Dopo l’analisi delle minacce APT, iniziamo ad analizzare il contesto specifico dei paesi canaglia che si contraddistinguono storicamente nelle guerre informatiche. E’ doveroso incominciare dalla madre Russia perché quando c’è un attacco hacker, il primo sospetto è quello che siano stati i criminali informatici al soldo di Putin.

La guerra cibernetica targata Russia si contraddistingue per i suoi DDOS (diniego di servizio), attacchi di criminali informatici, oppure militari informatici con fenomeni di propaganda che utilizza molte volte l’arma della disinformazione, o con l’interessamento delle squadre sponsorizzate dallo Stato verso i blog politici. A queste azioni rivolte oltre i confini del Paese, si aggiunge il monitoraggio costante della rete internet attraverso la tecnologia SORM che porta nella maggior parte dei casi alla persecuzione dei cyber-dissidenti.

L’agenzia di sicurezza russa

Secondo gli analisti politici informati sul problema, l’attività di controllo e di attacco nella rete Internet dei paesi esteri è opera dell’FSB che ha ereditato l’attività lavorativa dal più noto KGB. La FSB non è altro che l’agenzia federale di sicurezza della Russia ed è stata costituita da Putin nel lontano 1995 ed ha al suo interno una sezione avanzata che si occupa di mettere in campo per lo più due strategie di azione e precisamente:

• “Informativo-Tecnico” che comprende le operazioni di rete sia di difesa sia di attacco
• “Informativo-Psicologico” che consiste nel cercare di manipolare il pensiero della popolazione a favore del governo russo contro gli obiettivi militari indicati dall’FSB con una attività di propaganda.

La propaganda

La propaganda è più efficace degli attacchi hacker quando si tratta di coinvolgere quante più persone nella vastità del globo.

Le principali attività svolte nel corso della storia hanno riguardato nella fattispecie fatti scientifici e geopolitici. Il primo sistema di manipolazione delle informazioni è avvenuto ai danni di Wikipedia, l’enciclopedia pubblica in rete, che ha comportato l’inserimento e la modifica di notizie scientifiche con il fine di distorcere in molti casi gli accadimenti di cronaca e le teorie accademiche. La soluzione per porre rimedio a questa tipologia di attacco è stata il rivedere le materie che avevano subito l’alterazione con descrizioni controverse e sono state modificate, imponendo successivamente un rigido regolamento per l’inserimento delle voci di libreria. Le notizie utilizzate per la propaganda sono state rettificate citando le indagini ufficiali approvate dal metodo accademico universale.

Un’altra azione nota nel contesto di manipolazione delle informazioni si è avuta durante il periodo della guerra cecena dove si inviavano articoli in favore delle azioni militari russe a quelle testate settoriali che li pubblicavano senza verificarli perché credevano nella buona fede dei corrispondenti ,spesso agenti dell’FSB sotto copertura che le inviavano. E’ anche vero però che la guerra cecena si svolgeva nel silenzio della stampa internazionale per via di un accordo di non belligeranza tra USA e Russia che prevedeva silenzio sulle attività statunitensi nel Medioriente in cambio dell’oscurantismo sovietico nella sua regione problematica.

Brexit: referendum popolare oppure manipolazione russa?

Quella che ha raggiunto l’obiettivo di dividere addirittura l’Europa è stata la campagna di disinformazione in occasione della Brexit. Nel 2016, in occasione del referendum sull’uscita dell’Inghilterra dalla zona euro, si è avviata una campagna di sponsorizzazione del sovranismo come forma di governo, portando ad esempio la Russia, o si delegittimava la politica dell’Unione Europea definita fallimentare e artefice di una cancel culture dei singoli stati annessi ai suoi confini.

L’uscita dall’EU da parte del Regno Unito ha però un’altra faccia così come testimonia l’inchiesta dell’Observer che ha fatto luce sulla società Cambridge Analytica : colpevole di aver manipolato la campagna social profilando e colpendo le popolazioni dell’entroterra. Questa strategia si è dimostrata efficace visti i risultati che hanno favorito una maggioranza di voti propensi all’uscita dall’Euro proprio nelle zone periferiche alla City londinese. L’inchiesta giornalistica ha dimostrato che la società anglo-americana è stata responsabile di aver profilato il pubblico secondo attività non proprio limpide anche agli occhi di Facebook, sebbene molti abbiano ritenuto che la società avesse volto lo sguardo dall’altra parte.

Indipendentemente dalla nazionalità della società che materialmente ha allestito tecnicamente la strategia, restano agli atti gli slogan social filo russi, tra cui un video in lingua madre sottotitolato in base alla nazionalità dove veniva indirizzata la campagna pubblicitaria. Vero anche che l’inchiesta dell’Observer era indirizzata a far saltare il banco del referendum per poter consentire al governo di tornare indietro sulle scelte sancite dal popolo. Si è inoltre sollevato un problema delle registrazioni degli utenti per il voto elettronico perché, a poche ore dalla scadenza del termine di iscrizione, il portale era irraggiungibile creando diversi disagi a chi voleva partecipare ed in alcuni casi ha anche desistito dal farlo. Sulle cause di quanto avvenuto, la prima teoria è stata quella dell’attacco hacker russo, ma non è mai stata confermata questa tesi ed è probabile che i server non fossero pronti nel reggere il carico di visite simultaneo generando quello che in Italia è oramai individuato come effetto INPS per via del malfunzionamento nel click day sotto la pandemia. Teoria questa che è stata ufficializzata dagli Uffici preposti al controllo della correttezza del voto.

Trump: il candidato social della Russia?

Nel 2016 anche gli USA sono andati al voto ed hanno lamentato più volte delle ingerenze russe come nel caso del rilascio di email hackerate attraverso DCLeaks e WikiLeaks, associato anche questo ad una attività criminale russa. La diffusione delle email è stata affibbiata ai sovietici, da cui sono partite diverse campagne di diffamazione che hanno colpito la Clinton, avversaria di Trump nella prima tornata elettorale, ed hanno acceso i riflettori sulla vicenda di John Podesta che ha dato il la alle teorie complottistiche di QAnon sulla vicenda della tratta di bambini e dell’estrazione dell’adrenocromo: una sostanza ricavata in fase di tortura dei piccoli ed utilizzata dagli uomini più influenti del mondo per ottenere l’eterna giovinezza. Una teoria che non solo non ha valenza scientifica, ma che è stata sbugiardata in tempi non sospetti da matricedigitale con una indagine OSINT apposita. Fatto sta che dopo questo evento, non solo si è aperto un conflitto interno tra CIA ed FBI, ma è stato chiesto di far luce sull’origine delle sponsorizzazioni effettuate sui social per verificare l’esistenza di fondi russi impegnati sulle piattaforme più note come Twitter e Facebook, scandagliando anche l’universo variegato di Google e dei suoi prodotti.

Germania

Anche la capitale economica dell’Europa, la Germania, sembrerebbe aver impattato con le strategie di propaganda degli hacker russi. Secondo Hans-Georg Maaben, capo dell’Ufficio federale per la protezione della Costituzione del paese, erano evidenti le prove di influenzare le elezioni che si sarebbero svolte da lì a poco nel 2017 tramite azioni di spionaggio informatico e diffusione di notizie poco credibili, responsabili di aver insinuato dei dubbi nell’elettorato. La stessa accusa è stata rivolta ai sovietici per quelle del 2021 appena svolte in territorio alemagno, ma questa volta i sospetti sono stati diffusi in prima persona dalla Commissione Europea.

Polonia

Una campagna di disinformazione filorussa su Facebook che ha coinvolto ben 4,5 milioni di polacchi è stata scoperta all’inizio del 2019 da OKO.press e Avaaz. La campagna promuoveva tre politici polacchi filorussi ed i loro siti web, propagando notizie false o strumentali alla loro attività politica. L’orientamento politico dei tre soggetti coinvolti, Adam Andruszkiewicz, Janusz Korwin-Mikke e Leszek Miller, spaziava dal comunismo all’ultranazionalismo. L’analisi svolta ha portato alla rimozione di alcune delle pagine social nelle quali si svolgeva l’attività di propaganda con notizie false, che ha poi colpito l’ecosistema di Facebook nel mondo, arrivando a chiudere molte pagine italiane collegate ai Cinque Stelle ed alla Lega.

Sputnik cura per il Covid19

La propaganda russa si è avvertita sui social network durante il periodo del Covid e precisamente quando hanno iniziato ad essere immessi sul mercato i vaccini per il contrasto al coronavirus. Nel corso della guerra commerciale farmacologica che prospettava dagli inizi la non accettazione del vaccino russo, denominato Sputnik, da parte dell’EMA, i social network hanno ospitato sponsorizzazioni del vaccino russo dove veniva riportata la validità del farmaco. Oltre a questo, nel periodo di maggiore picco mortale nel Paese della pandemia, vi erano diverse foto che giravano nella rete italiana dei social e ritraevano trionfalmente gli aiuti russi ai medici del Bel Paese.

La Russia come modello di società della sorveglianza

Oltre agli attacchi verso l’esterno, la Russia è il perfetto modello da sempre per gli appassionati della società della sorveglianza. Nel 1995 fu implementato il SORM: che rappresenta il programma di intercettazione legale delle reti telefoniche e di telecomunicazione che operano in terra sovietica. Nasce prevalentemente per consentire all’intelligence, FSB, di essere sempre aggiornata sulle comunicazioni telefoniche che avvengono nel paese, ma già tre anni dopo, 1998, si è esteso il controllo alla rete internet richiedendo agli Internet Service Providers di installare un hardware fornito dall’agenzia di sicurezza nazionale per poter monitorare i metadati e i contenuti delle comunicazioni degli utenti, dalle telefonate al traffico e-mail ed all’attività di navigazione web. Nel 2000 il sistema si è esteso al mobile ed alle reti wireless ed è stato abolito il procedimento di richiesta di accesso ai dati da parte dell’Intelligence ai Providers, che poteva essere costante e libero così come si è aperta la consultazione dei dati intercettati dal SORM anche ad altri enti statali come, Polizia fiscale, Polizia, Servizio federale di protezione, Pattuglia di confine e dogana, Ministero degli Affari Interni, Reggimento del Cremlino, Servizio di sicurezza presidenziale ed i Servizi di sicurezza parlamentare. Nel 2014 si è aggiornato l’hardware a disposizione e si è raggiunta la perfezione nel monitoraggio di ogni ambiente, Telefono-Internet-Mobile-Wireless, con cui ogni singolo abitante della Russia difficilmente non può essere intercettato e questo stato di controllo rappresenta la migliore arma della dittatura alla libera espressione democratica del paese e facilita l’arresto dei cyber-dissidenti.

Nonostante gli appelli dei maggiori banchieri e uomini della finanza globale, l’economia sta subendo una forte trasformazione con l’ingresso delle cryptovalute. Anche il mondo degli investimenti finanziari ha preso le sembianze del Bitcoin e si è diversificata nella sua veste decentralizzata, fugace al tracciamento del sistema economico mondiale consolidatosi in più di cento anni di storia dell’economia.

Non più titoli di stato, azioni e fondi di investimento che scommettono i nostri risparmi per massimizzare i profitti, ma che spesso non vanno oltre il 3% annuale, senza considerare che viene ulteriormente tassato in base alle norme fiscali dei singoli paesi sugli utili. Se prima il riferimento commerciale in ambito finanziario era la banca, ad oggi sono nate diverse figure che si inseriscono nel mercato e rendono ancora più variegata la scelta di affidare i propri risparmi per ottenere un guadagno maggiore di quello ottenuto fino ad oggi sui mezzi consuetudinari.

Fondi, investimenti e crypto

La borsa è sempre stato un mercato per pochi e conosciuto a tutti solo perché a fine giornata i TG riportano le notizie degli indici, quasi sempre in negativo, delle maggiori piazze d’affari mondiali. Con l’avvento di Internet, il pubblico interessato a gestire i propri risparmi è cresciuto avvicinandosi dapprima alle piattaforme bancarie per poi, con la nascita dei social e delle loro campagne pubblicitarie mirate, arrivare alle piattaforme di trading online. La leva maggiore, che ha reso in Italia tutti esperti di finanza quanto di calcio, è rappresentata dall’avvento delle criptovalute con i loro guadagni stratosferici. Perché sono tante oramai le storie di persone che sono diventate milionarie acquistando 100 o 1000 dollari di un feticcio virtuale coniato magari per gioco, trovandosi dopo non molto tempo guadagni anche del 3000% mentre i fondi di investimento sono andati in sofferenza con l’avvento del Covid. Non sono bastati i proclami degli organi economici più influenti del mondo come il Fondo Monetario Internazionale, società di rating e finanche le leggi di governi che hanno bandito alcune materie economiche di nuova generazione come le criptovalute.

I nuovi Warren Buffet

Chi sono coloro che promettono di renderci ricchi? Figure come i broker privati, in esercizio da tempo in paesi come l’Inghilterra, sono soggetti indipendenti dalle banche. A questi si aggiungono le app di trading puro e le piattaforme di trading di criptovalute che ultimamente sono miste e danno la possibilità di acquistare prodotti dei panieri convenzionali come materie prime e titoli azionari. Grazie ad Internet possiamo affermare che il solido sistema bancario basato su una vera e propria attività monopolistica acquisita negli anni grazie anche alla politica internazionale, in questo periodo affanna. Se molti fino a poco tempo fa mettevano i soldi sotto le mattonelle o il materasso, oggi tantissimi soldi liquidi partono verso conti esteri che i singoli cittadini hanno attivato a loro insaputa. Perché le piattaforme di trading, ad esempio, si appoggiano a delle banche straniere e quando si crea un profilo e si effettua il bonifico, in molti casi si sta bonificando a se stessi e non alla piattaforma che poi smista i soldi ad ogni singolo iscritto. Anche questo è un dettaglio da non trascurare se consideriamo che per i cittadini europei spesso i soldi vanno a finire nel Regno Unito e risultano avere conti esteri senza saperlo.

Gioco d’azzardo?

C’è la tendenza di investire somme senza sapere né dove né se c’è certezza di ottenere un risultato e quindi ci si cimenta all’interno di una dinamica vorticosa simile a quella del gioco d’azzardo. Molte persone puntano sui titoli o sulle cripto come se stessero scegliendo un cavallo o una roulette al Casino. Si punta sul nulla e questo aspetto è ancora più rischioso delle famose bollette delle scommesse sportive, ma almeno quelle contano su una conoscenza dell’utente acquisita dalla passione per l’uno o per l’altro sport. Sono tante, troppe, le persone che non hanno le spalle coperte e violano costantemente la prima regola generale degli investimenti: mai scommettere più di quanto si è disposti a perdere. Questo limite, se superato, ha gli stessi effetti devastanti delle ludopatie in senso generico.

Quali sono i rischi?

DataBreach: Entriamo nel campo dei rischi iniziando da quello più elementare e già conosciuto come la violazione dei sistemi informatici delle piattaforme che per primo effetto genera la fuga dei dati personali dei clienti. Qui non si parla solo di indirizzo e numero di telefono, ma anche di dati bancari a cui sono collegati i conti correnti degli iscritti e quando una piattaforma è più diffusa, ci troviamo dinanzi ad un data breach di dimensioni enormi come nel caso di questi giorni dove la app Robin Hood è stata violata ed i dati dei suoi 7 milioni di iscritti messi in vendita nel dark web:

Phishing: Sono tante le iniziative criminali messe in campo ogni giorno per estrapolare dati di ignari utenti. La tecnica più frequente è quella del Phishing che viene utilizzato via mail oppure con la promozione di links attraverso pseudo campagne commerciali che dirottano gli utenti interessati a un prodotto su siti che richiedono una registrazione finalizzata ad acquisiscono quante più informazioni personali possibile. Un altro metodo è quello di somministrare dei malware con la scusa dell’installazione di software che aiuterebbero a migliorare l’esperienza utente. In rete si trovano tantissimi esempi di soggetti che si propongono come esperti sulla materia di criptovalute e poi invece sono specchietti per le allodole di affari truffaldini come nel caso riportato in seguito:

Exit Scams: ancora più allarmante il fenomeno delle exit scams, le truffe con fuga, per tradurre in gergo italico. Alcune piattaforme dicono di raccogliere fondi per investirli o di vendere criptovaluta, ma dopo aver raccolto abbastanza fondi, i titolari scappano con il malloppo. L’ultimo caso ha riguardato una criptovaluta nata sull’onda emotiva di Squid Game. Il token ha raccolto 3,3 milioni di dollari, ma i suoi nuovi proprietari sono impossibilitati nel venderlo e quindi a loro resta un feticcio mentre agli ideatori il bene liquido acquisito vendendo la restante parte delle monete. Una truffa su cui Binance ha indagato e sentenziato che ci fosse qualcosa non proprio chiara e nonostante questo si è arrivati a quello che in gergo si definisce “rug pull”.

Crollo del mercato: che il mercato sia sottoposto ad alti e bassi non è una caratteristica delle nuove economie digitali, ma è anche vero che i rischi possono essere più alti se si viaggia su prodotti con un potenziale guadagno fuori il consuetudinario. Nell’ultimo crollo del mercato crypto, le piattaforme sono andate in difficoltà per l’ampia richiesta di accesso simultaneo da parte dei clienti che vendendo i propri titoli in moneta elettronica, hanno mandato in forte perdita le aziende. In quell’occasione verificati blocchi nel funzionamento delle piattaforme che hanno reso impossibile l’azione di autotutela degli utenti nel vendere istantaneamente quanto guadagnato o quanto perso. Dopo diverse ore di malfunzionamento, le cripto erano scese in alcuni casi anche del 50% del valore, mandando in malora una buona parte dei patrimoni.

Password: non ultimo il problema delle password dei portafogli elettronici, una volta smarrite le credenziali ed i seed che vengono forniti, sarà difficile riprendere il controllo del portafogli. Immaginate se avete perso le credenziali di un portafogli elettronico con 0,5 Bitcoin comprati tempo fa, avete perso 28 mila euro.

L’Advanced Persistent Threat (minaccia avanzata persistente – APT) è una tipologia di attacco informatico furtivo, nella maggior parte dei casi ad opera di attori provenienti da uno stato nazionale, o sponsorizzati dallo stato, che consiste nell’accesso non autorizzato a una rete di computer rimanendo inosservato per un lungo periodo. La componente statale non è ritenuta più essenziale perché nell’ultimo periodo per APT non si intende solo ed esclusivamente il gruppo, ma appunto il metodo con cui è effettuato l’attacco seppur consista soprattutto in una pratica che inizia solitamente con attività di spionaggio.

Scopi ed obiettivi dell’attacco

Le motivazioni che inducono a questo tipo di minaccia informatica sono tipicamente politiche o economiche ed è per questo che il livello di guerra cibernetica tra governi è oramai basata sulle minacce APT che hanno come caratteristica un percorso lungo e tortuoso che prevede ottime capacità di ascolto e di intervento informatico. Così come dal punto di vista economico si tendono a colpire le maggiori aziende, globali e locali non fa differenza, raggiungendo come risultato la compromissione delle risorse finanziarie, della proprietà intellettuale e della reputazione delle imprese che incide anche sui titoli azionari quando queste sono posizionate in borsa. Nell’ultimo periodo, sono tanti i casi di battaglioni informatici che sviluppano ransomware ed effettuano attacchi firmandosi, rendendo chiara la provenienza territoriale che in ambito militare dovrebbe restare possibilmente quanto più coperta.  Proprio per questo motivo, l’associazione tra Ransomware Gang e Apt non è corretta e spesso trae gli analisti in errore. Lo scopo militare non è principalmente quello di arricchirsi, cosa che fanno i criminali cibernetici con le richieste di riscatto, ma quello di rendere quanto più inoperativo un sistema avversario o spiarlo a sua insaputa per molto tempo. La difficoltà nel distinguere la natura militare risiede anche nel processo di valutazione del merito dell’attacco: valutare se sia utilizzato un approccio di tipo criminale, invece che militare, da un attore statale con il fine di autofinanziarsi e questo metodo è più corrispondente alla realtà quando si tratta di paesi poveri e colpiti da diversi embarghi commerciali.

Tecnica dell’Advanced Persistent Threat

La roadmap di un attacco APT segue un processo abbastanza rigido composto dalle seguenti fasi:

• Prendere di mira organizzazioni specifiche per un unico obiettivo
• Tentare di guadagnare un punto d’appoggio nell’ambiente
• Utilizzare i sistemi compromessi come accesso alla rete di destinazione
• Distribuire strumenti aggiuntivi che aiutano a raggiungere l’obiettivo dell’attacco
• Coprire le tracce per mantenere l’accesso per iniziative future

Definizione di Advanced Persistent Trheat

Le definizioni di cosa sia precisamente un attacco di tipo APT possono variare, ma possono essere riassunte dai loro requisiti nominativi qui sotto:

Avanzato – Gli operatori dietro la minaccia hanno a disposizione uno spettro completo di tecniche di raccolta di informazioni. Queste possono includere tecnologie e tecniche di intrusione informatica commerciali e open source, ma possono anche estendersi fino ad includere l’apparato di intelligence di uno stato ed è qui che dall’utilizzo di semplici strumentazioni, si può arrivare ad implementare sistemi e schemi più complessi che possono essere possibili solo grazie all’intervento di una entità statale o di una azienda che può contare su budget elevati.

Persistente – Gli operatori hanno obiettivi specifici che spaziano dal blocco o dalla “alterazione” di sistemi informatici di rilevanza statale o piuttosto cercano opportunisticamente informazioni per un guadagno finanziario o di altro tipo. Il bersaglio viene monitorato continuamente e sollecitato con una azione di  interazione costante fino al raggiungimento degli obiettivi definiti che hanno come scopo quello di  mantenere l’accesso a lungo termine al bersaglio, in contrasto con le minacce che hanno bisogno di accedere solo per eseguire un compito specifico.

Minaccia – Gli attacchi APT sono eseguiti da azioni umane coordinate, piuttosto che da pezzi di codice senza cervello e automatizzati. Gli operatori hanno un obiettivo specifico e sono abili, motivati, organizzati e ben finanziati. Gli attori non si limitano a gruppi sponsorizzati dallo stato.

Come scoprire un Advanced Persistent Threat

Ci sono decine di milioni di varianti di malware e questo rende estremamente difficile proteggere le organizzazioni dalle APT. Mentre le attività delle minacce persistenti sono furtive e difficili da rilevare, il traffico di rete di comando e controllo associato alle APT può essere rilevato con metodi sofisticati di auditing delle risorse. L’analisi profonda dei log e la correlazione dei log da varie fonti è di utilità limitata nel rilevare le attività delle APT. È impegnativo separare le anomalie dal traffico legittimo. La tecnologia e i metodi di sicurezza tradizionali sono inefficaci nel rilevare o mitigare le APT. Inoltre, gli attori che sfruttano questa tipologia di attacchi non sono sempre riconoscibili, anzi, restano anonimi per molto tempo proprio per non bruciarsi all’interno dello scacchiere geopolitico della guerra cibernetica e, inoltre, è una buona prassi nelle tecniche di intelligence, quella di eseguire un attacco in perfetto anonimato senza svelarne la provenienza con il fine di elaborare una lettura politica e militare errata da parte dei soggetti colpiti.

Il nemico più pericoloso è quello che non ha volto e nemmeno bandiera.

Continua …