmente uso. Questo rende meno probabile un eventuale utilizzo dell’hijacking dei collegamenti Internet via satellite nell’ambito della gestione di estese botnet. Tuttavia, qualora tale metodo trovi una larga diffusione tra i gruppi APT o presso gli ambienti cybercriminali, sorgeranno inevitabilmente seri problemi per l’industria della sicurezza IT e per gli organismi preposti all’applicazione delle leggi vigenti.

satturla_ani_IT

Nel mese di agosto 2015 è stato da noi pubblicato un update in merito alla famigerata minaccia APT definita “Darkhotel”. Tali attacchi risultavano caratterizzati, originariamente, dall’uso improprio di certificati rubati, dal dispiegamento di file HTA tramite molteplici tecniche, e dall’infiltrazione all’interno di reti Wi-Fi di hotel allo scopo di collocare temibili backdoor sui computer presi di mira.

I cyber criminali che agiscono dietro le quinte di tale APT continuano a far uso dei metodi qui sopra descritti; essi hanno tuttavia ampliato, nel frattempo, il proprio “arsenale”, ed hanno spostato la loro attenzione in particolar modo verso mirate operazioni di spear-phishing, condotte a danno delle vittime prescelte. Oltre ai consueti file HTA, essi stanno ugualmente distribuendo file RAR infetti, servendosi, tra l’altro, del meccanismo denominato RTLO (right to left override, per ottenere la scrittura dei caratteri da destra a sinistra, a livello di nome del file), allo scopo di mascherare la reale estensione del file stesso. Gli aggressori in questione fanno inoltre uso di exploit Flash, incluso un exploit zero-day messo in circolazione a seguito dell’eclatante fuga di dati subita dalla società Hacking Team. Sottolineiamo, infine, come il gruppo Darkhotel abbia considerevolmente esteso il proprio raggio d’azione, a livello geografico; si registrano, in effetti, vittime di tale APT in Corea del Nord, Russia, Corea del Sud, Giappone, Bangladesh, Thailandia, India, Mozambico e Germania.

Fughe di dati

Nel corso del 2015 è stato registrato un flusso continuo di incidenti di sicurezza IT caratterizzati da eclatanti fughe di dati. Il fatto che simili incidenti informatici siano ormai divenuti una routine non costituisce motivo di particolare sorpresa: le informazioni personali e confidenziali rappresentano, in effetti, un bene “prezioso” non solo per le società e le organizzazioni legittime, ma anche, purtroppo, per i cybercriminali. Tra gli episodi di maggior rilievo avvenuti nel corso dell’anno, segnaliamo gli attacchi eseguiti nei confronti di Anthem, LastPass, Hacking Team, dell’Office of Personnel Management degli Stati Uniti, di Ashley Madison, Carphone Warehouse, Experian e TalkTalk. Alcuni di tali attacchi hanno comportato il furto di enormi quantità di dati, evidenziando, oltretutto, come molte società, enti ed organizzazioni non adottino misure di sicurezza adeguate per proteggersi nei confronti del cybercrimine. Non si tratta, nella circostanza, di difendere semplicemente il perimetro aziendale. Non esiste, in effetti, il concetto di “sicurezza al 100%”; non è quindi possibile garantire che un sistema informatico non possa essere violato, soprattutto nel caso in cui vi sia qualcuno, all’interno della società, che viene indotto, con pratiche ingannevoli, a compiere qualche azione che possa mettere a repentaglio la sicurezza aziendale. Ad ogni caso, qualsiasi organizzazione che custodisca dati di natura personale è tenuta a proteggere gli stessi in maniera efficace. Questo può essere effettuato, in primo luogo, attraverso apposite procedure di hashing e salting delle password dei clienti, così come tramite la cifratura degli altri dati sensibili.

Dall’altro lato, gli utenti stessi possono contribuire in maniera considerevole a limitare i danni derivanti da una fuga di dati confidenziali, subita da un provider di servizi online, scegliendo password univoche e complesse: la password ideale è composta da almeno 15 caratteri, e comprende un insieme di lettere, numeri e simboli ricavati sfruttando tutta la tastiera. In alternativa, gli utenti possono ricorrere all’utilizzo di una speciale applicazione per la gestione delle password, la quale permette, di fatto, di eseguire tutto questo in maniera automatica.

La questione della scelta delle password da parte degli utenti è, di fatto, un tema che emerge in continuazione. Se noi scegliamo una password che può essere facilmente individuata dai malintenzionati, ci esponiamo chiaramente in misura maggiore ad un possibile furto di identità. Il problema si aggrava ulteriormente qualora una stessa identica password venga da noi “riciclata” nell’ambito di molteplici account online; infatti, nel caso in cui uno di questi ultimi venga violato dai malfattori, tutti, proprio tutti i nostri account risulteranno esposti ad un effettivo rischio di sicurezza! Questo è il motivo per cui molti provider, tra cui Apple, Google e Microsoft, mettono adesso a disposizione dei propri utenti il sistema di autenticazione a due fattori, tramite il quale – per poter accedere ad un determinato sito web, oppure per apportare modifiche alle impostazioni del proprio account – viene richiesto, al cliente, di inserire un codice di sicurezza generato da un token hardware, oppure di introdurre un codice segreto appositamente trasmesso ad un dispositivo mobile. L’autenticazione a due fattori incrementa di certo il livello di sicurezza dell’utente, ma solo nel caso in cui l’utilizzo di tale sistema venga effettivamente richiesto, risultando quindi obbligatorio – e non rappresenti, invece, una scelta opzionale.

Il furto dei dati personali può generare serie conseguenze, per le persone e per le società che vengono colpite da tale atto criminoso. A volte, poi, possono ugualmente prodursi gravi effetti a catena. L’ingente fuga di dati subita da Hacking Team ha causato la pubblicazione di 400GB di dati: questi comprendevano, tra l’altro, gli exploit utilizzati dalla società italiana nell’ambito del proprio software di sorveglianza. Alcuni di tali exploit sono stati poi utilizzati nel corso di attacchi APT – Darkhotel e Blue Termite. Non sorprende il fatto che l’eclatante fuga di dati sia stata seguita da una vera e propria corsa per correggere al più presto le vulnerabilità esposte dagli attacker.

Dispositivi intelligenti (ma non necessariamente sicuri)

Possiamo senza ombra di dubbio affermare che Internet, al giorno d’oggi, si stia letteralmente intrecciando, sempre di più, con il “tessuto” delle nostre vite; di fatto, è quello che avviene già con un numero sempre crescente di oggetti di uso quotidiano, impiegati nelle moderne abitazioni: smart TV, contatori intelligenti, baby monitor, bollitori, e molto altro ancora. Forse vi ricorderete che, lo scorso anno, uno dei nostri ricercatori operanti nel campo della sicurezza IT ha investigato sulla propria abitazione, al fine di stabilire se quest’ultima fosse realmente “cyber-sicura”. Un interessante follow-up dell’indagine precedentemente condotta può essere consultato qui. L’Internet delle Cose, tuttavia, non si limita soltanto ai dispositivi domestici.

I ricercatori stanno ormai indagando da anni in merito ai potenziali rischi di sicurezza associati all’utilizzo delle auto connesse. Nel mese di luglio 2014 Kaspersky Lab e IAB hanno pubblicato i risultati di uno studio riguardante le potenziali aree problematiche in relazione alle auto connesse. Fino a quest’anno, le ricerche si erano più che altro focalizzate sull’accesso ai sistemi presenti nell’autovettura per mezzo di una connessione fisica con il veicolo stesso. La situazione è cambiata quando i ricercatori Charlie Miller e Chris Valasek hanno individuato un modo per ottenere l’accesso wireless ai sistemi critici di una Jeep Cherokee, riuscendo a prendere il controllo del mezzo e a condurre lo stesso addirittura fuori strada! (Un dettagliato resoconto dell’esperimento è disponibile qui).

Questa “storia” di sicurezza evidenzia alcune delle problematiche associate all’utilizzo dei dispositivi connessi, e non solo nell’ambito dell’industria automobilistica; esse riguardano, in pratica, qualsiasi dispositivo interconnesso. Purtroppo, le funzionalità legate alla sicurezza si vendono con una certa difficoltà; in un mercato altamente competitivo, in effetti, tendono ad avere la precedenza quegli elementi concepiti per rendere più facile e comoda la vita dell’acquirente. Inoltre, la connettività viene spesso aggiunta ad una rete di comunicazione preesistente, non creata, originariamente, tenendo conto in maniera specifica delle tematiche di sicurezza. La storia dimostra, infine, come la sicurezza tenda ad essere in qualche modo “riadattata” soltanto dopo che si è verificato qualcosa di spiacevole, magari uno o più episodi che mettono in luce l’impatto negativo generato da eventuali falle di sicurezza. Ulteriori dettagli e considerazioni riguardo a tali problematiche possono essere reperiti in un blog post scritto da Eugene Kaspersky subito dopo la pubblicazione della suddetta ricerca.

Simili problemi riguardano ugualmente le cosiddette “Smart Cities”. Ad esempio, nel corso di questi ultimi anni, l’utilizzo dei sistemi CCTV – da parte di entità governative e forze dell’ordine, per garantire la videosorveglianza dei luoghi pubblici – è cresciuto enormemente. Molte telecamere CCTV sono provviste di apposita connessione wireless ad Internet; ciò consente agli organi di polizia di poterne effettuare il monitoraggio da remoto. Le stesse, tuttavia, non sono necessariamente sicure; è in effetti teoricamente possibile, per i cybercriminali, monitorare passivamente i feed video ottenuti per mezzo delle telecamere di sorveglianza, iniettare codice maligno all’interno del network, magari sostituire i feed video reali con filmati fasulli pre-registrati, oppure disabilitare la connessione alla Rete dei sistemi in causa. Due ricercatori operanti nel campo della sicurezza IT (Vasilios Hioureas di Kaspersky Lab e Thomas Kinsey di Exigent Systems) hanno recentemente condotto un’indagine relativa ai potenziali punti deboli – in termini di sicurezza – evidenziati dai sistemi CCTV installati in una determinata città. Il report stilato in merito da Vasilios può essere consultato all’interno del nostro sito web.

È stato in primo luogo rilevato come non fosse stato fatto alcun tentativo, da parte degli installatori, di mascherare la marca delle telecamere; è risultato quindi estremamente agevole poter determinare chi fosse il produttore di queste ultime, così come il modello delle stesse. Sulla base di tali elementi, una volta esaminate le relative specifiche tecniche, è stato ricreato, in laboratorio, un apposito modello in scala. Di fatto, le attrezzature installate lungo le strade e le piazze della cittadina erano potenzialmente in grado di assicurare efficaci controlli di sicurezza; questi ultimi, tuttavia, non erano stati ancora implementati. Inoltre, i pacchetti di dati trasmessi attraverso la rete mesh non risultavano in alcun modo codificati; un hacker avrebbe quindi potuto creare agevolmente una propria versione del software e manipolare, in seguito, i dati circolanti lungo la rete in questione. Nella fattispecie, un potenziale utilizzo nocivo dei sistemi CCTV da parte dei cybercriminali potrebbe essere rappresentato dall’effettuare azioni di disturbo o diversive nei confronti del traffico di dati in transito attraverso un determinato nodo della rete, quali, ad esempio, il sostituire i feed reali, normalmente trasmessi alla stazione di polizia, con video fasulli appositamente confezionati. In un simile scenario, una gang di criminali informatici potrebbe ad esempio indurre il dipartimento di polizia a credere che si stia perpetrando un reato in una certa zona della città, per poi attendere che gli agenti vengano effettivamente inviati dal loro comando proprio in quell’area. Una situazione del genere lascerebbe così aperta l’opportunità di commettere un crimine in un’altra zona della città, dove non vi sono, sul momento, agenti di polizia.

I ricercatori hanno poi provveduto a segnalare l’esistenza di tali problematiche di sicurezza alle autorità responsabili dei sistemi di sorveglianza installati nella cittadina in cui è stata svolta l’indagine, autorità che sono adesso in procinto di risolvere i seri problemi di sicurezza che si sono manifestati. In generale, si rivela di particolare importanza implementare, nell’ambito di tali reti, la codifica WPA, protetta da una solida password; allo stesso modo, occorre assicurarsi bene che tutte le etichette presenti sull’hardware vengano opportunamente rimosse, allo scopo di scoraggiare i potenziali aggressori dal cercare di scoprire il funzionamento delle apparecchiature installate; è infine necessario far sì che i dati video risultino protetti mediante l’utilizzo della crittografia a chiave pubblica, la quale renderà più o meno impossibile poter manipolare tali dati nel momento in cui essi transitano attraverso i vari nodi del network.

Il problema fondamentale, ad ogni caso, consiste nel fatto che un numero sempre maggiore di aspetti della nostra vita quotidiana viene governato dalle tecnologie digitali: pertanto, se il tema della sicurezza non viene considerato come parte integrante della fase progettuale, i potenziali pericoli esistenti potrebbero rivelarsi di vasta portata e particolare gravità, mentre l’implementazione di sistemi di sicurezza in qualche modo “riadattati” alle esigenze del momento potrebbe divenire quantomai complessa. A tal proposito, è stata varata l’iniziativa globale no-profit denominata Securing Smart Cities, supportata da Kaspersky Lab, con il preciso intento di aiutare i responsabili dello sviluppo delle cosiddette città “intelligenti” a tenere sempre nella dovuta considerazione le delicate tematiche inerenti alla cyber-sicurezza.

La collaborazione internazionale nella lotta contro il cybercrimine

Il cybercrimine è ormai divenuto un temibile elemento con il quale, purtroppo, ci dobbiamo spesso confrontare durante lo svolgimento delle varie attività che ogni giorno, in misura sempre maggiore, conduciamo online. Tale situazione si riflette, attualmente, anche a livello di statistiche ufficiali. Nel Regno Unito, ad esempio, l’Office for National Statistics provvede adesso ad inserire anche il cybercrimine nelle stime riguardanti Il fenomeno della criminalità, a riprova del fatto che, nella società attuale, la natura dei crimini commessi sta progressivamente cambiando. Non vi è dubbio riguardo al fatto che il cybercrimine possa essere particolarmente redditizio; i criminali informatici, tuttavia, non sono sempre in grado di operare impunemente sugli scenari globali del malware; a tal proposito, la pronta ed efficace azione svolta congiuntamente, in vari paesi, dalle forze dell’ordine e dagli organi competenti può avere un impatto di particolare rilevanza sulle attività nocive condotte quotidianamente dai cybercriminali. Da questo punto di vista, si rivela essere particolarmente importante la cooperazione intrapresa su scala internazionale, vista la natura globale del crimine informatico. Nel corso dell’anno oggetto del presente report, dedicato all’analisi degli eventi chiave che hanno definito il panorama delle minacce IT nel 2015, sono state condotte varie operazioni di cyberpolizia di notevole portata.

Nello scorso mese di aprile, Kaspersky Lab ha preso parte alle operazioni di smantellamento della botnet Simda, coordinate dal Global Complex for Innovation di INTERPOL. Le indagini, avviate inizialmente da Microsoft, hanno visto la successiva partecipazione di ulteriori aziende leader del mercato IT, tra cui Kaspersky Lab e Trend Micro, in stretta collaborazione con il Japan’s Cyber Defense Institute, funzionari della Dutch National High Tech Crime Unit (NHTCU) dei Paesi Bassi, il Federal Bureau of Investigation (FBI) degli Stati Uniti, la Police Grand-Ducale Section Nouvelles Technologies del Lussemburgo e il Dipartimento del Cybercrimine “K” del Ministero dell’Interno russo, supportati dall’INTERPOL National Central Bureau di Mosca. La vasta operazione congiunta ha permesso di smantellare ben 14 server, situati in Olanda, negli Stati Uniti, in Lussemburgo, Polonia e Russia. L’analisi preliminare condotta su alcuni dei server log sottoposti a procedure di sinkhole ha rivelato come fossero stati complessivamente colpiti dalle attività cybercriminali svolte nell’ambito della botnet Simda addirittura 190 paesi.

In settembre, la polizia informatica olandese ha proceduto all’arresto di due persone sospette, a seguito del presunto coinvolgimento delle stesse negli attacchi informatici riconducibili al ransomware CoinVault. L’arresto è stato reso possibile grazie agli sforzi congiunti prodotti da Kaspersky Lab, Panda Security e dalla National High Tech Crime Unit (NHTCU) olandese, i quali hanno pienamente evidenziato gli innegabili vantaggi derivanti dalla collaborazione tra forze di polizia e ricercatori operanti nel campo della sicurezza IT. La campagna di malware in questione ha avuto inizio nel mese di maggio del 2014, per poi proseguire nel corso dell’anno corrente. Essa ha bersagliato target ubicati in oltre 20 paesi; la maggior parte delle vittime è stata registrata nei Paesi Bassi, in Germania, Stati Uniti, Francia e Gran Bretagna. Nella circostanza, i malfattori sono riusciti a criptare file su oltre 1.500 computer provvisti di sistema operativo Windows, richiedendo poi alle vittime un pagamento in Bitcoin per decodificare i dati custoditi sulle macchine sottoposte ad attacco. I criminali informatici responsabili della conduzione della campagna ransomware qui descritta hanno modificato le loro “creature” varie volte, per poter continuare a prendere di mira nuove vittime. Nel mese di novembre 2014, Kaspersky Lab e la NHTCU dei Paesi Bassi hanno lanciato un sito web con funzione di repository delle chiavi di decodifica. Oltre a questo, abbiamo reso disponibile, online, un apposito tool di decodifica, allo scopo di aiutare le vittime del ransomware a recuperare i loro dati, senza dover pagare il riscatto richiesto. Potete trovare qui la nostra analisi dettagliata in merito alle mille tortuosità che hanno accompagnato il complesso percorso di CoinVault. Il ransomware è purtroppo divenuto un elemento costante nel torbido panorama delle minacce IT. Mentre il caso qui esaminato dimostra come la collaborazione tra i ricercatori e le forze dell’ordine possa condurre a risultati ampiamente positivi, risulta essenziale, per gli utenti consumer e corporate, adottare opportune misure di sicurezza, per mitigare i rischi generati dalla presenza di questa specifica tipologia di malware. Le operazioni cybercriminali che prevedono il dispiegamento di temibili programmi ransomware si basano proprio sull’auspicato pagamento del riscatto da parte degli utenti-vittima. Nello scorso mese di settembre, le dichiarazioni rilasciate da un agente dell’FBI non hanno mancato di suscitare varie polemiche, visto che il funzionario in questione suggeriva alle vittime del ransomware di pagare semplicemente il riscatto, per poter recuperare i propri dati. Anche se potrebbe apparire come una soluzione del tutto pragmatica (non da ultimo per il fatto che vi sono situazioni in cui il recupero dei dati non si rivela possibile), si tratta, ad ogni caso, di una strategia pericolosa. In primo luogo, non è affatto garantito che i cybercriminali forniscano, successivamente, il meccanismo necessario per poter decodificare i dati. In secondo luogo, il pagamento dell’importo richiesto non fa altro che rafforzare tale modello di business cybercriminale, rendendo quindi più probabile l’ulteriore sviluppo del ransomware. Consigliamo pertanto, sia agli utenti corporate che agli utenti privati, di effettuare regolarmente il backup dei propri dati, per evitare di doversi trovare a fronteggiare questa spiacevole situazione.

Attacchi nei confronti di impianti e obiettivi industriali

Nell’ambito dei complessi industriali, gli incidenti occorsi a causa di problemi legati alla cyber-sicurezza si verificano, purtroppo, con una certa regolarità. Ad esempio, secondo i dati resi noti dall’ICS CERT, organizzazione statunitense operante nel settore della sicurezza IT in ambito industriale, nel corso dell’anno finanziario 2014 si sono registrati 245 incidenti informatici del genere, mentre nel periodo che comprende i mesi di luglio e agosto 2015 il loro numero complessivo è stato di 22. A nostro avviso, tuttavia, tali cifre non rispecchiano la reale situazione: il numero di cyber-incidenti riconducibili a questa specifica tipologia è, di fatto, sensibilmente superiore. Vi è, infatti, una parte di incidenti in merito ai quali gli operatori e i proprietari degli stabilimenti preferiscono semplicemente tacere; esiste poi, oltre a ciò, un’ulteriore porzione di simili eventi di cui gli stessi non vengono nemmeno a conoscenza.

Esamineremo, qui di seguito, due casi che, nel corso del 2015, hanno attirato in particolar modo la nostra attenzione.

Il primo dei due incidenti si è verificato in Germania, in una fonderia di acciaio. Proprio alla fine del 2014, l’Ufficio Federale per la Sicurezza Informatica in Germania (Bundesamt für Sicherheit in der Informationstechnik, BSI) ha emesso un comunicato stampa (il documento è in lingua tedesca), nel quale viene descritto, tra le altre cose, il cyber-incidente avvenuto in una delle fonderie di acciaio che si trovano in territorio tedesco. Tale incidente ha prodotto, in ultima analisi, il danneggiamento fisico di un altoforno.

Si tratta, a tutt’oggi, del secondo caso di cyber-attacco, dopo l’eclatante caso Stuxnet, che ha comportato il danneggiamento fisico di equipaggiamenti industriali. Secondo quanto dichiarato dai rappresentanti del BSI, inizialmente, attraverso una mailing di phishing, è stata infettata la rete informatica presente negli uffici dello stabilimento; gli hacker, in seguito, sono riusciti ad infettare un computer del sistema SCADA e ad eseguire l’attacco nei confronti delle apparecchiature dell’impianto. Purtroppo, il BSI non ha fornito alcuna informazione aggiuntiva; non siamo quindi in grado né di riferirvi quale sia stato l’effettivo programma malware utilizzato nella circostanza, né di illustrare il funzionamento dello stesso.

Tale alone di “segretezza”, di fatto, non è di certo utile per tutti quanti; ad esempio, gli operatori che lavorano all’interno di stabilimenti analoghi (a parte, forse, quelli tedeschi) non hanno la possibilità di indagare in merito alle dinamiche dell’attacco e di introdurre, di conseguenza, opportune contromisure di sicurezza. Gli stessi esperti di cyber-sicurezza rimangono in pratica all’oscuro, riguardo a quanto sia realmente avvenuto, e non possono, quindi, proporre ai propri clienti adeguati metodi di protezione.

Un altro interessante caso è rappresentato dal cyber-attacco condotto nei confronti dell’aeroporto Fryderyk Chopin di Varsavia, nel mese di giugno 2015. Una domenica, il sistema elettronico adibito all’elaborazione dei piani di volo della compagnia aerea polacca LOT è stato in pratica messo fuori servizio per circa 5 ore. Secondo i dati comunicati dall’agenzia Reuters, tale inattesa circostanza ha causato il ritardo di una dozzina di voli.

Anche in questo caso, il management dell’aeroporto non ha fornito dettagli; gli esperti hanno tuttavia espresso il loro parere in merito, sulla base dell’esperienza precedentemente acquisita. Ruben Santamarta, il principale consulente per la sicurezza nel quadro della società IOActive, già in precedenza aveva richiamato l’attenzione sui problemi legati alla sicurezza IT nel settore dell’aviazione civile. Sulla base di quanto asserito dai rappresentanti della LOT, egli ha avanzato l’ipotesi che la compagnia aerea polacca avesse subito un attacco di natura mirata: nella fattispecie, il sistema elettronico non avrebbe potuto generare i piani di volo in quanto erano state compromesse le unità chiave di back office; come possibile alternativa, l’attacco era stato indirizzato ai dispositivi preposti alle comunicazioni a terra, ed aveva prodotto l’impossibilità di realizzare e convalidare l’upload dei dati sui computer di bordo (compreso i dati relativi ai piani di volo).

Anche gli esperti di Kaspersky Lab si sono a suo tempo espressi in merito all’incidente informatico in questione: abbiamo difatti ipotizzato, da parte nostra, l’esistenza di due possibili scenari, relativamente all’attacco sopra descritto. L’incidente, secondo noi, si è potuto verificare a causa del fattore umano, oppure a causa di un guasto alle apparecchiature. Un’altra ipotesi è che l’attacco rivolto all’aeroporto di Varsavia, struttura di dimensioni relativamente contenute, sia stato solo il precursore di azioni condotte su più vasta scala, da parte di cyber criminali, in altri importanti aeroporti del mondo.

È stato in seguito ufficialmente annunciato che si trattava di un attacco DDoS e che, di fatto, non si era verificata nessuna intrusione. Ancora una volta, tuttavia, non sono state diffuse informazioni dettagliate sull’incidente occorso; dobbiamo pertanto rassegnarci a credere alle informazioni diramate in forma ufficiale, oppure possiamo interrogarci in merito alle reali cause e ai veri scopi dell’attacco.

Tuttavia, anche se non sappiamo chi si nasconde, effettivamente, dietro agli attacchi di cui abbiamo parlato e quali possano essere stati gli scopi degli stessi, proprio prendendo ad esempio tali attacchi possiamo facilmente convincerci di come i computer facciano ormai strettamente parte della nostra vita e, al tempo stesso, di quanto siano divenute vulnerabili, con il trascorrere del tempo, determinate infrastrutture.

Purtroppo, la politica della “chiusura” viene attualmente applicata da numerosi stati, e da numerose autorità preposte alla regolamentazione. A nostro avviso, la trasparenza e lo scambio di informazioni riguardo ai cyber-attacchi rappresentano una componente di particolare importanza nell’allestimento di adeguati sistemi di protezione per gli impianti e gli obiettivi industriali; in mancanza di tali conoscenze, risulta davvero molto difficile poter proteggere questi ultimi nei confronti delle minacce future.

In conclusione, vorremmo porre in risalto un’ulteriore tendenza, la quale ha già iniziato ad influenzare, ed influenzerà ancor di più, negli anni a venire, noi tutti: gli equipaggiamenti, le attrezzature e i macchinari utilizzati nell’ambito degli stabilimenti industriali, e nell’industria in generale, vengono già attivamente collegati alla Rete. Certamente, la rete Internet è stata inventata già da tempo, ma è solo adesso che inizia a manifestarsi in maniera netta la sua presenza nel quadro dei processi produttivi. Tale specifica tendenza può essere definita, innegabilmente, una vera e propria rivoluzione industriale: stiamo in pratica assistendo alla nascita dell’“Internet delle Cose Industriale” o, se vogliamo, dell'”Industria 4.0″. Grazie a tutto questo, le imprese industriali acquisiscono, indubbiamente, un considerevole numero di vantaggi e benefici aggiuntivi, ed innalzano il livello di efficienza in ambito produttivo.

Per stare al passo con l’applicazione e lo sviluppo di questa precisa tendenza, i produttori di macchinari per il mondo dell’industria cercano semplicemente di equipaggiare, con i necessari sensori e controller, attrezzature ormai ben collaudate e sicure, costruite, tuttavia, per un mondo ancora “senza Internet”; essi collegano poi il dispositivo alla Rete ed ottengono, in tal modo, un “nuovo macchinario”. I produttori dimenticano, però, che dotando un qualsiasi macchinario delle funzionalità necessarie per “lavorare in Rete”, compaiono pur sempre nuovi rischi e nuove minacce correlate alla cyber-sicurezza; non si tratta più, pertanto, di attrezzature esclusivamente “fisiche”, ma diremmo, piuttosto, “cyber-fisiche”.

Nel mondo degli impianti “fisici”, tutti gli equipaggiamenti, gli strumenti, i protocolli di comunicazione, e via dicendo, utilizzati nell’ambito dei processi di produzione industriale, sono stati in pratica progettati tenendo in considerazione appositi criteri di sicurezza funzionale; in altre parole, sono stati progettati in modo tale da far risultare gli stessi completamente sicuri. Questo significa, in sostanza, che se l’impianto è stato realizzato in conformità ai requisiti richiesti per garantirne la sicurezza funzionale, utilizzando lo stesso in maniera tale da non violare le norme previste per la sicurezza sul lavoro, non si dovrebbero verificare guasti di alcun genere, né, tantomeno, danni alle persone o all’ambiente.

Con il nuovo concetto di “Industria 4.0” è stata introdotta una nuova dimensione a livello di sicurezza, ovvero la sicurezza informatica, attraverso la quale viene esercitata un’efficace funzione protettiva nei confronti di eventuali azioni malevole portate intenzionalmente dall’esterno. Non si può, quindi, collegare alla Rete, in maniera semplicistica, un impianto o un macchinario ancora appartenente all’era “pre-Internet”; le conseguenze di una simile connessione potrebbero essere, e di fatto lo sono, assolutamente nefaste.

Gli ingegneri e i tecnici che ancora applicano principi di progettazione ormai “obsoleti” non considerano, spesso, l’eventualità che, al giorno d’oggi, il macchinario da essi realizzato possa essere utilizzato non solo il legittimo operatore dello stabilimento (il quale sa esattamente ciò che si può fare e quello che non si può fare, con la macchina che egli gestisce), ma anche un potenziale hacker, per il quale, di certo, non ha in alcun modo valore il concetto di “attività non consentita su un impianto remoto”. È questo uno dei principali motivi per cui, attualmente, certe aziende dotate di lunga esperienza e ricche di tradizione, producono equipaggiamenti industriali di ottima qualità e pienamente affidabili dal punto di vista della sicurezza funzionale, i quali, tuttavia, non garantiscono, all’impresa acquirente, il necessario livello di cyber-sicurezza.

Nell’era dei cosiddetti impianti “cyber-fisici”, le componenti “cibernetica” e “fisica” risultano strettamente collegate tra loro. Un cyber-attacco può interrompere o inibire del tutto un processo tecnologico in corso, provocare danneggiamenti alle stesse apparecchiature, oppure causare, potenzialmente, una catastrofe “tecnogenica”. Gli hacker rappresentano, purtroppo, una minaccia reale, e tutto ciò che è connesso alla Rete può essere, di fatto, attaccato. Pertanto, nel delicato processo di sviluppo di nuove apparecchiature e macchinari industriali “connessi”, i produttori dovranno necessariamente elaborare ed implementare specifiche misure di protezione nei confronti delle attuali cyber-minacce, con la stessa accuratezza con la quale vengono da essi applicate quelle misure e quei criteri in grado di garantire la sicurezza a livello funzionale.

Conclusioni

Nel 2015, forse per la prima volta nella storia di Internet, i problemi legati alla protezione delle reti informatiche e alla sicurezza in Rete sono stati discussi in relazione ad ogni settore dell’economia e riguardo ad ogni aspetto della vita di tutti i giorni. Potete tranquillamente scegliere qualsiasi ambito della civiltà moderna: la finanza, la produzione industriale, l’automotive, il trasporto aereo, i dispositivi indossabili, il ramo dell’assistenza sanitaria, e molto altro ancora: troverete sicuramente, riguardo ad ogni specifico settore, vari documenti pubblicati nel corso di questo anno, relativi agli incidenti informatici occorsi o alle problematiche di cyber-sicurezza che si sono manifestate.

Purtroppo, il tema della cyber-sicurezza è divenuto inscindibilmente legato anche al crescente fenomeno del terrorismo. Al giorno d’oggi, i metodi di difesa e di attacco utilizzati nell’ambito della Rete costituiscono l’oggetto di un pronunciato interesse da parte di varie strutture e raggruppamenti che agiscono nella sfera dell’illegalità.

Le questioni inerenti alle tematiche di cyber-sicurezza sono state ormai portate all’attenzione delle missioni diplomatiche e delle massime autorità di numerosi Stati. Nel corso di questo anno, ad esempio, sono stati siglati accordi, a livello di sicurezza informatica, tra Russia e Cina, Cina e Stati Uniti, Cina e Gran Bretagna. Nel quadro di tali documenti, gli Stati in questione assumono precisi obblighi non solo riguardo alla collaborazione in materia di cyber-sicurezza, ma anche relativamente all’inammissibilità di attacchi reciproci. Allo stesso tempo, sono state attivamente discusse le modifiche recentemente apportate all’accordo di Wassenaar, in merito alla limitazione dell’export di software destinato ad usi spionistici. Uno dei temi principali dell’anno è risultato essere l’utilizzo, da parte di vari personaggi politici, in tutto il mondo, di servizi di posta elettronica non protetti; il caso di maggior rilievo ha riguardato l’ex Segretario di Stato degli USA, Hillary Clinton (in carica al momento in cui si sono verificati gli eventi).

Tutto questo ha generato un enorme aumento di interesse nei confronti delle problematiche di cyber-sicurezza, non solo da parte dei mass media internazionali, ma anche dell’industria dell’entertainment: sono stati ad esempio girati dei film a lungo metraggio, nonché alcuni serial. Nella circostanza, alcuni esperti in materia di sicurezza informatica sono stati persino invitati a interpretare dei ruoli specifici, impersonando, a volte, loro stessi.

Nel 2015, il termine “cyber-sicurezza” è indubbiamente diventato di moda; questo non significa, tuttavia, che i problemi siano stati risolti. Stiamo in effetti assistendo ad una crescita quasi esponenziale riguardo a tutti gli elementi e fattori correlati alla cyber-sicurezza: aumento del numero degli attacchi informatici condotti, del numero dei cyber criminali e delle conseguenti vittime degli stessi; incremento delle spese per i sistemi di difesa e protezione; aumento del numero delle leggi e degli accordi volti a regolamentare la situazione esistente, oppure a stabilire nuove normative. Per quel che ci riguarda, tutto questo si traduce, fondamentalmente, in un aumento del livello di complessità degli attacchi informatici condotti dai malintenzionati. Il duro confronto è di sicuro giunto ad una fase particolarmente intensa; tuttavia, lo stadio conclusivo della lotta intrapresa nei confronti del cybercrimine è ancora molto, molto lontano.

Relativamente a ciò che ci attende nel futuro a breve e lungo termine abbiamo riferito in dettaglio attraverso le nostre previsioni per l’anno 2016.

Related Articles

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *