Kaspersky Security Bulletin. Previsioni per il 2017

Gli ‘Indicatori di Compromissione’ sono ormai Morti

Contenuti

Siamo ormai giunti alla fine di un altro anno; si è trattato, indubbiamente, di un anno che passerà alla storia, per quel che riguarda gli avvenimenti di particolare rilevanza che si sono susseguiti, in sempre più rapida successione, nel settore dell’Information Security. Il 2016 è stato segnato da eventi di notevole “drammaticità”, da “intrighi” e raggiri di proporzioni davvero considerevoli, da “imprese” particolarmente eclatanti; mentre ci accingiamo a fare il punto su alcune delle “storie” di sicurezza IT maggiormente degne di nota, riguardo all’anno che sta ormai volgendo al termine, getteremo ancora una volta il nostro sguardo verso il futuro, per cercare di cogliere ciò che si sta profilando, per il 2017, sul torbido panorama delle minacce informatiche. Nella circostanza, non adotteremo di certo il classico tono, a volte malcelato, del vendor; le nostre previsioni si baseranno, invece, sulle specifiche ed effettive tendenze da noi osservate nel corso delle indagini e delle ricerche da noi svolte; ci prefiggiamo, allo stesso modo, di fornire spunti ed indicazioni particolarmente stimolanti, sia per i ricercatori, sia per tutti coloro che nutrono uno spiccato interesse nei confronti delle tematiche di threat intelligence.

Kaspersky Security Bulletin. Previsioni per il 2017

Ciò che abbiamo rilevato riguardo al 2016

Le previsioni fatte lo scorso anno si sono rivelate sostanzialmente azzeccate; alcuni degli elementi da noi prospettati si sono addirittura “avverati” ben prima del previsto. Nel caso in cui non abbiate ben presenti i temi da noi proposti un anno fa, vi ricordiamo, con l’occasione, che alcune delle previsioni di maggior rilievo da noi effettuate riguardavano gli argomenti qui di seguito elencati:

APT: Avevamo previsto una significativa diminuzione del livello di enfasi per ciò che riguarda la persistenza di tali minacce, così come una maggiore propensione, da parte degli attori APT, a ricorrere all’utilizzo di malware “commerciali” per la conduzione degli attacchi informatici mirati; questo avrebbe inevitabilmente comportato, per i gruppi APT, il fatto di dover uscire – almeno parzialmente – dalla fitta ombra nella quale essi abitualmente si celano. Nel corso del 2016 abbiamo effettivamente assistito al verificarsi di tutto questo, sia con l’utilizzo sempre maggiore di malware residenti in memoria o fileless, sia con il manifestarsi di una vera e propria miriade di attacchi mirati, diretti ad attivisti e società, in cui si è fatto ricorso, nell’ambito delle APT, all’utilizzo del cosiddetto malware “off-the-shelf” (in pratica il malware “di serie”, subito disponibile per l’uso), quale, ad esempio, NJRat e Alienspy/Adwind.

Ransomware: Il 2016 può essere dichiarato, senza ombra di dubbio, l’anno del ransomware. Il malware finanziario tradizionalmente dispiegato dai cybercriminali per prendere di mira le proprie vittime, è stato in pratica “oscurato” da quegli schemi di attacco che vedono come assoluto protagonista il ransomware, il quale ha letteralmente cannibalizzato, con il proprio modello ricattatorio-estorsivo, di indubbia efficacia e maggiormente redditizio, le risorse abitualmente dedicate allo sviluppo dei programmi malware.

Un maggior numero di cyber-rapine: Nel considerare l’eventualità di un’imminente espansione dei crimini finanziari compiuti al più alto livello, avevamo ipotizzato anche il profilarsi di un altro inevitabile punto di interesse, per i cybercriminali, costituito dalle istituzioni operanti nella sfera finanziaria, quali, ad esempio, le borse valori, potenzialmente un vero e proprio filone aurifero. Sono stati tuttavia gli attacchi condotti nei confronti del circuito SWIFT a far concretizzare simili previsioni, con decine di milioni di dollari illecitamente sottratti grazie a programmi malware particolarmente “astuti”, peraltro abilmente “piazzati” nei punti maggiormente sensibili.

Attacchi Internet: Ancor più di recente, lo sconfinato mondo dei dispositivi connessi ad Internet senza che siano stati previamente implementati i necessari standard di sicurezza – un universo spesso, ed inspiegabilmente, ignorato – è salito infine alla ribalta, sotto forma di un’estesa e minacciosa botnet IoT che ha causato dei veri e propri black-out per alcuni dei principali servizi Internet e, al tempo stesso, intoppi più o meno seri per chi si affidava ad uno specifico provider DNS.

Pubblico discredito ed estorsioni: Nel corso del 2016, le pratiche malevole che riguardano il pubblico discredito e le estorsioni hanno continuato a riempire le scene in pompa magna, visto che numerosi episodi di hacking e varie diffusioni non autorizzate di documenti ed informazioni di vario genere, condotte in maniera strategica o indiscriminata, hanno di fatto causato parecchi problemi, a destra e a manca, a livello personale, reputazionale e politico. Dobbiamo sinceramente ammettere di essere rimasti davvero sorpresi sia dall’effettiva portata di alcuni di tali episodi, sia dal genere di persone rimasto vittima di eclatanti casi di DOXing o di indebite fughe di dati.

Kaspersky Security Bulletin. Previsioni per il 2017

Che cosa ha in serbo il 2017?

Le temute APT

L’ascesa degli impianti malware “fatti su misura” e passivi

In genere, si rivela un’operazione piuttosto complessa far sì che società ed aziende di grandi dimensioni possano adottare le necessarie misure di protezione IT; tuttavia, occorre ugualmente riconoscere, da parte nostra, in maniera debita, se – e quando – tali misure iniziano a manifestare un certo “logorio”, oppure a non risultare più efficaci. Gli Indicatori di Compromissione (IoC, Indicators of Compromise) rappresentano, indubbiamente, un ottimo metodo per condividere i tratti distintivi di programmi malware già noti, costituiti da hash, domini, o specifiche peculiarità a livello di esecuzione del software dannoso; tali elementi, in effetti, possono consentire ai “difensori” di riconoscere un’infezione attiva. Tuttavia, gli attori APT ormai ben consolidati, quelli che fanno inevitabilmente tendenza nel duro “gioco” del cyber-spionaggio, hanno a loro volta imparato a difendersi nei confronti di queste misure “generalizzate”, come ha dimostrato, di recente, l’APT denominata ProjectSauron, una piattaforma malware altamente “personalizzata”, con caratteristiche appositamente modificate per potersi adattare nel miglior modo possibile ad ognuna delle potenziali vittime; in un simile contesto, quindi, può risultare in pratica inutile prestare il consueto aiuto ai defender, allo scopo di rilevare qualsiasi altra infezione che possa manifestarsi in maniera analoga. Questo, comunque, non significa in alcun modo che i difensori non abbiano più l’opportunità di ottenere l’indispensabile supporto tecnico; è tuttavia giunto il momento di spingere per una più ampia adozione di efficaci regole Yara, le quali possano permetterci di effettuare le dovute scansioni, in lungo e in largo, all’interno dell’infrastruttura informatica di cui è dotata l’impresa, di ispezionare, esaminare ed identificare i tratti peculiari di eventuali file binari “dormienti” e, al tempo stesso, di eseguire scansioni relativamente alle memorie disponibili, in cerca di frammenti identificativi di attacchi malware già noti.

ProjectSauron ha ugualmente messo in mostra un ulteriore, sofisticato tratto distintivo, una tendenza che ci attendiamo di vedere in sensibile crescita, ovvero quella del cosiddetto “impianto passivo”. Ci riferiamo, nella circostanza, ad una backdoor implementata a livello di rete, presente in memoria, oppure sotto forma di driver trasformato in backdoor su un gateway Internet o su un server provvisto di accesso ad Internet; una backdoor che, “silenziosamente”, rimane in attesa dei magici byte che vanno a risvegliare la sue funzionalità. Finché non vengono attivati dai propri “padroni”, gli impianti passivi presentano, di fatto, solo lievissimi “sintomi” di un’infezione attiva in corso – o addirittura nessun segnale in merito; per tale motivo, vi sono minori probabilità che gli stessi possano essere rilevati da qualcuno, se non, forse, dal più “paranoico” dei difensori, oppure come parte di uno scenario di risposta nei confronti di un più vasto incidente informatico. Occorre inoltre tenere a mente che tali impianti malware non possiedono un’infrastruttura di comando e controllo predefinita, utilizzata per le abituali comunicazioni C&C, e per fornire, al tempo stesso, una testa di ponte decisamente più anonima. Riassumendo, si tratta, quindi, dello strumento di elezione per gli hacker più cauti e prudenti, i quali hanno ad ogni caso la necessità di assicurarsi, in un momento ben preciso, il modo di penetrare all’interno del network informatico preso di mira.

Kaspersky Security Bulletin. Previsioni per il 2017

Infezioni effimere

La progressiva adozione di PowerShell non solo si è fatta strada in qualità di apprezzato “dream tool” per gli amministratori Windows, ma si è anche rivelata essere, purtroppo, un terreno particolarmente fertile per le folte schiere di sviluppatori di malware in cerca di installazioni furtive, movimenti “laterali” e capacità esplorative che possano essere difficilmente, se non improbabilmente registrate da configurazioni standard. È invece probabile che il malware di esigue dimensioni basato su PowerShell, custodito nella memoria o nel registro, si “diverta” davvero un mondo, nell’ambito degli attuali sistemi operativi Windows. Spingendoci oltre, ci aspettiamo di assistere a infezioni informatiche di natura passeggera, generate da un tipo di malware residente in memoria, concepito per effettuare generiche operazioni di ricognizione e per la raccolta furtiva delle credenziali relative all’utente-vittima, un malware apparentemente senza alcun interesse riguardo alla propria persistenza nel sistema. In ambienti altamente sensibili, gli hacker possono ad esempio accontentarsi di agire finché il riavvio del sistema sottoposto ad attacco cancella dalla memoria l’infezione da essi realizzata, se questo significa evitare ogni sospetto o una potenziale perdita a livello di operatività, causata dalla scoperta, da parte dei defender e dei ricercatori, del malware dispiegato. Le infezioni effimere metteranno di certo in evidenza la necessità di disporre di sofisticati metodi euristici proattivi nel quadro delle soluzioni anti-malware di natura avanzata (vedi: System Watcher).

Kaspersky Security Bulletin. Previsioni per il 2017

Lo spionaggio diventa mobile

Gli impianti malware destinati ai dispositivi mobile sono stati già utilizzati, in passato, da numerosi gruppi criminali, tra cui Sofacy, RedOctober e CloudAtlas, così come da vari clienti di HackingTeam e dalla suite di malware iOS denominata Pegasus, dispiegata dal gruppo NSO, sospettato a tal riguardo. Questi attori, tuttavia, hanno ugualmente integrato, nel quadro delle loro operazioni, campagne malware ampiamente basate su toolkit per computer desktop. Visto il non eccessivo entusiasmo nei confronti dell’adozione degli OS di tipo Desktop, ed in considerazione del fatto che buona parte della vita digitale dell’utente medio viene effettivamente trasferita, sempre di più, nelle tasche di quest’ultimo, è lecito attendersi, in particolar modo, un significativo aumento del numero di campagne in cui si fa ricorso allo spionaggio mobile. Queste beneficeranno, di sicuro, di un minor livello di attenzione, così come dell’evidente difficoltà che si manifesta nell’ottenere adeguati strumenti forensi per i più recenti sistemi operativi mobile. La crescente fiducia nutrita in relazione alla firma digitale del codice, e i controlli di integrità di volta in volta eseguiti, hanno fatto indubbiamente ristagnare, nell’arena mobile, il livello di visibilità inerente ai ricercatori impegnati nel campo della sicurezza IT; una situazione del genere, tuttavia, non dissuaderà di certo gli hacker ben determinati, in possesso di considerevoli risorse, dall’andare a caccia dei propri target anche in tale spazio.

Kaspersky Security Bulletin. Previsioni per il 2017

Il futuro degli attacchi rivolti alla sfera finanziaria

Abbiamo sentito che vi piacerebbe rapinare una banca…

L’annuncio relativo agli attacchi condotti, nel corso di questo anno, nei confronti del circuito SWIFT, ha causato un notevole tumulto nell’intero settore dei servizi finanziari, in ragione della grande audacia dimostrata, nell’occasione, dai cybercriminali; misurato in zeri e virgole, il valore complessivo dei furti perpetrati ha in effetti raggiunto la bellezza di diverse decine di milioni di dollari. Una simile mossa ha forse rappresentato una naturale evoluzione, per temibili attori quali la cybergang Carbanak e, forse, altri “interessanti” gruppi criminali. Casi del genere, tuttavia, rimangono ad esclusivo appannaggio di attori che agiscono in perfetto stile APT, con una certa spavalderia, abbinata, ad ogni caso, a consolidate e provate capacità tecniche. Ma siamo davvero sicuri che tali cybercriminali siano proprio gli unici ad essere interessati a svaligiare una banca per impadronirsi di ingenti somme di denaro?

Con il progressivo crescere degli interessi criminali nel campo informatico, ci attendiamo di vedere un significativo aumento del numero degli intermediari coinvolti nei furti praticati a danno dei sistemi SWIFT, nel quadro dell’ormai collaudato schema criminoso, adottato in vari ambienti dell’underground, che vede la presenza di imprese criminali situate a vari livelli. Compiere una cyber-rapina del genere richiede, innanzitutto, la disponibilità di un “comodo” accesso iniziale all’infrastruttura informatica presa di mira, così come l’impiego di software specializzato, una buona dose di pazienza, ed infine l’utilizzo di un efficace schema operativo applicato al riciclaggio del denaro sporco. Ognuno di tali step prevede una collocazione ben precisa, per i criminali già “affermati” nel settore, in grado di fornire i loro servizi in base ad un preciso tariffario; l’unico pezzo mancante, nella circostanza, è rappresentato dal malware specializzato necessario per eseguire gli attacchi rivolti alla rete SWIFT. Ci attendiamo di assistere ad una vera e propria “commercializzazione” di tali attacchi informatici, attraverso la crescente disponibilità di risorse dedicate, messe in vendita sui forum underground o tramite appositi modelli di tipo “as-a-service”.

Kaspersky Security Bulletin. Previsioni per il 2017

Sistemi di pagamento resilienti

Con la progressiva crescita del livello di popolarità acquisito dai sistemi di pagamento, ormai ampiamente adottati, ci attendevamo, a dir la verità, un maggiore inasprimento degli interessi cybercriminali nei confronti degli stessi. Sembra, tuttavia, che le implementazioni eseguite si siano dimostrate particolarmente resilienti, per cui, al momento attuale, non sono stati ancora segnalati attacchi di una certa intensità. L’indubbio sollievo provato dal consumatore, ad ogni caso, vede, di riflesso, il sorgere di notevoli preoccupazioni da parte degli stessi provider dei sistemi di pagamento, visto che i cybercriminali sono soliti prendere di mira proprio i secondi, tramite attacchi informatici diretti, rivolti alle infrastrutture utilizzate nell’ambito di tali sistemi. Sia che gli attacchi in questione si traducano in perdite finanziarie dirette, o provochino, semplicemente, interruzioni e disagi nell’erogazione dei servizi, è del tutto lecito attendersi che la crescente diffusione di questi ultimi possa attirare ulteriori attenzioni maligne, per non dire nefaste, da parte dei criminali informatici.

Kaspersky Security Bulletin. Previsioni per il 2017

Quello sporco, bugiardo di un ransomware

Per quanto tutti noi possiamo odiare i ransomware (e con ragioni più che evidenti), la maggior parte degli attacchi ransomware prospera, di fatto, proprio sull’improbabile rapporto di “fiducia” che si instaura tra la vittima e l’hacker. Questo temibile ecosistema cybercriminale poggia, in pratica, sul “principio” che vede il cyber criminale attenersi al rispetto del tacito contratto “stipulato” con la propria vittima, in base al quale, una volta ricevuto il pagamento richiesto, saranno poi restituiti i file sottoposti a riscatto. Incredibilmente, i cybercriminali hanno dato prova di una sorprendente parvenza di professionalità nel mantenere tale promessa; questo, in pratica, ha permesso all’ecosistema in causa di prosperare considerevolmente. Tuttavia, con l’aumentare del livello di popolarità di tale pratica estorsiva, e con la probabile entrata in scena di ulteriori criminali, di “grado” inferiore, andremo probabilmente incontro ad un numero sempre maggiore di attacchi ransomware in cui risulterà di fatto assente l’attuale “garanzia” fornita dai malfattori per quel che riguarda l’effettiva capacità, ed intenzione, di mantenere la promessa fatta.

Ci attendiamo, pertanto, la comparsa sulla scena del malware di una tipologia di ransomware che potremmo qualificare come ‘skiddie’, volta a bloccare l’accesso ai file o al sistema, o semplicemente ad eliminare i file presi di mira, la quale, tuttavia, dopo aver indotto ingannevolmente le vittime a provvedere al pagamento del riscatto, non fornirà, in cambio, proprio un bel nulla. A quel punto, ormai ben poco distinguerà la pratica malevola del ransomware dagli attacchi informatici preposti alla cancellazione dei dati; possiamo quindi aspettarci, se la situazione si rivelerà tale, gli inevitabili effetti di una profonda “crisi di fiducia” che andrà ad abbattersi sull’ecosistema ransomware. Questo, probabilmente, non potrà rappresentare un valido deterrente nei confronti di gruppi criminali di sicuro più “professionali”, i quali continueranno, comunque, a condurre le loro campagne malware basate sulle estorsioni; una simile situazione, tuttavia, potrebbe facilmente indurre le vittime delle epidemie di ransomware ad abbandonare definitivamente ogni speranza riguardo al fatto che “pagare semplicemente il riscatto” possa rappresentare un valido consiglio, per le stesse.

Kaspersky Security Bulletin. Previsioni per il 2017

Il grande bottone rosso

Il famigerato worm Stuxnet potrebbe forse aver scoperchiato un vero e proprio vaso di Pandora, realizzando, di fatto, il potenziale necessario per prendere di mira i sistemi industriali; il malware in questione, tuttavia, era stato accuratamente progettato con un occhio vigile ed attento nei confronti di prolungate operazioni di sabotaggio destinate a colpire obiettivi ben specifici. Anche se l’infezione si è poi diffusa su scala mondiale, i ripetuti controlli eseguiti a livello di payload hanno di sicuro limitato i danni collaterali, per cui non abbiamo assistito, nel mondo dell’industria, al verificarsi di nessun tipo di Armageddon od apocalisse. Da allora, tuttavia, ogni voce o segnalazione riguardo al prodursi di un incidente in ambito industriale, oppure di qualche inspiegabile esplosione, serve come solido appiglio per costruire teorie di cyber-sabotaggio più o meno fondate.

Detto questo, l’eventualità di un cyber-sabotaggio che sia in grado di provocare qualche incidente industriale davvero rilevante, è assolutamente plausibile. Visto che infrastrutture e sistemi produttivi critici continuano a rimanere connessi ad Internet, risultando spesso privi di qualsiasi protezione (oppure ne possiedono una davvero esigua, che si può rivelare del tutto insufficiente), questi allettanti target sono di fatto destinati a stuzzicare gli appetiti di hacker dotati di notevoli ed efficaci risorse dannose, in grado di provocare un vero e proprio caos. Occorre ad ogni caso sottolineare come, allarmismi a parte, attacchi del genere richiedano, con ogni probabilità, la messa in campo di specifiche ed elevate capacità tecniche, accompagnate da intenti particolarmente risoluti. Un attacco di cyber-sabotaggio in corso d’opera potrebbe facilmente andare di pari passo con l’impennata di certe tensioni geopolitiche, scatenate dagli intenti distruttivi, nei confronti di determinati target, da parte di potenti e solidi gruppi criminali, i quali potrebbero ugualmente mirare a realizzare l’interruzione di servizi essenziali.

Kaspersky Security Bulletin. Previsioni per il 2017

Inizia a farsi davvero sentire il sovraffollamento di Internet

Tanti “mattoncini”… forse inutili, comunque li si chiami

Abbiamo a lungo profetizzato che il debole livello di sicurezza manifestato dall’Internet delle Cose (o delle Minacce) avrebbe ben presto iniziato a produrre effetti preoccupanti: ecco qua, il giorno tanto atteso è ormai arrivato. Come ha ampiamente dimostrato, di recente, la botnet Mirai, la presenza di un grado di sicurezza del tutto insufficiente, in una marea di dispositivi (forse) inutilmente collegati ad Internet, fornisce ai malfattori una ghiotta opportunità per provocare un grande caos, senza dover poi farsi carico di alcuna (o poche) responsabilità in merito. Mentre la situazione attuale non costituisce di sicuro motivo di particolare sorpresa per gli “aficionados” dell’Information Security, l’eventuale step successivo potrebbe invece rivelarsi particolarmente interessante, in quanto prevediamo che certi raggruppamenti di hacker “vigilanti” potrebbero addirittura prendere la situazione nelle loro mani.

Il concetto di provvedere al patching di vulnerabilità ormai note, o da poco segnalate, si rivela sempre essere di fondamentale importanza, e rappresenta un significativo riconoscimento nei confronti del duro (e spesso non remunerato) lavoro svolto dai ricercatori operanti nel campo della sicurezza IT. Visto che i produttori di dispositivi IoT continuano a sfornare ed immettere sul mercato apparecchiature per nulla sicure, che possono potenzialmente causare un’ampia gamma di problemi, su vasta scala, è probabile che i cosiddetti hacker “vigilanti” possano prendere direttamente la situazione in mano. E quale metodo migliore potrebbe mai esistere, se non quello di restituire grattacapi e preoccupazioni varie ai produttori stessi, trasformando i dispositivi vulnerabili in un esercito di “mattoncini” del tutto inutili? Visto che le botnet IoT continuano a causare una miriade di problemi, dovuti agli attacchi DDoS e alla distribuzione di ingenti quantità di spam attraverso di esse, la risposta immunitaria fornita dall’ecosistema potrebbe mirare dritto dritto a disabilitare del tutto i dispositivi in questione, con grande rincrescimento e disappunto sia da parte dei consumatori che degli stessi produttori. L’Internet dei “Mattoni”… inutili potrebbe quindi già incombere su tutti quanti noi.

Kaspersky Security Bulletin. Previsioni per il 2017

Le silenziose “scatole” lampeggianti

La scioccante release del materiale di cui è entrato in possesso ShadowBrokers includeva, tra l’altro, un gran numero di exploit, perfettamente operativi, destinati a molteplici firewall, prodotti dai principali marchi attualmente in circolazione. Successivamente sono giunte, in maniera tempestiva, varie segnalazioni riguardo allo sfruttamento in-the-wild delle relative vulnerabilità; questo per il fatto che i produttori dei dispositivi interessati hanno un po’ tentennato, prima di comprendere quali fossero le vulnerabilità prese di mira, e rilasciare, di conseguenza, le necessarie patch. L’effettiva portata delle inevitabili “ricadute” che si sono prodotte deve essere ancora quantificata con esattezza. Ma cosa sono stati in grado di ottenere gli hacker, avendo a disposizione, nelle proprie mani, i suddetti exploit? Quale tipo di impianti possono ora risultare “dormienti”, nei dispositivi vulnerabili?

Gettando il nostro sguardo oltre tali specifici exploit (e tenendo comunque bene a mente la scoperta, verificatasi verso la fine del 2015, di una backdoor nel sistema operativo ScreenOS di Juniper), intravediamo un problema di portata ancora maggiore, per ciò che riguarda l’integrità dei dispositivi, in merito al quale si rivela necessaria la conduzione di ulteriori ricerche, soprattutto quando abbiamo a che fare con apparecchiature di particolare criticità nell’ambito dei perimetri aziendali. Rimane così aperta un’importante questione: “per chi sta lavorando, effettivamente, il vostro firewall?”.

Kaspersky Security Bulletin. Previsioni per il 2017

Ma chi diavolo siete?

Il tema dei False Flag e delle PsyOps è, indubbiamente, tra i nostri favoriti; non deve tra l’altro sorprendere più di tanto il fatto che prevediamo, per l’imminente futuro, una significativa espansione di numerose tendenze che si sviluppano in questi particolari campi…

La guerra dell’informazione

La creazione di falsi “sbocchi” riguardo alle fughe di dati e alle estorsioni di natura mirata ha visto fare da pionieri importanti gruppi criminali, quali Lazarus e Sofacy. Dopo l’utilizzo piuttosto ben riuscito, e peraltro ampiamente noto, che è stato fatto a proposito di simili “outlet” nel corso di questi ultimi mesi, ci attendiamo un ulteriore aumento del livello di diffusione delle operazioni legate alla guerra dell’informazione, con il preciso scopo di manipolare le opinioni e creare un caos generale attorno a determinate tematiche particolarmente dibattute. I gruppi criminali interessati a diffondere i dati hackerati hanno davvero poco da perdere dall’elaborare o inventare storie attraverso un gruppo di hacktivisti già operante, o creato ad arte; essi si prefiggono, in effetti, di distogliere l’attenzione dall’attacco stesso, per poi concentrare tutta l’attenzione sulle rivelazioni effettuate.

Il vero pericolo, a questo punto, non è rappresentato dai frequenti episodi di hacking, o dall’invasione della sfera privata, ma piuttosto dal fatto che i giornalisti ed i cittadini interessati possano abituarsi ad accettare certi dati “pompati” ad arte, considerandoli alla stregua di elementi, od avvenimenti, che fanno notizia; tutto questo apre inevitabilmente la porta ad attori ancora più astuti, i quali cercano, a loro volta, di manipolare i risultati ottenuti ricorrendo alla manipolazione o all’omissione dei dati in causa. L’effettiva vulnerabilità nei confronti di simili operazioni, legate alle fredde dinamiche della guerra di informazione, ha ormai raggiunto il suo più alto livello; ci auguriamo, nella circostanza, che prevalgano davvero buonsenso e discernimento, visto che tale tecnica viene adottata da un sempre maggior numero di attori (o dagli stessi attori, che, però, si dotano di molteplici maschere usa e getta).

Kaspersky Security Bulletin. Previsioni per il 2017

Promesse di deterrenza

Visto che i cyber-attacchi stanno assumendo un ruolo sempre più rilevante ed importante, per quel che riguarda le relazioni internazionali, l’effettiva attribuzione degli stessi diverrà di sicuro un tema centrale nel determinare il corso delle aperture geopolitiche. Le istituzioni governative hanno qualche difficoltà nel deliberare a tale proposito, per determinare quale criterio di attribuzione possa rivelarsi davvero adeguato e sufficiente per condurre mosse diplomatiche, o portare pubblici atti d’accusa. Poiché risulta quasi impossibile stabilire un’esatta attribuzione, considerando la visibilità frammentata delle diverse istituzioni pubbliche e private, potrebbe accadere di assistere all’adozione di un criterio che miri ad una sorta di “attribuzione approssimativa”, ritenuto, ad ogni caso sufficientemente valido. Mentre si rivela importante consigliare, a tal proposito, la massima cautela, dobbiamo anche tenere a mente che può esistere, per quel che riguarda possibili conseguenze ed implicazioni, l’effettiva necessità di introdursi nello spazio dedicato ai cyber-attacchi. Il nostro problema più grande consiste nell’assicurare che eventuali ritorsioni non generino ulteriori problemi, visto che certi gruppi criminali particolarmente scaltri superano regolarmente in astuzia coloro che cercano, come prima cosa, di effettuare l’attribuzione. Dobbiamo ugualmente tenere bene a mente il fatto che, nel caso in cui il verificarsi di eventuali ritorsioni e ripercussioni divenisse ancor più probabile, assisteremo ad un uso smodato, in drastica ascesa, di malware open-source e commerciale, con l’impiego di tool quali Cobalt Strike e Metasploit, in grado di fornire una copertura plausibile nel negare l’attacco condotto, copertura che non può essere invece attuata qualora si ricorra all’utilizzo di malware proprietario di tipo closed-source.

Kaspersky Security Bulletin. Previsioni per il 2017

Ancora sui False Flag

Mentre gli esempi inseriti nel nostro speciale report dedicato ai False Flag comprendevano specifici casi “in-the-wild”, relativi ad APT che hanno fatto ricorso all’utilizzo di elementi riconducibili ai false flag, non è stata per il momento rilevata alcuna operazione di puro false flagging. Intendiamo, con questo, un’operazione accuratamente ed interamente condotta da un determinato Gruppi criminali-A nello stile e con le risorse che invece caratterizzano un altro ‘Gruppi criminali-B’, con il preciso intento di incitare ritorsioni da parte di terzi (la vittima) nei confronti del Gruppi criminali-B, nella circostanza privo di colpe. Inoltre, mentre è del tutto plausibile che i ricercatori non abbiano semplicemente colto una situazione del genere, anche se la stessa, magari, si è già verificata, occorre comprendere come questa sorta di operazioni risulti priva di senso finché non esistono, di fatto, reali effetti “punitivi”, scatenati da cyber-attacchi. Nel momento in cui le ritorsioni e le possibili ripercussioni (sotto forma di aperture, sanzioni o ritorsioni di tipo CNE, “Computer Network Exploitation”) divengono più comuni ed impulsive, è invece pienamente lecito attendersi che entri in scena la conduzione di vere e proprie operazioni false flag.

Nel caso in cui tutto questo effettivamente si verifichi, ci attendiamo di vedere maggiori investimenti dedicati alle operazioni False Flag, volte a stimolare, addirittura, il dumping delle infrastrutture, o persino di toolkit proprietari gelosamente custoditi, per utilizzi di massa. In questo modo, gruppi criminali particolarmente scaltri ed astuti possono di fatto causare situazioni di immensa confusione, in cui “script kiddie”, hacktivisti e cybercriminali divengono improvvisamente capaci di operare con tool proprietari riconducibili a qualche gruppi criminali avanzato, creando un’efficace copertura, a livello di anonimato, nel quadro di veri e propri attacchi in massa, e menomando, in tal modo, sebbene in misura parziale, le specifiche facoltà che possono essere esercitate dalle agenzie governative in merito all’attribuzione degli attacchi.

Kaspersky Security Bulletin. Previsioni per il 2017

Ma quale privacy!

Sollevando il velo

Il fatto di rimuovere le ormai ridotte vestigia di anonimato che ancora sussistono nel cyberspazio, costituisce di sicuro un tipo di attività di particolare “pregio”, per advertiser od eventuali spie. Per i primi, il tracking realizzato mediante l’impiego di cookie persistenti, si è rivelato essere una tecnica alquanto “preziosa” e redditizia. Una simile pratica, con ogni probabilità, si espanderà ulteriormente, e sarà abbinata all’utilizzo di widget ed altre innocue aggiunte ai normali siti web; tutto questo consentirà alle società interessate di monitorare i singoli utenti nel momento in cui questi ultimi si recheranno su particolari domini, e di mettere assieme una visione coesa ed esauriente delle abitudini praticate durante la navigazione in Rete attraverso il proprio browser (tratteremo qui sotto tale argomento in maniera più estesa).

In altre parti del mondo, il prendere di mira gli attivisti, ed il monitorare quelle attività, condotte sui social media, che potrebbero in qualche modo “incitare all’instabilità”, continueranno probabilmente ad ispirare sofisticazioni quantomai sorprendenti, nel momento in cui grandi disponibilità finanziarie andranno ad imbattersi su società stranamente ben posizionate, ma ancora sconosciute, in grado di offrire novità assolute riguardo al monitoraggio in lungo e in largo di dissidenti ed attivisti, su tutta l’estensione della Rete. Attività del genere tendono a manifestare un elevato grado di interesse nei confronti delle tendenze che via via emergono in intere regioni geografiche nell’ambito del social networking, con un’attenzione particolare rivolta al modo in cui tali tendenze possono essere influenzate da eventuali voci dissidenti. Forse vedremo addirittura qualche attore così audace ed “intraprendente” al punto da penetrare all’interno di qualche social network in cerca di una vera e propria miniera di PII (Personally Identifiable Information), e magari di informazioni che possano favorire eventuali incriminazioni.

Kaspersky Security Bulletin. Previsioni per il 2017

Utilizzo delle reti pubblicitarie per pratiche di spionaggio

Nessuna tecnologia pervasiva è in grado, più dei network pubblicitari, di consentire veri e propri attacchi mirati. Il dispiegamento di tali reti è già interamente motivato dal punto di vista finanziario, mentre le regole in ballo sono, al momento attuale, davvero poche, se non del tutto assenti, come evidenziano i ricorrenti attacchi di malvertising portati nei confronti di siti web di primaria importanza. Per la loro stessa natura, le reti pubblicitarie forniscono un’eccellente profilazione del target, attraverso la combinazione di indirizzi IP, fingerprinting del browser, interessi manifestati durante la navigazione da parte dell’utente e selettività dei login. Questo genere di dati relativi agli utenti può permettere ad ogni singolo hacker di effettuare, in maniera selettiva, apposite web injection, oppure di reindirizzare determinate vittime verso i payload nocivi allestiti, evitando in tal modo possibili infezioni collaterali e la persistente disponibilità di payload nocivi, la quale, inevitabilmente, tende a suscitare l’interesse delle vaste schiere dei ricercatori operanti nel campo della sicurezza informatica. Stando così la situazione, è del tutto plausibile attendersi che certi attori di primo piano, nell’ambito del cyberspionaggio, ritengano sempre di più, la creazione o la cooptazione di un network pubblicitario, come una sorta di investimento di proporzioni limitate, in grado tuttavia di assicurare consistenti ritorni dal punto di vista operativo; simili operazioni si prefiggono, di solito, di colpire gli obiettivi prescelti e di proteggere, al contempo, i toolkit di più recente introduzione.

Kaspersky Security Bulletin. Previsioni per il 2017

L’ascesa dell’hacker “vigilante”

Dopo il rilascio indiscriminato dei dati sensibili inerenti all’ingente fuga di informazioni subita da HackingTeam nel 2015, il misterioso Phineas Fisher ha pubblicato una sua guida per aspiranti hacker, con il dichiarato intento di contrastare e abbattere l’operato di organizzazioni che agiscono in maniera iniqua, oppure di società che conducono attività più o meno ambigue, losche o equivoche. Questo rivela ed alimenta, in qualche modo, la sensazione latente riguardo al fatto che il potere asimmetrico dell’hacker vigilante sia una forza schierata per il bene, nonostante la fuga di dati a danno di HackingTeam abbia in pratica messo direttamente a disposizione di team APT in piena attività temibili exploit zero-day, ed abbia forse persino incoraggiato le iniziative di nuovi e intraprendenti clienti. Visto che la retorica cospirazionista sembra aumentare di intensità nell’ambito di questo ciclo elettorale, alimentata dalla credenza, e forse dalla convinzione, che i “data leak” possano rappresentare il modo di spostare l’ago della bilancia per quel che riguarda l’asimmetria dell’informazione – ulteriori importanti elementi andranno di sicuro ad arricchire lo spazio operativo dell’hacking praticato dai cosiddetti “vigilanti”, in relazione a fughe di dati e travasi di informazioni riservate più o meno orchestrati, praticati nei confronti di organizzazioni che, di fatto, si rivelano vulnerabili.

Kaspersky Security Bulletin. Previsioni per il 2017

Related Articles

C'è 1 commento
  1. oro

    mi piace

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *