Quando si parla di sicurezza informatica, uno degli aspetti da tenere in considerazione è la numerosità delle tipologie di attacchi che i cybercriminali possono utilizzare per colpire i loro bersagli.
Tra questi, meritano una riflessione, per le loro caratteristiche, gli attacchi cross-domain, che stanno di fatto trasformando il modo in cui le organizzazioni devono affrontare la sicurezza informatica. Gli attacchi cross-domain si caratterizzano per la loro capacità di muoversi tra vari domini tecnologici – identità, cloud ed endpoint – sfruttando la mancanza di integrazione tra i sistemi di sicurezza. Gli avversari utilizzano strategie complesse per penetrare nelle infrastrutture aziendali, compromettere sistemi critici e mantenere un accesso persistente, rendendo più difficile il rilevamento e la risposta agli incidenti.
Ne ha parlato recentemente Adam Meyers, Head of Counter Adversary Operations di CrowdStrike, sottolineando come questi attacchi rappresentino una delle evoluzioni più pericolose nel panorama delle minacce globali, basti pensare che gli attaccanti sfruttano ogni possibile punto di ingresso: vulnerabilità nell’identità digitale, credenziali compromesse (utilizzate nel 50% delle intrusioni), infrastrutture cloud (coinvolte nel 75% degli attacchi).
Parliamo di una evoluzione non solo tecnologica, ma anche strategica. Gli attacchi cross-domain, ricorda Meyers, non sono limitati ai gruppi criminali organizzati ma sono spesso sponsorizzati da stati nazionali come Cina, Corea del Nord e Russia, che utilizzano queste tecniche per spionaggio, sabotaggio e raccolta di informazioni.
Dalle analisi di CrowdStrike, che monitora attivamente questo specifico ambito, si parla di una crescita costante, che riflette la continua espansione e la crescente sofisticazione di queste operazioni malevole.

Le dinamiche degli attacchi cross-domain
Un attacco cross-domain è progettato per sfruttare le interconnessioni tra diversi livelli della sicurezza aziendale, creando un percorso d’attacco fluido e invisibile.
Adam Meyers spiega come questi attacchi spesso inizino con attività di phishing o di ingegneria sociale, che consentono agli aggressori di rubare credenziali valide. Una volta ottenuto un accesso iniziale, gli attori delle minacce si spostano nel cloud, dove possono sfruttare il piano di controllo per distribuire strumenti malevoli, configurare macchine virtuali personalizzate o compromettere risorse critiche.
Una tattica comune utilizzata dagli aggressori è quella che prevede la creazione di una macchina virtuale all’interno dell’infrastruttura della vittima. Questa macchina, dotata di strumenti di hacking, funge da base operativa sicura per condurre attacchi senza essere rilevati. Da lì, possono distribuire ransomware, compromettere hypervisor o manipolare i sistemi cloud per ottenere un controllo totale dell’ambiente digitale.
Un altro elemento critico di questi attacchi è l’uso crescente di strumenti di monitoraggio remoto legittimi, come ConnectWise, AnyDesk e TeamViewer. Questi strumenti, progettati per semplificare la gestione IT, sono stati sempre più sfruttati dagli avversari per instaurare un accesso persistente ai sistemi compromessi. Secondo i dati di CrowdStrike, l’uso di questi strumenti da parte degli attori malevoli è aumentato del 156% negli ultimi anni.
Ma non è tutto.
Nell’ambito degli attacchi cross-domani, un’altra leva sfruttata in misura importante dai criminali cyber è legata all’identità. Gli attaccanti sanno che, accedendo con credenziali valide, possono eludere molti sistemi di rilevamento tradizionali, come l’Endpoint Detection and Response (EDR). Questo evidenzia l’importanza di implementare controlli di autenticazione avanzati e politiche di minimo privilegio per limitare il rischio di compromissioni su larga scala.
L’impatto degli stati nazionali sulle minacce informatiche
E poi ci sono gli aspetti geopolitici.
Gli stati nazionali stanno giocando un ruolo sempre più rilevante negli attacchi cross-domain, utilizzandoli come strumenti di spionaggio, sabotaggio e raccolta di informazioni.
Secondo Meyers, Cina e Corea del Nord figurano tra i principali attori in questo contesto, con strategie sofisticate che mirano a infrastrutture critiche e settori strategici.
La Cina, ad esempio, ha perfezionato l’uso di attacchi che sfruttano vulnerabilità nei dispositivi gateway e nei protocolli legacy. Questi attacchi mirano a raccogliere grandi quantità di dati da telecomunicazioni, ISP e servizi professionali, spesso instaurando un accesso persistente e duraturo alle reti compromesse. Questa strategia consente di ottenere informazioni critiche su organizzazioni finanziarie, tecnologiche e di difesa, sfruttando la fiducia delle loro relazioni con i clienti.
La Corea del Nord, rappresentata dal gruppo Famous Chollima, utilizza tecniche avanzate per monetizzare le sue attività. Tra queste, spicca il fenomeno delle “laptop farm”. Si tratta di una strategia sofisticata utilizzata dal governo nordcoreano per infiltrarsi nelle aziende statunitensi e generare entrate economiche per il regime. Il piano sfrutta lavoratori IT nordcoreani che operano sotto false identità e vengono assunti per ruoli remoti da aziende ignare della loro vera origine.
Il problema è che, una volta assunti, i lavoratori ottengono stipendi che vengono utilizzati per sostenere il regime nordcoreano, ma il rischio maggiore deriva dal fatto che acquisiscono accessi privilegiati alle reti aziendali. Questo accesso può essere sfruttato per condurre attività di spionaggio, sottrarre dati sensibili o preparare attacchi informatici futuri.
Il piano è reso possibile grazie alle “laptop farm,” strutture gestite da operatori negli Stati Uniti. In queste strutture, i lavoratori IT utilizzano tecnologie remote per connettersi ai sistemi aziendali delle aziende che li hanno assunti. Questo permette loro di operare senza che la loro posizione geografica o identità reale vengano facilmente individuate.
Nella sua disamina, Meyers ha anche sottolineato l’aumento delle attività cibernetiche sponsorizzate da stati come Russia, Iran e altri, che stanno intensificando le loro capacità per condurre attacchi mirati a infrastrutture critiche. Questo evidenzia la necessità per le organizzazioni di comprendere meglio le dinamiche geopolitiche delle minacce informatiche e di adottare misure proattive per proteggere i propri sistemi.
Come difendersi dagli attacchi cross-domain
Per contrastare gli attacchi cross-domain, secondo Meyers serve un approccio integrato basato su cinque pilastri fondamentali:
- protezione dell’identità,
- sicurezza del cloud,
- visibilità cross-domain,
- preparazione operativa,
- conoscenza degli avversari.
La protezione dell’identità è fondamentale per limitare le possibilità di compromissione. Serve dunque adottare controlli di autenticazione avanzati, come l’autenticazione a più fattori, e la definizione di politiche di accesso basate sul principio del minimo privilegio.
La sicurezza del cloud è un altro elemento critico. Le organizzazioni devono standardizzare le configurazioni delle loro infrastrutture cloud, monitorare continuamente eventuali anomalie e utilizzare piattaforme di protezione applicativa nativa per il cloud. Questo consente di identificare rapidamente eventuali anomalie che potrebbero indicare attività malevole.
La visibilità cross-domain rappresenta il terzo pilastro, consentendo di correlare eventi tra identità, cloud ed endpoint. Le tecnologie avanzate, come i SIEM di nuova generazione, sono essenziali per consolidare i dati e fornire una visione completa delle attività sospette.
Meyers ha inoltre sottolineato l’importanza delle esercitazioni pratiche per migliorare la resilienza delle organizzazioni. Simulare scenari di attacco aiuta i team di sicurezza a prepararsi a rispondere rapidamente ed efficacemente a potenziali minacce.
Infine, la conoscenza degli avversari è cruciale per anticipare le loro mosse.
In questo caso, è la conclusione di Meyers, affrontare queste minacce è possibile. Serve investire in tecnologie innovative, intelligence sulle minacce e formazione continua. In questo caso, una realtà come CrowdStrike, con il suo approccio basato sull’intelligence, fornisce alle organizzazioni una comprensione approfondita delle tattiche e delle strategie degli attori delle minacce, aiutandole a rimanere un passo avanti e trasformare la minaccia in una opportunità per rafforzare la resilienza operativa.