Cybercriminali contro Pirati

(di Marco Rottigni)
15/11/21

Viviamo tempi davvero interessanti: esattamente dieci anni fa il Dipartimento della Difesa U.S. ha definito il dominio cyber come quinto dominio di arte bellica, ma è stato soltanto pochi anni fa che le peculiarità di questa catalogazione sono emerse in tutta la sua evidenza.

Le tecniche di guerra digitale a livello strategico, operativo e tattico, si sono combinate con caratteristiche uniche di questo dominio – come ad esempio l’asimmetria tra attaccante e difensore oppure la velocità di propagazione; contaminandosi con altri ambiti economici e criminali, fino a rappresentare oggi un unicum che premia questa catalogazione elevandola quasi a singolarità tecnologica.

Questo è il pensiero che mi ha stimolato una notizia riguardante un threat actor particolare, chiamato Lazarus.

"Threat actor" è una denominazione specifica, riservata normalmente agli attori organizzati che – talvolta sponsorizzati da Stati – sono emersi per l’utilizzo di strategie, procedure e tecniche di attacco ben definite e particolari. Lazarus, nello specifico, è un gruppo sponsorizzato dallo Stato Nord-Coreano e attivo dal 2009; secondo altre classificazioni, questo gruppo può essere conosciuto con l’acronimo APT38, Hidden Cobra, ZINC (leggi articolo).

La notizia parlava di una campagna di attacco abbastanza sofisticata, basata su una versione del software IDA Pro armata con un malware trojan, mirata alla compromissione di ricercatori di cybersecurity.

A prima vista una notizia non troppo eclatante in merito all’ennesimo attacco organizzato verso un target specifico, come se ne sentono molte in questo periodo.

Approfondendo il contesto, però, emergono alcune importanti connotazioni.

IDA Pro è un potente software che permette agli analisti di security di disassemblare qualunque eseguibile, per esempio per capire in che modo sia possibile infettare i sistemi attraverso un malware.

Questa operazione è chiamata reverse engineering.

Il motivo per cui IDA Pro è diventato popolare tra i ricercatori di sicurezza è dovuta alla potenza della soluzione, che esiste in una versione gratuita con funzionalità decisamente di livello.

Per avvantaggiarsi della potenza della versione completa però, è necessario acquistare la versione Professional, che ha un costo importante. Questo ha portato diversi ricercatori a cercare versioni piratate o comunque non ufficiali della soluzione, creando l’utenza target per l’attacco di Lazarus Group.

Riflettendo su questo aspetto, è particolarmente incomprensibile la scelta di cercare una versione craccata di un software per reverse engineering da parte di chi dovrebbe conoscere molto meglio di altri i rischi a cui va incontro: è infatti più certo che probabile che una versione di software piratata sia infetta con forme di malware più o meno subdolamente celante, ma spesso dagli effetti devastanti.

Non che la mossa di Lazarus Group sia in alcun modo giustificabile, ma la scelta del target da parte dell’attaccante potrebbe non essere per nulla casuale.

Da un punto di vista strategico, infatti, un ricercatore di cybersecurity occupa un posto di estremo rilievo nella “catena del valore”: potrebbe essere infatti un consulente, infettato il quale si avrebbe accesso a più clienti; oppure colpire un incauto analista potrebbe aiutare a violare il sancta santorum della cybersecurity di un’organizzazione, la parte più specialistica della filiera di difesa.

Ecco perché questa notizia dovrebbe portarci a riflettere su questo strano conflitto tra due fronti che solo in apparenza sono opposti, ma che in realtà rappresentano – sebbene per ragioni diverse – elementi dannosi per le aziende e per la security in generale. 

  
Per approfondire: