Cyber ​​Threat Actors (tra Attivismo, Cybercrime e gruppi APT)

Autore: Massimiliano Brolli



Ne abbiamo parlato, la parola hacker è stata abusata da tempo, per descrivere persone specializzate in sicurezza informatica, ma che svolgono attività differenti dal punto di vista etico.


Richard Stallman, attivista statunitense e "guru" del software libero (criticato da molti e osannato da altri), cercò di distinguere il termine "hacker" da "cracker".

I primi, gli hacker (oggi chiamati white hat hacker) contribuivano a rendere i sistemi più sicuri senza trarne un reale profitto con lo scopo di - vedere oltre -, dove le altre persone non erano riuscite a farlo con l'obiettivo di migliorarne la sicurezza dei sistemi. I secondi invece, i cracker (chiamati oggi black hat hacker), violavano i sistemi in maniera illegale, per trarne un diretto vantaggio.

Purtroppo, questa differenza non è stata accolta dal pubblico e oggi si parla di "hacker" senza fare una corretta distinzione tra hacker etici e criminali informatici, in quanto tutto è male, anche se ci sono differenze sostanziali, non è vero?

Tra white e black esistono innumerevoli sotto-dimensioni come i gray, i red, i blue, gli script-kiddie, oltre ad altre varianti con sottili sfumature da comprendere, ma diciamo che oggi distinguiamo i cattivi (i black) dai buoni (i white) e i gray... pensiamo al "datagate" e al rapporto Snowden... ma lasciamo per ora perdere.



Sia i white che i black generalmente non lavorano da soli, sia gli etici che i criminali, si radunano in gruppi, utilizzano community sia nel clear-web che nell'underground.

I black si distinguono principalmente in Attivisti (Anonymous, DCLeaks, LulzSec, ecc...), Cyber Criminali da profitto (violano e abusano le piattaforme informatiche per un "mero" guadagno economico) e i Gruppi di Minacce Persistenti Avanzate (APT41, APT40, APT18, Turla, Lazarus, Silence APT... solo per citarne alcuni) che sono spesso a stretto contatto con gli stati (National-State Actors) dai quali vengono coordinati e finanziati.



I gruppi APT lavorano a stretto contatto con le intelligence dei loro paesi, che li finanziano per rubare proprietà intellettuale, condurre spionaggio industriale, interrompere i servizi, distruggere le infrastrutture di altri paesi (ricordiamoci Stuxnet e Flame... ma lasciamo per ora perdere).


Inoltre creano Malware e li utilizzano per variopinti fini, dalla sorveglianza-distribuita alla cyber-war oltre a ricercare 0day (non come fanno i ricercatori e il responsible disclosure) per costruire cyber-weapons e renderli disponibili ai loro governi oltre ad opporsi ad altri gruppi APT concorrenti. Lavorano anche nel mercato nero rivendendo i loro sforzi "pubblici" attraverso piattaforme MaaS (Malware As a Service). Insomma, in tutto quello che produce un vantaggio o un profitto in modo illegale su internet, ci sono loro.

I black (ma soprattutto i National-State Actors) lavorano per molto tempo e si parla di mesi o addirittura anni per preparare "il colpo", oltre ad avere accesso ad ingenti finanziamenti per la ricerca aumentando esponenzialmente l'asimmetria in termini di skill tra buoni e cattivi. Questi gruppi infatti sono i più pericolosi, alcuni molto attivi (cito APT40, APT41, Lazarus, Platinum APT), mentre altri hanno deposto le armi da tempo, ma come si dice

... se ne senti l'odore da lontano, stanne alla larga... subito!

Ed ecco che entra in azione il Blue Team, la Threat Intelligence, il Threat Hunting, la Malware Analysis oltre alle infrastrutture di sicurezza come gli endpoint-protection, gli antivirus, i threat data-feed, la priorità di gestione delle minacce e gli indicatori di compromessone, ad esempio interconnessi ai gruppi APT.

Come al solito, oltre a buoni strumenti e una perfetta integrazione nell'organizzazione aziendale, occorre che questi strumenti vengano gestiti da "mani esperte". Infatti, non è detto che avere varianti di malware collegate ad un gruppo APT* voglia dire che si è sotto attacco, ma il team deve conoscerne le fonti e i gruppi più attivi e prevedere ulteriori precauzioni quando vengono rilevati malware collegati a precedenti attacchi, in particolare interconnessi a gruppi molto attivi.



Insomma, come spesso dico ogni sistema e ogni organizzazione è violabile, tutto dipende dall'interesse nel farlo e dal tempo a disposizione, e su questo il NIST lo spiega bene nella "Special Pubblication" 800-115 oltre ad insegnarcelo gli incidenti in natura.

Concludo dicendo che oggi:

saper trovare il giusto compromesso tra rumore generato dai falsi positivi e le reali minacce, sarà lo spartiacque tra aziende che "subiranno" o "reagiranno" al cybercrime, nel prossimo e difficile futuro
46 visualizzazioni

Iscriviti al canale Youtube

unnamed.png

Red Hot Cyber: conosci il rischio per starne lontano

Per richieste di supporto scrivi a: redhotcyber@hotmail.com

  • YouTube Icona sociale
  • Facebook Icona sociale
  • Twitter Icon sociale
  • LinkedIn Icona sociale
  • Instagram Icona sociale
  • Tumblr Icona sociale
This site was designed with the
.com
website builder. Create your website today.
Start Now