Per fare chiarezza su un problema ormai atavico, ecco un nuovo studio di CybergON, di cui abbiamo letto, di recente, l’attenta analisi sulle vulnerabilità in seguito al caso Exchange.
Dalle statistiche relative all’ultimo anno, abbastanza travagliato non solo per la pandemia, emergono indizi su come acchiappare gli autori di ransomware, phishing e via discorrendo. Le risposte arrivano dalla business unit di Elmec Informatica, un’eccellenza italiana che può avvalersi di una fitta rete di partner, tra cui Deloitte.
La ricerca di CybergON
Dal quartier generale di Brunello, in provincia di Varese, un’interessante disamina punta a capire come individuare nome e/o provenienza di chi attenta alla sicurezza degli archivi aziendali. Il principale riferimento in materia è il caso “SolarWinds”, che ha visto violare i server strategici del governo americano, mettendo in pericolo istituzioni, università e multinazionali del calibro di Microsoft. In quel frangente entrò in gioco la National Security Agency (NSA), risalendo al Cozy Bear, gruppo di origine russa che rientra nella categoria delle Advanced Persistent Threat (APT).
Incrociando le somiglianze fra alcuni eventi di rilievo, l’idea è di creare dei pattern, modelli che siano applicabili quando se ne presenterà l’occasione. Indizi illuminanti si possono trovare in porzioni di software che vengono a rappresentare il marchio di fabbrica di un determinato soggetto. “Per riuscire a comprendere meglio il fenomeno – spiegano da Cybergon – ipotizziamo di scrivere un testo in italiano e di tradurlo in cirillico con un tool apposito. Nonostante la sintassi risulti differente, permangono degli elementi caratteristici. Lo stesso succede con le incursioni”.
Un ruolo centrale in questa storia è ricoperto dal “compiler”, o “compilatore”, che traduce le istruzioni in sequenze binario di zeri e uno. Tuttavia spesso la trasformazione non è completa e rimangono delle tracce. Si staglia così all’orizzonte una ragnatela di “dialetti”, apparentemente nascosti ma che, in fin dei conti, rivelano coordinate geografiche.
Da chi dobbiamo guardarci?
Molto inflazionata, a tal proposito, è la parola “hacker” che nasce per individui con capacità avanzate di programmazione. Con il tempo ha sostituito “cracker”, termine che in realtà era il suo opposto, e ora entrambi sono inclusi in una sfera semantica negativa. Sulla questione interviene CybergON, fornendo un utile vademecum.
Si inizia con gli “State-Sponsored Actors”, team diffusi su scala globale e, di frequente, affiliati ai governi, in particolare, di Cina, Russia e Corea del Nord che li finanziano per scopi specifici, come lo spionaggio e faccende afferenti alla proprietà intellettuale. Sono le APT a cui si faceva riferimento e tendono a ripetere le loro azioni a distanza ravvicinata.
Diverso il discorso per i più comuni “criminali informatici” che sono spinti da un guadagno personale e ricattano i loro interlocutori, andando a rivenderne i dati. Dicitura meno conosciuta sono gli “script kiddie” che, anche se meno esperti, si attivano per pura noia o per emulare altri: essendo alle prime armi, rischiano di fare danni in maniera esponenziale, magari non rendendosene conto, come sottolinea CybergON.
Intimidazione e moventi politici sono il biglietto da visita dei cyberterroristi, mentre protesta e disobbedienza civile definiscono gli hactivisti, che replicano il volantinaggio tramite mail, come Anonymous che ha preso di mira nel 2019 vari professionisti romani.
