Nation State Threat Actors: i Servizi di intelligence in prima linea nella prossima Guerra

(di Carlo Mauceli)
17/01/22

La Nato ha più volte ribadito che “un attacco cyber rivolto ad una nazione è un’aggressione a tutti i paesi membri”. L’articolo 5 dell’Alleanza atlantica che sancisce il diritto alla difesa collettiva, scatterebbe immediatamente poiché la Nato considera lo spazio cibernetico una nuova dimensione degli scontri armati al pari di terra, cielo, aria e spazio.

L’incipit è più che mai attuale e mi ha dato lo spunto, insieme alla lettura dell’interessantissimo libro “Cyber War, La Guerra Prossima Ventura” di Aldo Giannuli e Alessandro Curioni, dedicato alla guerra cibernetica, per fare il punto su quanto stiamo vivendo in questo “tempo digitale”.

Ai nostri giorni, la guerra aperta è possibile solo in scenari periferici e a condizione che gli eserciti delle maggiori potenze non si confrontino direttamente sul campo. La recente storia dimostra che azioni di guerra possono essere condotte solo come guerra indiretta attraverso il confronto fra soggetti minori, protetti ciascuno da una grande potenza, oppure sotto forma di guerra coperta o, meglio ancora, catalitica, dove un soggetto scatena una guerra fra due suoi concorrenti, restando nell’ombra.

L’uso di forme di guerra coperta deve accompagnarsi ad altre forme, più o meno coperte, di guerra non militare, come, ad esempio, la destabilizzazione politica, la guerra economica, i sabotaggi, le sanzioni, ecc. e deve avere una certa flessibilità, così da modularsi secondo le esigenze, momento per momento.

È in tale contesto che la cyber war viene ad assumere un ruolo centrale e strategico sovvertendo però, per certi versi, le tradizionali gerarchie di potere.

Ci troviamo di fronte a quello che viene definito Sharp Power, potere tagliente, che, secondo Giannuli, rappresenta il logico sviluppo di quel Soft Power fondato sulle pratiche di seduzione e influenza culturale teorizzate dallo statunitense Joseph Nye negli anni Settanta. Lo Sharp Power si caratterizza come un sistema, non esclusivamente pacifico, finalizzato a:

  • influenzare l’opinione pubblica attraverso la propaganda e la manipolazione dell’informazione;

  • penetrare nell’economia del Paese agendo sul sistema di import/export e sui principali nodi logistici commerciali;

  • incidere sulle scelte politiche dello stato in questione non esitando a ricorrere a pratiche ricattatorie.

A guidare tale sistema di conflitto non possono che essere i servizi di Intelligence dei vari paesi.

Mentre l’Intelligence della seconda metà del Novecento era, in massima parte, ideologica, quella attuale si muove in una prospettiva geopolitica e geoeconomica. Mentre le strategie precedenti avevano al centro l’obiettivo del controllo territoriale, quella attuale ragiona in termini di reti di connessione.

L’enorme raccolta di dati impone tecniche di integrazione, verifica, trattamento e analisi per i quali i servizi si sono dotati di sofisticati sistemi basati su algoritmi e, a volte, i risultati sono rivenduti a imprese industriali e finanziarie. Si tratta di una ricaduta di quella guerra senza limiti che è già cominciata e che porrà problemi drammatici soprattutto ai sistemi democratici. Buona parte della battaglia si svolgerà proprio sul campo della cyber war.

L’11 maggio 2017, pare ad opera di ambienti legati al governo nordcoreano, viene scatenato WannaCry, un virus che ha fatto proprie le caratteristiche di un worm, cioè un malware capace di auto propagarsi, che può essere disattivato da una sorta di codice di emergenza, esattamente come avviene per un missile lanciato per errore. Quasi un mese dopo, fa la sua comparsa NotPetya; in questo caso l’attacco sarebbe stato sferrato da un gruppo vicino ad ambienti russi che in passato hanno colpito con altri malware la rete elettrica ucraina.

Difficile dire se gli attacchi portati da WannaCry e NotPetya possono essere considerati veri e propri conflitti. Resta il fatto che, in entrambi i casi, si ha avuto a che fare con organizzazioni “state sponsored” che hanno fatto ricorso ad armi informatiche di produzione militare. Se il primo caso è di difficile attribuzione, nel secondo ad essere coinvolti sono due paesi, Russia e Ucraina, in stato di ostilità, il che lascia ipotizzare che si possono intravedere le caratteristiche di un’operazione bellica di nuovo tipo con lo spazio cibernetico che si aggiunge ai tradizionali domini dei conflitti: terra, acqua, aria e spazio.

Il 2017 segna anche la linea di confine tra il vecchio modello di business dei malware che avevano come obiettivo il singolo device e ii nuovo modello che prevede malware che attaccano l’intera organizzazione aziendale.

( Figura 1 - Ransomware Evolution Model)

So di essermi dilungato parecchio ma era necessario fornirvi un quadro introduttivo e definire il contesto di riferimento altrimenti sembra che si stia parlando di fantascienza. Ora che avete chiaro lo scenario nel quale ci stiamo muovendo, possiamo approfondire il tema relativo alle organizzazioni “state sponsored” e alle loro attività.

Lo spionaggio esiste da sempre ma ciò che è cambiato, in modo radicale, è la tecnologia avanzata che fornisce a quasi tutte le organizzazioni capacità di intelligence innovative. Con la crescente dipendenza dalla tecnologia, lo spionaggio informatico provoca il caos e ostacola lo sviluppo del business sfruttando il cyber spazio per ottenere, segretamente, informazioni riservate appartenenti ad un governo, a un'organizzazione o a specifici individui.

Lo scopo è quello di produrre guadagni netti, per quanto, chiaramente, si tratti di pratiche illegali. Le tecnologie utilizzate per le intrusioni informatiche segrete sono sia avanzate ma, molto spesso, già utilizzate in passato perché consolidate.

Chi sono queste organizzazioni? Di chi stiamo parlando? Da chi vengono sponsorizzate?

Un’organizzazione State Sponsored è un gruppo sponsorizzato dal governo che attacca con forza e ottiene l'accesso illecito alle reti di altri governi o a gruppi industriali per rubare, danneggiare o modificare le informazioni.

Ciò che osserviamo è una varietà di modelli di comportamento che sono spesso, ma non sempre, indicativi del tipo di attaccante e del Paese di appartenenza. Non potendo sviluppare un saggio in materia, proviamo a fare una sintesi delle caratteristiche di alcuni degli attori principali per poi evidenziarne le attività sviluppate nell’anno appena trascorso.

Il furto di proprietà intellettuale sembra essere l'obiettivo principale del Partito Comunista Cinese.

Il GRU russo è più concentrato agli aspetti legati alla politica estera e alle campagne di disinformazione.

L'esercito cibernetico iraniano è stato particolarmente impegnato in attività di difesa dagli attacchi volti ad impedirne lo sviluppo e l’utilizzo delle armi nucleari ma ha anche, ormai da tempo, sviluppato tecniche di offesa tanto da essere stato ritenuto responsabile di alcuni degli attacchi informatici più dannosi contro parecchie aziende negli ultimi anni.

Gli attacchi informatici della Corea del Nord sembrano essere motivati sia da ragioni di carattere finanziario che basati sui capricci di Kim Jong-un. Hanno preso di mira le istituzioni finanziarie per rubare fondi attraverso il loro famigerato gruppo Lazarus, che, non dimentichiamolo, si presume sia stato responsabile dell'attacco ransomware Wannacry e di altri noti eventi informatici.

L'esercito cyber siriano si è recentemente concentrato sull'hacking delle comunicazioni dei dispositivi mobili, cercando di interrompere e sopprimere l'opposizione al regime dittatoriale.

Come potete vedere, ci sono molteplici ragioni alla base delle attività cibernetiche di questi gruppi. Quel che è certo, però, è che l’escalation continua senza sosta e con sempre maggiore forza.

Cercando nel web i rapporti relativi alle tipologie dei gruppi state sponsored e ai tentativi di attribuzione degli stessi ai vari Stati, ho trovato particolarmente interessante la mappa di attribuzione di Microsoft che identifica le attività degli stati in base ai nomi degli elementi chimici. Nella tabella seguente ne sono mostrati solo alcuni, insieme ai paesi di origine da cui operano le organizzazioni, evidenziando quelli che sono stati i più attivi nell'ultimo anno e che hanno fatto un uso più efficace delle tattiche descritte.

(Tabella 1 . Nation State Actors and their activities)

RUSSIA

Nell'ultimo anno, i gruppi con sede in Russia hanno consolidato la loro posizione di “minaccia per l'ecosistema digitale globale” dimostrando adattabilità, persistenza, capacità tecniche significative e una struttura che sfrutta, al meglio, l’anonimizzazione oltre all’uso di strumenti che li rendono sempre più difficili da rilevare.

(Tabella 2 - Russia analysis: Activity and motivations)

Nobelium ha dimostrato quanto possano essere insidiosi e devastanti gli attacchi alla supply chain compromettendo il codice di aggiornamento software, come nel caso di SolarWinds Orion. Sebbene il gruppo abbia limitato lo sfruttamento di follow-on a circa 100 organizzazioni, il codice malevolo è arrivato a toccare circa 18.000 entità in tutto il mondo, lasciando i clienti interessati vulnerabili a ulteriori attacchi.

Le tecniche operative di NOBELIUM sono molto diverse dalla semplice installazione di una backdoor dannosa e vanno dal password spray e phishing fino alla compromissione di fornitori di terze parti per creare le condizioni atte a perpetrare successivi attacchi.

A maggio, l’organizzazione ha compromesso l'account di un'agenzia governativa degli Stati Uniti con un meccanismo di phishing e spoofing per, poi, inviare un'e-mail di phishing a più di 150 organizzazioni diplomatiche, di sviluppo internazionale e senza scopo di lucro principalmente negli Stati Uniti e in tutta Europa presentandosi come l’ufficio marketing della stessa agenzia.

Infine, un recente allarme congiunto da parte dell'intelligence e delle forze dell'ordine statunitensi e britanniche ha portato alla luce una serie di attacchi di tipo brute force che hanno colpito diversi provider VPN; attacchi attribuiti ad APT28, aka Fancy Bear.

Gli attori russi hanno dimostrato capacità adattative e una conoscenza profonda della sicurezza che hanno permesso loro di eludere da una parte l'attribuzione e dall’altra di superare qualsiasi difesa.

NOBELIUM ha mostrato una profonda conoscenza degli strumenti software più comuni, dei sistemi di sicurezza di rete e delle tecnologie cloud, nonché delle soluzioni utilizzate dai team di Incident Response riuscendo a penetrare nei loro processi di operation in modo da garantirsi la persistenza. Un modus operandi molto simile a quello utilizzato da un altro gruppo di estrazione russa: YTTRIUM.

IRAN

Ad un occhio poco attento, l’Iran potrebbe sembrare un attore di poco conto, soprattutto se paragonato a Russia e Cina. È vero che l’Iran è assurto alla scena da non tantissimo tempo; tuttavia, è stato in grado di dimostrare una grande esperienza ed una enorme capacità in materia di compromissione delle applicazioni, ingegneria sociale, esfiltrazione e distruzione dei dati.

I loro obiettivi abituali si trovano in Medio Oriente. In particolare, Israele, Arabia Saudita ed Emirati Arabi Uniti rappresentano gli obiettivi principali. Lo scopo è quello, soprattutto, di interrompere l'egemonia sunnita. Non hanno fatto mancare la loro presenza, però, anche in Europa e in Nord America.

Questo tipo di conflitto asimmetrico fornisce un metodo conveniente e a basso costo per condurre guerre fredde con gli avversari politici e ideologici dell'Iran.

È molto probabile che un gruppo legato all'Iran e noto come RUBIDIUM abbia condotto le campagne ransomware Pay2Key e N3tw0rm che hanno preso di mira Israele tra la fine del 2020 e l'inizio del 2021. Il targeting delle campagne ransomware di RUBIDIUM è stato il settore delle aziende israeliane operanti nel settore della logistica del trasporto marittimo. Questi obiettivi indicano un collegamento con la strategia di Teheran che è quella di vendicarsi della pressione israeliana.

Alla fine del 2020, il gruppo PHOSPHORUS ha condotto una campagna di phishing verso politici inviando link ad articoli a tema nucleare che indirizzavano le vittime a un sito di raccolta delle credenziali. Questo attacco è strettamente legato ai rapporti tra Iran e USA in merito all’accordo del 2015 sul nucleare iraniano da cui Trump uscì nel 2018 tornando così a imporre nuove sanzioni nei confronti della Repubblica islamica con lo scopo di indebolirla e di spingerla a scendere nuovamente a patti con i Paesi occidentali.

Non è un caso che PHOSPHORUS abbia affinato il suo targeting ed incrementato gli attacchi quando i colloqui sul nucleare sono ricominciati a Vienna, lo scorso aprile.

(Tabella 3 - Iran analysis: Activity and motivations)

(Figura 2 - Iran: Flow of a typical PHOSPHORUS compromise from spear phish)

CINA

Con così tanti threat actor a loro disposizione, dati gli obiettivi geopolitici e strategici recentemente annunciati, sarebbe una follia presumere che la Cina non stia aumentando ed evolvendo le sue operazioni. Come abbiamo visto negli attacchi del 2020, la Cina ha utilizzato tecniche consolidate ma anche una novità nell’uso dei ransomware, iniettato sfruttando l’hardware dei sistemi.

Nell'ultimo anno, le minacce operate dagli attori cinesi hanno preso di mira gli Stati Uniti per ottenere informazioni in merito alla politica colpendo, in particolar modo, quelle entità governative che attuano politiche estere in Europa e nei Paesi dell'America Latina. Per compiere la loro missione, hanno sfruttato una serie di vulnerabilità precedentemente non identificate per diversi servizi e componenti di rete.

Tra i gruppi più noti, ne cito due:

  • HAFNIUM, il gruppo responsabile della violazione dei dati di Microsoft Exchange Server del 2021. L’attacco al sistema di email risale a marzo ed è uno dei più devastanti degli ultimi anni, tanto grave che negli Stati Uniti se ne è interessato direttamente il presidente Biden. Si è trattato di uno degli attacchi più sofisticati dal momento che avveniva da remoto, senza bisogno di credenziali, rendendo i dati privati sfruttabili da chiunque, con la possibilità di essere esposti ad attacchi ransomware;

  • APT27, aka Emissary Panda, un gruppo responsabile degli attacchi alle società di gioco tramite l’utilizzo di ransomware e che aveva come obiettivo l’estorsione finanziaria. Non si è trattato della prima volta che questo attore operava in questa modalità tanto che diverse altre aziende, nello stesso periodo, avevano subito attività di cryptomining.

(Tabella 4 - China analysis: Activity and motivations)

NORD COREA

Un altro Stato estremamente attivo, se consideriamo le dimensioni e le risorse del paese rispetto ad altri Stati, è la Nord Corea.

La stragrande maggioranza del targeting nordcoreano è stato diretto a personale specifico e la selezione di questi obiettivi è stata, probabilmente, fatta in base alla probabilità che potessero aiutare la Corea del Nord a ottenere informazioni diplomatiche o geopolitiche non pubblicamente disponibili.

I gruppi principali nordcoreani, THALLIUM, ZINC, OSMIUM e CERIUM si sono concentrati su funzionari diplomatici, accademici e membri di think tank di tutto il mondo.

La maggior parte di coloro che sono stati presi di mira appartenevano a tre paesi: Corea del Sud, Stati Uniti e Giappone. Tuttavia, gli attori nordcoreani hanno anche preso di mira accademici e funzionari di think tank anche in Europa e persino in Cina e Russia, Paesi generalmente considerati amici della Corea del Nord. 

L'attenzione all'intelligence diplomatica o geopolitica, probabilmente, è stata guidata dall'ansia di Pyongyang di avere informazioni relative alla situazione internazionale. L'obiettivo diplomatico è stato particolarmente perseguito sia durante che immediatamente dopo le elezioni statunitensi. Il forte interesse della Corea del Nord per la raccolta di informazioni era, probabilmente, dovuto anche alla necessità di avere risposte alle seguenti domande:

  • la comunità internazionale continuerà ad applicare rigorosamente le sanzioni contro la Corea del Nord?

  • In che modo covid-19 cambia le dinamiche internazionali?

  • Quale sarà la politica della nuova amministrazione statunitense nei confronti della Corea del Nord e in che modo la partnership a tre USA-Corea del Sud-Giappone perseguirà tale politica?

Il COVID-19 è stato al centro anche di diverse campagne d’attacco che i gruppi di matrice coreana hanno realizzato ai danni delle aziende farmaceutiche. Nel novembre 2020, ZINC e CERIUM hanno preso di mira aziende farmaceutiche e ricercatori di vaccini in diversi paesi probabilmente per garantirsi un vantaggio nella ricerca sui vaccini o per ottenere informazioni sullo stato della ricerca dei vaccini stessi nel resto del mondo. 

Infine, la Corea del Nord ha anche utilizzato metodi estremamente sofisticati di social engineering mai visti in precedenza. Nel gennaio dello scorso anno, ZINC ha preso di mira i ricercatori di sicurezza con una campagna atta a creare profili falsi che sembravano appartenere a vere società di sicurezza e a ricercatori, con la generazione di falsi siti Web.

(Tabella 5 - North Korea analysis: Activity and motivations)

La situazione in occidente

La guerra, convenzionale o no che sia, si fa in due e da quanto emerge, invece, sembra che ciò non sia. In effetti è così e le ragioni sono, fondamentalmente, due:

  1. Nell’ultimo decennio gli USA sono stati il bersaglio principale di attacchi cibernetici sempre più sofisticati e pericolosi. Il motivo di ciò viene istintivamente ricondotto alle caratteristiche degli USA agli occhi dei gruppi di hacker di tutto il mondo. Per questi soggetti gli USA rappresentano una superficie molto estesa da attaccare e, allo stesso tempo, una prospettiva di guadagno, economico e di informazioni/intelligence, non indifferente. Basti pensare che nel 2020 gli USA sono stati bersaglio di attacchi cibernetici il 23,6% in più rispetto a qualsiasi altra nazione nel mondo. Possiamo dire che quanto detto lo si può osservare negli effetti dell’attacco ai server e-mail Exchange di Microsoft della primavera del 2020. L’attacco hacker in questione ha istantaneamente reso vulnerabili circa 250mila aziende che utilizzavano il servizio di Microsoft, on premise e non cloud, per le e-mail. L’estensione e la complessità dell’attacco hanno reso necessaria l’attivazione del completo apparato di difesa cibernetica statunitense. Un sistema che costituisce sicuramente un’avanguardia nel settore rispetto a tanti altri Paesi ma che presenta anch’esso delle criticità non indifferenti. Anche se nel cyberwarfare gli USA presentano una “potenza di fuoco” offensiva e difensiva particolarmente sviluppata, tale forza non garantisce la supremazia dello spazio cibernetico o un controllo del “cyberpower” e, di conseguenza, non esiste una potenza egemonica cibernetica. Ciononostante, è indubbio che gli Stati Uniti rappresentino una potenza nella conduzione del conflitto cibernetico.

  2. L'approvazione della nuova Cyber Defence Policy, definita “Comprehensive”, è stata presentata come una necessità, vista l’escalation di ransomware e altri attacchi che hanno preso di mira infrastrutture critiche e istituzioni democratiche. Già nel precedente summit NATO, svoltosi sempre nella capitale belga nel 2018, era stato deciso che “i singoli alleati possono considerare, quando appropriato, l’attribuzione di attività informatiche malevole e rispondere in modo coordinato, riconoscendo che l’attribuzione è una prerogativa nazionale sovrana”. La precedente formulazione, oltre a non menzionare la particolare categoria di “attacco armato”, lasciava in capo agli Stati membri la mera facoltà di valutare autonomamente l’attribuzione di eventuali attacchi e reagire di conseguenza. Tuttavia, le note difficoltà di accertamento dei profili di responsabilità in caso di operazioni cibernetiche, soprattutto se di sospetta origine statuale, hanno reso tale possibilità di difficile applicazione. Nonostante la nuova policy non sia disponibile, dal tenore del comunicato finale traspare la volontà di mantenere intatta la natura difensiva dell’Alleanza: pur prevedendo l’opportunità di rispondere con ogni mezzo a eventuali minacce cyber, non si spinge per lo sviluppo e l’utilizzo di capacità cyber offensive. Tutto ciò sia in ragione del fatto che gli attacchi informatici possono avere impatti imprevedibili non limitati ai singoli obiettivi, sia perché un loro utilizzo, oltre a poter causare un’escalation, renderebbe note le vulnerabilità sfruttate e, quindi, impossibile il riutilizzo degli stessi metodi impiegati.

Gli Attacchi non si fermano mai

Il 2021 è stato un altro anno terribile dal punto di vista degli attacchi informatici ed è in questo scenario, come abbiamo visto, che si sviluppa la guerra cibernetica che è sempre più volta a mettere fuori uso i siti web e le reti di enti governativi o aziendali e, ancora più pericoloso, può disturbare o disabilitare dei servizi essenziali, danneggiare le infrastrutture e le loro reti, rubare o modificare dei dati riservati, mettere fuori uso i sistemi finanziari e persino decidere l’esito delle elezioni presidenziali di una superpotenza.

Negli ultimi anni la guerra cibernetica è diventata una delle forme di guerra più efficaci, utilizzata con l’intento di infliggere danni a chi presiede i governi e le economie ritenute dannose; questo tipo di guerre non comportano costi gravosi come quelle in cui si adottano le armi convenzionali.

La natura segreta della guerra cibernetica ci riporta all’era degli spionaggi durante la guerra fredda. Le superpotenze e non solo loro, stanno alzando la posta in gioco mentre la gente comune si siede e riflette su quanto sia fortunata a vivere in tempi relativamente pacifici, soprattutto in occidente.

Le armi cibernetiche hanno una capacità distruttiva devastante. E il problema è che non è affatto facile né veloce identificarle e contrastarle.

Il mondo moderno ruota attorno all’informatica, a cui ha affidato e da cui dipende totalmente la sua esistenza: chi riuscirà ad alterarlo avrà la meglio nelle guerre cibernetiche del futuro, ma con quale prezzo per le popolazioni e i governi colpiti?

Sono domande a cui non so dare una risposta. Quel che so e che spero è che tutti dovrebbero fare un passo indietro per salvaguardare quel mondo che ci è stato donato per potere vivere in pace e che tutti si sia in grado di comprendere che la tecnologia è davvero, come dice il Papa, un dono di Dio.

Riferimenti

https://www.nato.int/cps/fr/natohq/official_texts_17120.htm?selectedLocale=it

https://aldogiannuli.it/tag/guerra-coperta/

(PDF) Soft power: the origins and political progress of a concept (researchgate.net)

Conoscete la storia di WannaCry? Per sapere cosa c'è dietro il malware più famoso. - YouTube

La storia di NotPetya, il cyber-attacco più devastante della storia (hitechglitz.com)

Lazarus Group, HIDDEN COBRA, Guardians of Peace, ZINC, NICKEL ACADEMY, Group G0032 | MITRE ATT&CK®

Microsoft Digital Defense Report OCTOBER 2021

The hunt for NOBELIUM, the most sophisticated nation-state attack in history - Microsoft Security Blog

Fancy Bear - Wikipedia

APT29, NobleBaron, Dark Halo, StellarParticle, NOBELIUM, UNC2452, YTTRIUM, The Dukes, Cozy Bear, CozyDuke, Group G0016 | MITRE ATT&CK®

RUBIDIUM threat group – Cyber Security Review (cybersecurity-review.com)

N3TW0RM ransomware emerges in wave of cyberattacks in Israel (bleepingcomputer.com)

Gli hacker di stato iraniani passano ai ransomware - Securityinfo.it

DearCry Ransomware and the HAFNIUM Attacks – What You Need to Know (cybereason.com)

APT27 – Cyber Security Review (cybersecurity-review.com)

Kimsuky APT continues to target South Korean government | 2021-06-09 | Security Magazine

ZINC attacks against security researchers - Microsoft Security Blog

PowerPoint Presentation (hhs.gov)

Eventi

Clicca sui giorni evidenziati in rosso e scopri cosa c'è in evidenza.
Racconti di vita militare
Inviaci il tuo racconto
Omaggio (dovuto) all’80° fanteria “Roma” che si congeda con Onore

Ebbene si, ormai siamo abituati ad assistere alla chiusura delle caserme e forse anche un po' a seppellire la lunga storia dei reparti, un fenomeno che però non cancella i ricordi. È toccato anche...

Leggi il racconto
"Il Signor Parolini" (nona parte)

Il pollo al forno, come previsto, si era dimostrato all’altezza della sua reputazione, consolidando, ove ce ne fosse stato bisogno, l’indiscussa maestria culinaria di Gastone, capo...

Leggi il racconto