Inchieste

Lazarus, 2019: da TrickBot Anchor al ritorno di AppleJeus. La guerra cibernetica nord coreana ha fruttato 2 miliardi

Pubblicato

2 anni fa

in data

14/02/2022

Livio Varriale

Tempo di lettura: 9 minuti.

L’anno 2019 è stato prolifico per il gruppo Lazarus che ha iniziato la sua attività militare con una campagna condotta con l’intenzione di rubare segreti militari e commerciali ad una società di difesa israeliana che ha scoperto la campagna il 7 marzo 2019.

Secondo Clearsky, l’azienda era fornitrice di prodotti utilizzati nell’industria militare e aerospaziale ed è stata scoperta da un dipendente che aveva ricevuto una mail di un collega in lingua ebraica poco corretta, in cui gli hacker hanno impiantato il malware maligno Rising Sun backdoor per lanciare l’attacco. Per questo, il gruppo Lazarus ha sfruttato una vulnerabilità – CVE-2018-20250 – nel software di archiviazione file WinRAR non aggiornato. L’analisi del codice sorgente mostrava che il malware era in grado di bypassare le protezioni di filtraggio delle e-mail.

Nel marzo 2019 si è registrato un nuovo attacco informatico sulla scia dell’operazione Apple Jeus che ha portato alla compromissione dei sistemi Mac grazie ad un prodotto non solo sofisticato, ma anche capace di innovarsi e di disperdere le proprie tracce. Sono stati identificati cambiamenti significativi alla metodologia di attacco del gruppo, nel caso degli utenti macOS, il gruppo Lazarus ha sviluppato un malware per la piattaforma autoprodotto, al quale ha aggiunto un meccanismo di autenticazione per consegnare il payload della fase successiva con molta attenzione perché riusciva a caricare l’agente infettivo della fase seguente senza toccare il disco. Inoltre, per attaccare gli utenti di Windows, hanno elaborato una procedura di infezione a più stadi e cambiato significativamente il payload finale. Dopo il rilascio di Operation AppleJeus, il gruppo, ha impiegato una serie di metodi per evitare di essere rilevato ed ha continuato a utilizzare un modus operandi simile per compromettere le imprese di criptovaluta reiterando azioni mirate per procurare fondi al Governo e l’attore ha:

usato GitHub per ospitare le sue applicazioni dannose.
ha usato Object-C invece del framework QT nel suo malware per macOS.
ha implementato nel malware una semplice funzione backdoor nell’eseguibile di macOS.
ha cifrato/decifrato nel malware con una chiave XOR a 16 byte (X,%`PMk-Jj8s+6=) simile al caso precedente.
nella versione Windows del malware ha utilizzato ADVobfuscator, un offuscatore di tempo compilato, al fine di nascondere il suo codice.

È stato identificato un altro attacco mirato a macOS con l’applicazione dannosa UnionCryptoTrader.

Il blog di Objective-See ha spiegato la funzionalità del malware, riassumendo l’attacco:

Lo script post-installazione è identico a quello utilizzato nel caso JMTTrading.
L’autore del malware ha usato SWIFT per sviluppare questo malware per macOS.
L’autore del malware ha cambiato il metodo di raccolta delle informazioni dal sistema infetto.
Il malware inizia a condurre l’autenticazione utilizzando i parametri auth_signature e auth_timestamp al fine di consegnare il payload del secondo stadio con più attenzione. Il malware acquisisce l’ora corrente del sistema e la combina con la stringa hardcoded “12GWAPCT1F0I1S14”, e produce un hash MD5 della stringa combinata. Questo hash è usato come valore del parametro auth_signature e l’ora corrente è usata come valore del parametro auth_timestamp. L’operatore malware può riprodurre il valore auth_signature sulla base del auth_timestamp sul lato server C2.
Il malware carica il payload dello stadio successivo senza toccare il disco.

Le vittime sono state registrate nel Regno Unito, Polonia, Russia e Cina e molte erano legate a entità commerciali di criptovaluta.

Nell’aprile del 2019 è emerso uno spyware del gruppo in grado di connettersi in modo sicuro a un server di controllo e caricare file rubati dalla macchina infetta. Conosciuto come “Hoplight”, il malware era una raccolta di nove file, anche se la maggior parte di questi sono stati progettati per funzionare come strati di offuscamento per mantenere quanto più a lungo la persistenza dai controlli degli amministratori e del software di sicurezza utilizzato per individuare l’attacco.

“Sette di questi file sono applicazioni proxy che mascherano il traffico tra il malware e gli operatori remoti”, ha detto US-Cert nel suo report“I proxy hanno la capacità di generare false sessioni TLS handshake utilizzando certificati SSL pubblici validi, mascherando le connessioni di rete con attori maligni remoti”.

Sotto questi sette livelli di proxy, Hoplight usava il suo certificato SSL valido per creare la connessione sicura, poi un ultimo nono file cercava di creare una connessione in uscita al server di controllo per trasmettere le informazioni rubate. Il certificato sembra essere un certificato SSL pubblico di Naver, un motore di ricerca e fornitore di servizi coreano.

All’interno del pacchetto di file, secondo US-Cert, il pacchetto malware era in grado di eseguire una serie di attività di controllo remoto e spyware. Questo includeva la capacità di leggere e scrivere file locali, creare, terminare o modificare i processi in esecuzione e le impostazioni del registro di sistema, e connettersi a un host remoto per caricare e scaricare file.

Il gruppo ha tipicamente utilizzato tecniche di spear-phishing per ottenere l’installazione del suo malware su obiettivi stranieri.

Nel maggio del 2019 il Department of Homeland Security (DHS) ha sviluppato un rapporto di tipo “Malware Analysis Report (MAR)” scaturito dagli sforzi analitici del DHS e del Federal Bureau of Investigation (FBI). Lavorando con i partner del governo degli Stati Uniti, DHS e FBI hanno identificato una variante di malware utilizzata dal governo nordcoreano identificato come ELECTRICFISH.

L’analisi riguardava un file eseguibile maligno per Windows 32bit che implementava un protocollo personalizzato che consentiva di creare un tunnel per il traffico tra un indirizzo IP sorgente e uno di destinazione. Il malware tentava continuamente di raggiungere la fonte e il sistema di designazione, il che permetteva a entrambe le parti di avviare una sessione di tunneling, grazie alla capacità del malware di essere configurato con un server/port proxy e un nome utente e una password proxy.
Questa caratteristica permetteva la connettività a un sistema che si trovava all’interno di un server proxy, che a sua volta consentiva all’attore di bypassare l’autenticazione richiesta dal sistema compromesso per raggiungere l’esterno della rete.

Nello stesso mese emergeva la scoperta di una intercettazione dei pagamenti online degli acquirenti americani ed europei mostrata da Sansec. Lazarus è irrotta nei negozi online di grandi rivenditori statunitensi ed ha piantato skimmer di pagamento già nel maggio 2019. In precedenza, l’attività di hacking nordcoreana era per lo più limitata alle banche e ai mercati di criptovalute, operazioni informatiche segrete che hanno fruttato ai militari parastatali 2 miliardi di dollari, secondo un rapporto delle Nazioni Unite del 2019. Come ha mostrato la nuova ricerca di Sansec, ora hanno esteso il loro portafoglio con il redditizio crimine dello skimming digitale.

Lo skimming digitale, noto anche come Magecart, è l’intercettazione delle carte di credito durante gli acquisti nei negozi online. Questo tipo di frode è cresciuta dal 2015 ed era tradizionalmente dominato da gruppi di hacker di lingua russa e indonesiana fino all’arrivo dei nordcoreani.

Per intercettare le transazioni, un attaccante deve modificare il codice del computer che gestisce un negozio online. HIDDEN COBRA è riuscito a ottenere l’accesso al codice del negozio di grandi rivenditori come la catena internazionale di moda Claire’s. Pare che HIDDEN COBRA abbia ottenuto l’accesso usando attacchi di spearphishing per ottenere le password del personale dei negozi.

Usando l’accesso non autorizzato, HIDDEN COBRA iniettava il suo script maligno nella pagina di checkout del negozio.
Lo skimmer aspettava la pressione dei tasti dei clienti ignari.
Una volta che il cliente completa la transazione, i dati intercettati come i numeri delle carte di credito vengono inviati a un server di raccolta controllato da HIDDEN COBRA.

Curiosamente, HIDDEN COBRA ha usato i siti di un’agenzia di modelle italiana e di un negozio di musica vintage di Teheran per eseguire la sua campagna globale di skimming.

Per monetizzare le operazioni di skimming, HIDDEN COBRA ha sviluppato una rete globale di esfiltrazione. Questa rete utilizzava siti legittimi, che sono stati dirottati e riproposti per servire come travestimento per l’attività criminale. La rete veniva anche utilizzata per incanalare i beni rubati in modo che potevano essere venduti sui mercati del dark web. Sansec ha identificato una serie di questi nodi di esfiltrazione, che includono un’agenzia di modelle di Milano, un negozio di musica vintage di Teheran e un negozio di libri a conduzione familiare del New Jersey.

Nei mesi successivi, Sansec ha scoperto lo stesso malware su diverse decine di negozi. Ogni volta, usavano uno di questi siti dirottati come caricatore e raccoglitore di carte:

stefanoturco.com (tra il 2019-07-19 e il 2019-08-10)
technokain.com (tra il 2019-07-06 e il 2019-07-09)
darvishkhan.net (tra il 2019-05-30 e il 2019-11-26)
areac-agr.com (tra il 2019-05-30 e il 2020-05-01)
luxmodelagency.com (tra il 2019-06-23 e il 20

Alla fine del 2018 è stata scoperta una serie di attacchi mirati contro aziende aerospaziali e militari in Europa e nel Medio Oriente. In seguito alla scoperta, gli attacchi sono stati soprannominati Operation In(ter)ception sulla base di un campione di malware correlato chiamato “Inception.dll“, hanno avuto luogo da settembre a dicembre 2019. Erano altamente mirati e si basavano sull’ingegneria sociale tramite LinkedIn e su un malware personalizzato e multistadio. Per operare sotto i radar, gli aggressori hanno spesso ricompilato il loro malware, abusando delle utility native di Windows e impersonato software e aziende legittime con un malware personalizzato utilizzato nell’Operazione In(ter)ception non precedentemente documentato.

L’obiettivo primario dell’operazione era lo spionaggio. Tuttavia, in uno dei casi indagati, gli aggressori hanno cercato di monetizzare l’accesso all’account e-mail di una vittima attraverso un attacco BEC (business email compromise) come fase finale dell’operazione.

Nonostante ci siano forti prove che collegano gli attacchi a un noto attore di minacce, si sono scoperti diversi indizi che suggeriscono un possibile collegamento al gruppo Lazarus, comprese le somiglianze nel targeting, ambiente di sviluppo e tecniche anti-analisi utilizzate.

Gli attacchi di Operation In(ter)ception sono progrediti attraverso diverse fasi:

Gli aggressori hanno utilizzato LinkedIn per prendere di mira i dipendenti delle aziende scelte. Per agganciarli, hanno contattato gli obiettivi con offerte di lavoro fittizie utilizzando la funzione di messaggistica LinkedIn. Per apparire credibili, gli aggressori si sono spacciati per rappresentanti di note aziende esistenti nel settore aerospaziale e della industria della difesa. Per ciascuna delle aziende prese di mira su cui abbiamo indagato, gli aggressori avevano creato un falso account LinkedIn separato uno che impersonava un manager delle risorse umane della Collins Aerospace, l’altro si spacciava per un rappresentante delle risorse umane di General Dynamics, un’altra grande azienda statunitense con un obiettivo simile.

Il 25 ottobre 2019, un file ELF sospetto (80c0efb9e129f7f9b05a783df6959812) è stato segnalato dal nostro sistema di monitoraggio delle minacce sviluppato da Netlab. A prima vista, sembrava essere solo un’altra delle normali botnet, ma presto ci si è resi conto che si trattava di qualcosa con un potenziale collegamento al Lazarus Group. Al momento, si riscontravano esempi di attacchi e casi di Lazarus Group contro la piattaforma Linux e l’analisi mostrava che questo programma completamente funzionale, nascosto e RAT, era rivolto a piattaforme Windows e Linux e condivideva alcuni caratteri chiave utilizzati da Lazarus Group.

Dacls è stato al tempo un nuovo tipo di software di controllo remoto destinato sia all’ambiente Windows che Linux. Le sue funzioni sono modulari, il protocollo C2 utilizzava la crittografia a doppio strato TLS e RC4, il file di configurazione utilizzava la crittografia AES e supportava l’aggiornamento dinamico delle istruzioni C2. Il modulo plug-in Win32.Dacls veniva caricato dinamicamente tramite un URL remoto e la versione Linux del plug-in viene compilata direttamente nel programma Bot.

Sono stati trovati una serie di campioni su un server di download sospetto http://www.areac-agr.com/cms/wp-content/uploads/2015/12/, inclusi Win32.Dacls, Linux.Dacls, il programma open source Socat e un asset di lavoro per Confluence CVE-2019-3396. Si è ipotizzato che il Lazarus Group abbia utilizzato la vulnerabilità di N-day CVE-2019-3396 per diffondere il programma Dacls Bot.

MD5 (check.vm) = a99b7ef095f44cf35453465c64f0c70c //Confluence CVE-2019-3396 Payload
MD5 (hdata.dat) = 982bf527b9fe16205fea606d1beed7fa //Collezione registro
MD5 (ldata.dat) = 80c0efb9e129f7f9b05a783df6959812 //Linux Dacls Bot
MD5 (mdata.dat) = 80c0efb9e129f7f9b05a783df6959812 //Linux Dacls Bot
MD5 (r.vm) = a99b7ef095f44cf35453465c64f0c70c //Confluence CVE-2019-3396 carico utile
MD5 (rdata.dat) = bea49839390e4f1eb3cb38d0fcaf897e //bot di Windows Dacls
MD5 (sdata.dat) = e883bf5fd22eb6237eb84d80bbcf2ac9 //Socat open source

Le funzioni principali di Linux.Dacls Bot includevano:

esecuzione dei comandi
gestione dei file
gestione dei processi
test di accesso alla rete
agente di connessione C2
modulo di scansione della rete.

Dopo l’avvio di Linux.Dacls, il bot veniva eseguito in modalità demone in background ed utilizzava i parametri di avvio /pro, il file PID del bot, /var/run/init.pid e il nome del processo del bot /proc/<pid> /cmdlineper distinguere diversi ambienti operativi ed il sospetto che potesse essere utilizzato per gli aggiornamenti del programma Bot era più che fondato.

Nel 2019, l’automazione, la decentralizzazione e l’integrazione hanno permesso a TrickBot di introdurre un modello che cambiava il gioco visto nel triennio 2016-2018. Il domain controller ha permesso la raccolta automatica di informazioni di rete e il movimento laterale automatizzato all’interno delle reti, per non parlare del processo completamente automatizzato di raccolta delle credenziali. La capacità di integrare diversi segmenti del crimine informatico ha permesso di eseguire sofisticate operazioni di frode bancaria per il riciclaggio di denaro, attivarsi in operazione ransomware e mettere in atto frodi fiscali. La decentralizzazione ha creato un modello di business flessibile, dove TrickBot ha offerto strumenti di attacco a fornitori controllati ed ha utilizzato gli strumenti di altri per aumentare l’infettività. Nel confondere le linee tra violazioni, furto di dati, ransomware e frode informatica, il gruppo ha quasi raggiunto l’apice, e quasi unito i territori del cybercrimine. Tuttavia, c’era un’ultima sfida che separava TrickBot dalla perfezione: le APT. Ed è accaduto grazie a Anchor, il cui modus operandi ha avuto attacchi mirati a reti estremamente sicure, rimanendo persistenti, non rilevabili per lunghi periodi e lo spionaggio separa dal crimeware e dai TrickBot che sono generalmente distribuiti solo per guadagno monetario. Questo è il motivo per cui era altamente improbabile che TrickBot tentasse di integrare le APT nelle loro operazioni. Fino alla scoperta di un nuovo progetto derivato da TrickBot chiamato “Anchor“: un quadro di strumenti che permetteva agli attori potenziali clienti di TrickBot di essere sfruttato contro vittime di maggiore profilo. Alcuni dei “pezzi” trovati di Anchor erano composti da diversi segmenti e ciascuno con una funzione specifica:

anchorInstaller
anchorDeInstaller
AnchorBot
Bin2hex
psExecutor
memoryScraper

La struttura era progettata per caricare segretamente il malware e pulire tutte le prove dell’attacco. Tuttavia, l’obiettivo finale di questa innovazione non è chiaro finché non sono stati analizzati altri moduli. Guardando qualsiasi modulo di TrickBot possiamo capire chiaramente il suo scopo. Ma quando si tratta di Anchor vediamo una combinazione di funzionalità, strumenti e metodi. Ciò che è fuori discussione, tuttavia, è la sofisticazione di questa tecnologia che include una metodologia integrata di caricamento di tali framework Metasploit, Cobalt Strike, TerraLoader, e PowerShell Empire per eseguire ulteriori vittime post-exploitation.

Il progetto Anchor combina una collezione di strumenti: da quello di installazione iniziale alla pulizia destinata a cancellare l’esistenza di malware sulla macchina della vittima. In altre parole, Anchor si presenta come una struttura di attacco all-in-one progettata per compromettere gli ambienti aziendali utilizzando sia strumenti personalizzati che esistenti.

Come descritto in precedenza, i moduli di TrickBot sono basati sul cliente, progettati per le esigenze di una specifica attività criminale. Il progetto Anchor è uno strumento complesso e furtivo per l’estrazione mirata di dati da ambienti sicuri e la persistenza a lungo termine.

Logicamente, lo strumento è stato una opportunità allettante per gruppi di alto profilo, tra cui quelli statali. Tuttavia, Anchor è stato anche utilizzato per grandi rapine informatiche e operazioni di furto di carte di credito nei punti vendita, dove si è sfruttato il suo malware personalizzato di skimming delle carte. Tra i gruppi stato-nazione, solo pochi sono interessati sia alla raccolta di dati sia al guadagno finanziario e uno di loro è Lazarus.

Nell’indagine su Anchor, si è scoperto che lo strumento PowerRatankba è stato precedentemente collegato al presunto gruppo nordcoreano è stato, infatti, utilizzato in Anchor. La prova specifica ha sottolineato che questo toolkit del gruppo Lazarus è stato caricato attraverso il progetto TrickBot Anchor, indicando la relazione ormai smascherata tra gli strumenti attribuiti al gruppo TrickBot “Anchor” e Lazarus.

Prossima

Attenzione ai profili social fake sviluppati dall’intelligenza artificiale: come riconoscere foto dell’AI

Da non perdere

Israele, Polizia nella bufera. Pegasus utilizzato per spiare politici, burocrati e civili

Prosegui la lettura

Inchieste

Cloud Provider Italiani: quali sono le caratteristiche preferite dagli specialisti IT?

Tempo di lettura: 7 minuti. I Managed Service Providers (MSP) aiutano le aziende che desiderano esternalizzare la gestione della propria infrastruttura IT. Questo modello di outsourcing consente alle imprese di affidare le attività IT ad un partner esterno, garantendo efficienza, riduzione dei costi e miglioramento delle prestazioni.

Sostieni l'informazione di Matrice Digitale con un click. Seguici su Google News

Pubblicato

2 giorni fa

in data

23/04/2024

Livio Varriale

Tempo di lettura: 7 minuti.

Dopo aver approfondito attraverso una serie di inchieste lo stato del cloud in Italia concentrandoci sul mercato e sulle sue tendenze, Matrice Digitale termina l’inchiesta a puntate con un’analisi su un interrogativo che può sfuggire a molti ed interessarne a pochi: qual è il cloud che scelgono i professionisti it?

Perchè comprendere dove le aziende IT posizionano il loro cloud?

Le imprese italiane, in piena migrazione di in massa verso i servizi cloud, sono assistite da esperti del settore IT che quotidianamente disegnano e realizzano architetture informatiche di tipo pubblico, privato ed ibrido.

I fruitori del Cloud è possibile dividerli in tre categorie che rispecchiano il mercato IT:

Singoli utenti
Aziende
Pubblica Amministrazione

Secondo un’analisi effettuata da Matrice Digitale, l’offerta dei servizi proposta dalle aziende individuate come operatori rilevanti di servizi cloud, è suddivisa in 17 soggetti che hanno prodotti standard, complementari o simili (come approfondito in precedenza) e soprattutto rivolti generalmente ad un pubblico di ampio target.

Confronto Canali di Vendita

Confronto canali di vendita

Fornitore	Diretti Privati	Diretti Aziende	Diretti Pubblica Amministrazione	Canale ICT (MSP, Rivenditori)
Aruba	✔	✔	✔	✔
Cdlan	•	✔	•	✔
CoreTech	•	•	•	✔
Elmec	•	✔	✔	•
Fastweb	✔	✔	✔	✔
Hosting Solutions – Genesys informatica	✔	✔	✔	✔
Naquadria	•	✔	•	✔
Netalia	•	✔	✔	•
Netsons	✔	✔	•	✔
Noovle (TIM)	•	✔	✔	✔
Reevo – It.net	•	✔	✔	✔
Register – Keliweb	✔	✔	✔	✔
Retelit	•	✔	✔	•
DHH (Seeweb ed altri)	✔	✔	✔	✔
ServerPlan	✔	✔	✔	✔
Tiscali	•	✔	✔	•
Vianova – Host.it	✔	✔	•	✔

Un mercato in crescita rivolto a tutti, ma di pochi

Le offerte nel mondo del cloud computing sembrano tante, ma sono poche se poi si stringe il cerchio sulle reali capacità delle imprese che erogano i servizi sulla carta. Le aziende IT che si rivolgono al mondo delle PMI e medie imprese sono più orientate verso soluzioni distanti dalle multinazionali, soprattutto dopo che Broadcom ha rilevato VMware ed ha creato grande panico nei confronti di coloro che necessitano di virtualizzare i server per il loro business, aumentando di molto i costi delle licenze. Un ricatto costante, quello tecnologico, che ciclicamente vede le multinazionali falciare chi non ha un piano B pronto e dipende totalmente dal loro schema che diventa sempre più costoso con meno servizi inclusi.

Anche il Cloud può essere Made in Italy

Il caso Broadcom non è isolato e soprattutto non è il primo nell’ambito informatico. Le aziende italiane che svolgono attività nel settore del cloud computing in opposizione alla forte concorrenza, spesso sleale che si nasconde dietro il concetto di economia di scala, sono quelle che preferiscono la nicchia al ventaglio di prodotti multiservizi. Solo Serverplan e CoreTech, con la differenza che la seconda si contraddistingue per la vendita al solo Canale di specialisti IT, svolgono questo tipo di attività come unica fonte di guadagno e di business. Molti imprenditori nel settore IT si affidano per i servizi cloud ad altri specialisti per continuare a produrre il proprio servizio o prodotto senza snaturare la propria impresa inglobando risorse materiali e umane ed i relativi costi per sostenerli che ne aumentano il rischio d’impresa. Per fronteggiare l’avanzata aggressiva delle Big Tech nel mercato Cloud, c’è chi gioca in favore come un qualsiasi rivenditore commerciale acquistando prodotti confezionati e chi invece si rivolge ad aziende di pari dimensione per ottenere prodotti che garantiscono servizi di assistenza meno freddi e forniscono prodotti di sicurezza inclusi come forma di garanzia di qualità di un prodotto. Non è un caso, infatti, che il mercato del lavoro attuale non solo richiede numerose figure specializzate in informatica, ma non apprezza quelle già presenti perché formate non secondo le esigenze della domanda nel settore. Questa mancanza di figure qualificate, mista all’insoddisfazione delle imprese, rende ancora più prezioso il lavoro di chi invece è altamente specializzato e preferisce rivolgersi ad una clientela di alto profilo.

Dubbio amletico sulla natura delle nuvole tricolori

Sulla base degli approfondimenti e delle riflessioni maturate attraverso questo lungo viaggio nel cloud italiano, Matrice Digitale si è immedesimata in un individuo che vuole acquistare in piena autonomia un servizio cloud ed ha scoperto che non tutte le aziende hanno la caratteristica di un servizio del tutto pubblico nonostante si promuovano in questo modo nella fase di posizionamento sul mercato.

Pricing trasparente

Prospettiva Pricing Trasparente

Fornitore	Pubblico	Non presente su sito
Aruba	✔	•
Cdlan	•	✔
CoreTech	✔	•
Elmec	•	✔
Fastweb	•	✔
Hosting Solutions – Genesys informatica	✔	•
Naquadria	✔	•
Netalia	•	✔
Netsons	✔	•
Noovle (TIM)	•	✔
Reevo – It.net	•	✔
Register – Keliweb	✔	•
Retelit	•	✔
DHH (Seeweb ed altri)	✔	•
ServerPlan	✔	•
Tiscali	•	✔
Vianova – Host.it	•	✔

Dalla ricerca effettuata da Matrice Digitale, la metà delle aziende presenti in lista (CdLan, Elmec, Fastweb, Netalia, NoovleTim, Retelit, Reevo, Tiscali, Vianova) non è munita di un listino prezzi consultabile liberamente online con annesso carrello elettronico per acquistare i servizi in ogni momento senza passare per un ufficio vendita-commerciale.

Le implicazioni di un pricing poco trasparente

Un fattore che fa riflettere sia in positivo perché si pensa ad un prodotto “su misura”, seppur odori di strategia di marketing, sia in negativo perché chi nel mondo IT cerca un prodotto come il cloud computing sa quali sono le sue esigenze, conosce anche i costi di mercato e riconosce chi espone i prezzi come un venditore specializzato in quel campo con un business già avviato e per nulla improvvisato. Inoltre, c’è anche il rischio che dinanzi ad alcune offerte di servizio ci sia chi fornisce il servizio di “housing” proponendolo al potenziale cliente come Cloud, ma nella pratica non farà altro che ospitare nella propria infrastruttura informatica un server fisico. Proprio per questo motivo, da profani apriamo una riflessione che rimettiamo al mercato sul se chi non espone i prezzi sia da considerare un “Cloud Pubblico” e non invece privato che offre successivamente lo spazio sui suoi server ai clienti che sottoscrivono un’offerta omnicomprensiva di servizi che spaziano dalla connettività fino ad arrivare alla fonia.

Qual è il cloud degli specialisti dell’IT?

Gli specialisti del settore IT di lunga data non acquistano dai soliti rivenditori la tecnologia su cui costruire la nuvola per i propri clienti che, ricordiamo, per la maggiore sono Piccole o Piccole Medie Imprese. Molti MSP impiegano in forma esclusiva prodotti delle multinazionali svolgendo in primis un ruolo di rivenditori dei prodotti di terzi. Questa scelta potrebbe fornire più garanzie sulla carta, ma potrebbe rafforzare allo stesso tempo sistemi di potere già consolidati, traghettandoli verso una posizione monopolistica che riconosca un potere incontrastato nello stabilire un prezzo di mercato che con il tempo diventi insostenibile per le aziende. Oltre alla pura logica di mercato, c’è anche un problema identitario dell’azienda che subentra e dove è messo a rischio il brand del fornitore di servizi nel caso che il cliente continui ad interfacciarsi con prodotti di terze parti ignorando il valore del fornitore tanto da credere di poterlo sostituire perché tanto utilizza un prodotto di terze parti di marchi ben più noti e commerciali e facilmente sostituibile.

Se è consideriamo che l’87 per cento della spesa è riservata alle grandi imprese che sono più propense nel chiudere accordi con i grandi gruppi e spesso hanno uffici interni preposti all’Information Technology, c’è un tessuto produttivo composto da piccole e medie imprese che quotidianamente si affida al Canale composto dai già noti MSP (Managed Service Provider), sviluppatori e fornitori IT.

Cloud pubblico

Il Cloud Pubblico è un modello di cloud computing in cui i servizi e le infrastrutture sono ospitati da un provider di cloud e resi disponibili al pubblico o a grandi gruppi industriali tramite Internet. Queste risorse, come server e storage, sono di proprietà e gestite dal provider di cloud e condivise tra tutti i clienti. Gli utenti accedono ai servizi e li gestiscono tramite un browser web e pagano in base al consumo, senza dover investire in hardware o manutenzione. Ecco una lista dei cloud pubblici italiani in concorrenza con i big USA Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform (GCP) che forniscono servizi Cloud, ma lo fanno da piattaforme fisiche dislocate all’estero.

Fornitore	Cloud Pubblico	Cloud Privato	Data Center-Colocation	MSP/System Integrator	Fornitore CyberSecurity	Fornitore Connettività	Fornitore Telefonia
Aruba	✔	✔	✔	•	•	✔	✔
Cdlan	✔	✔	✔	✔	✔	✔	✔
CoreTech	✔	✔	•	•	•	•	•
Elmec	✔	✔	✔	✔	✔	•	•
Fastweb	✔	✔	✔	✔	•	✔	✔
Hosting Solutions – Genesys informatica	✔	✔	✔	•	•	•	•
Naquadria	✔	✔	✔	•	•	•	•
Netalia	✔	✔	•	✔	•	•	•
Netsons	✔	✔	•	•	•	•	•
Noovle (TIM)	✔	✔	✔	✔	•	✔	✔
Reevo – It.net	✔	✔	✔	✔	✔	✔	•
Register – Keliweb	✔	✔	✔	•	•	•	•
Retelit	✔	✔	✔	✔	•	✔	✔
DHH (Seeweb ed altri)	✔	✔	✔	•	•	✔	✔
ServerPlan	✔	✔	•	•	•	•	•
Tiscali	✔	✔	✔	✔	✔	✔	✔
Vianova – Host.it	✔	✔	•	•	•	✔	✔

Anche il metodo di classificazione di un’azienda che fornisce servizi Cloud risulta difficile agli occhi degli utenti e delle imprese. Un’impresa che eroga il servizio di noleggio delle infrastrutture informatiche sulla “nuvola” non può essere confusa né con chi vende servizi di connettività né con chi offre uno spazio sui propri server ai siti Internet dei clienti come da usanza delle web agencies che li realizzano. Partire da 2 milioni di euro di fatturato è un giusto parametro per avere una garanzia sia sul core business e sia per intuire la presenza di una fidelizzazione della clientela nei confronti dei servizi offerti dal fornitore del servizio di Cloud Computing.

Chi sono gli utenti del Cloud?

Le grandi imprese rappresentano l’87% della spesa complessiva nel cloud, evidenziando come queste organizzazioni stiano guidando l’adozione del cloud in Italia. Tuttavia, anche le PMI stanno rapidamente abbracciando il cloud, con una crescita del 34% nella spesa per servizi in Public Cloud, raggiungendo i 478 milioni di euro. Oltre la metà delle applicazioni aziendali nelle grandi imprese (51%) risiede ora nel cloud, segnalando un punto di svolta nella digitalizzazione del settore aziendale italiano. Un settore in espansione che mette alla luce diverse criticità soprattutto se si considera che il bene fisico dove sono custoditi i dati spesso viene abbandonato e dato in pasto ad aziende estranee, così come l’acquisto di licenze software per l’ufficio è sempre più sotto forma di abbonamento che, una volta scaduto, potrebbe minare il processo produttivo dell’azienda e la custodia “pro manibus” dei propri dati allontanandola da una capacità di essere indipendente e proprietaria nel medio lungo periodo.

Cos’è un MSP?

I Managed Service Providers (MSP) aiutano le aziende che desiderano esternalizzare la gestione della propria infrastruttura IT. Questo modello di outsourcing consente alle imprese di affidare le attività IT ad un partner esterno, garantendo efficienza, riduzione dei costi e miglioramento delle prestazioni.

Prosegui la lettura

Inchieste

Managed Service Providers in Italia: numeri di un mercato in crescita

Pubblicato

2 giorni fa

in data

23/04/2024

Livio Varriale

Tempo di lettura: 5 minuti.

Nel contesto italiano, caratterizzato da un tessuto imprenditoriale prevalentemente composto da piccole e medie imprese, gli MSP stanno emergendo come una componente importante per la trasformazione digitale dell’intero contesto produttivo del Bel Paese.

Cos’è un MSP?

I Managed Service Providers (MSP) aiutano le aziende che desiderano esternalizzare la gestione della propria infrastruttura IT in un modello di outsourcing che consente alle imprese di affidare le attività IT ad un partner esterno, garantendo efficienza, riduzione dei costi e miglioramento delle prestazioni delegando la gestione IT che con il tempo diventa sempre più complessa. L’attività degli MSP varia dalla normale amministrazione di tipo hardware e di rete fino all’offerta di una soluzione più complessa come quella di un cloud o di piattaforme software diverse sulla base ai settori di appartenenza dei propri clienti.

Un mercato in crescita

Con l’aumento della diffusione digitale nelle imprese, cresce anche l’esigenza di essere più completi e professionali da parte di coloro che lavorano nel settore IT. Questo fenomeno sta incidendo notevolmente sul fatturato degli MSP che tende a crescere in virtù della forte domanda di mercato e questo fa il paio con il bisogno costante di reperire nel mercato del lavoro personale altamente qualificato a cui sono richieste competenze spesso orizzontali e che rimane un ostacolo a causa della poca offerta lavorativa specializzata.

Costo del personale rispetto al fatturato

Secondo un’analisi emersa all’MSP Fest 2023 si è rivelato che il costo medio del personale nel settore ICT è del 30,8% del fatturato totale, un indicatore di quanto le aziende investono nelle loro risorse umane. Questo dato varia significativamente tra i diversi cluster:

Partner ERP (Enterprise Resource Planning), software che consente di gestire l’intera attività d’impresa, sostenendo l’automazione dai processi di finanza, risorse umane, produzione, supply chain, servizi, approvvigionamento e altro, mostrano una coerenza interna con un costo del personale che oscilla tra il 29% e il 33%.

MSP: registrano un costo inferiore, ridotto di circa 9-10 punti percentuali rispetto ai partner ERP, suggerendo una maggiore efficienza o un modello di business differente che minimizza i costi del personale.

Software House: presentano la variabilità più alta, con una media del 37% che in alcuni casi raggiunge il 70%, indicando un elevato investimento in capitale umano, tipico delle aziende che dipendono fortemente dalla manodopera qualificata.

Questi dati suggeriscono che le strutture aziendali, le strategie di outsourcing e l’automazione possono influenzare significativamente il rapporto tra costo del personale e fatturato.

Fatturato per dipendente

Passando alla produttività misurata come fatturato per dipendente, emergono ulteriori dettagli rilevanti:

Software House: alcune registrano cifre allarmanti come 50k€/anno per dipendente, un livello basso che potrebbe indicare margini ridotti e sostenibilità a lungo termine a rischio.

Media del settore: il fatturato medio per dipendente si attesta intorno ai 145k€, con punte superiori ai 200k€ in aziende più efficienti. Questo dato riflette una variazione sostanziale basata sulla natura del modello di business e sulla capacità di generare ricavi aggiuntivi attraverso la vendita di licenze software, servizi o hardware.

Questo indicatore è cruciale per valutare l’efficacia con cui le aziende utilizzano il loro personale. Un fatturato per dipendente elevato può indicare un’alta produttività e un modello di business efficace, mentre valori bassi possono segnalare la necessità di rivedere le strategie operative.

Più della metà degli MSP ad oggi tende a superare mediamente il milione di euro di fatturato, segnalando una maturazione del settore. Questo dato dimostra che ci si sta allontanando da un mercato composto prevalentemente da micro-imprese ed indica una tendenza verso una dimensione non più da incubatore di professionalità, bensì di aziende strutturate.

MSP a chi si rivolgono

I primi fruitori del mercato IT sono prevalentemente imprese produttive e studi professionali e questo consente di tracciare una linea di indirizzo generale sui prodotti necessari a garantire uno standard di qualità minimo ed uguale per tutti. Questo indirizzo operativo permette di affinare le offerte di servizi e di aumentare l’efficienza di gestione attraverso la standardizzazione e la personalizzazione delle soluzioni per i clienti di nicchia. Se prima ci si rivolgeva al negozio sotto l’ufficio o all’amico di famiglia più pratico con i computer, oggi la gestione delle reti informatiche e la manutenzione dei computer aziendali, compreso tutto l’aspetto che riguarda la complessa, quanto sentita, messa in sicurezza del perimetro cibernetico, sono gestiti dagli MSP che si presentano sul mercato con contratti annuali o con la possibilità di una tariffazione oraria. Un’altra capacità che è richiesta ai Managed Service Providers è l’affinare la propria scalabilità nella gestione di un numero di clienti che può aumentare anche repentinamente.

Tecnologia e innovazione

L’adozione di tecnologie avanzate come il monitoraggio remoto, l’automazione dei processi di servizio e la gestione avanzata dei ticket sta diventando sempre più comune rispetto alla telefonata amichevole di un tempo. Questi strumenti non solo migliorano l’efficienza operativa ma permettono agli MSP di offrire un livello di servizio superiore, indispensabile per competere in un mercato tecnologicamente avanzato ed in continua evoluzione sulla base delle esigenze del mercato. La convergenza tra la crescente necessità di servizi IT gestiti e le capacità avanzate offerte dagli MSP suggerisce un ruolo sempre più centrale per questi ultimi nel supportare le imprese italiane nel percorso di trasformazione digitale e questo richiede una formazione costante dei quadri dirigenziali e di tutto il personale e non solo attraverso la lettura di articoli tecnici. In aggiunta agli aggiornamenti generali del settore su riviste specializzate come Matrice digitale, gli MSP si concentrano su diversi campi specifici per il proprio sviluppo professionale, evidenziando le seguenti aree principali:

Cybersecurity

Con la crescente incidenza di minacce informatiche, la cybersecurity rimane un campo di primaria importanza. Gli MSP riconoscono la necessità di fortificare le proprie competenze in questo ambito per proteggere efficacemente le infrastrutture IT dei loro clienti.

Conoscenza dei prodotti utilizzati

Un’approfondita conoscenza dei prodotti è essenziale per gli MSP per garantire l’efficienza e l’efficacia delle soluzioni implementate. Questo include una comprensione dettagliata dei software e degli hardware impiegati nelle loro operazioni quotidiane.

Organizzazione e processi Aziendali

L’efficienza operativa attraverso l’organizzazione e la gestione ottimizzata dei processi aziendali è un altro pilastro fondamentale. Gli MSP investono in formazione per migliorare la gestione dei progetti, il flusso di lavoro, e le pratiche operative generali.

Sales & Marketing

Le competenze in vendita e marketing sono cruciali per gli MSP per attrarre e mantenere una clientela ampia. Questo aspetto della formazione è orientato a strategie di comunicazione efficaci, generazione di lead e tecniche di negoziazione.

Helpdesk e Customer Service

Queste aree sono vitali per il mantenimento delle relazioni con i clienti positive e per la gestione efficiente delle richieste di supporto e assistenza.

Il ruolo sociale degli MSP

Chi ha l’onere ed il compito di gestire le infrastrutture informatiche di porzioni della produttività italiana non solo ha il dovere di gestirle a dovere, avendo cura dei dati che gli vengono affidati, ma ha il compito di trasmettere valori educativi nel campo digitale verso tutti i suoi assistiti che non sono solo le imprese, ma anche i dipendenti. Questo aspetto non andrebbe sottovalutato in un momento storico dove gli attacchi informatici crescono sempre ed il primo contatto tra criminali ed imprese, sono proprio i dipendenti che aprono inconsapevolmente le porte alle azioni coordinate.

Prosegui la lettura

Inchieste

Mercato ITC in Italia nel 2024: numeri e crescita vertiginosa rispetto al paese

Pubblicato

2 giorni fa

in data

23/04/2024

Livio Varriale

Tempo di lettura: 4 minuti.

L’Italia è sempre più digitale grazie al trend globale di trasformazione dei processi analogici verso un’integralismo, o integrità, virtuale che pone il Paese dinanzi a grandi sfide. Se il mercato offre diverse realtà, c’è una forte concorrenza alle imprese tricolori che viene oltreoceano e si rischia sempre di fare la solita fine di grandi colossi internazionali che alimentano un indotto sottoponendo l’intero sistema produttivo ad un ricatto costante nel caso vi sia una exit strategy o un cambio delle condizioni contrattuali.

Situazione del Mercato Digitale Italiano nel 2023:

Il mercato digitale italiano nel 2023 ha evidenziato una crescita robusta del +2,8% rispetto all’anno precedente, superando la crescita del PIL italiano che ha mostrato un rallentamento con un incremento di pochi decimali e che dovrebbe essere confermato per l’attuale anno.

Settori trainanti

Quando si parla di mercato digitale si può dire tutto oppure niente ed è proprio questo il motivo per cui è necessario tracciare una lista dei vari settori e determinare una crescita particolare per ogni singola attività produttiva che contribuisce nel fornire tasselli al variegato puzzle del setore ICT

Servizi ICT: Hanno registrato la crescita percentuale più elevata con un +9% dove il cloud fa da soggetto trainante in tutti i suoi aspetti: sia infrastrutturale sia in termini di servizi erogati su piattaforma

Contenuti e Pubblicità Digitale: Seguono con un incremento del +5,9%.

Software e Soluzioni ICT: Chiudono con un +5,8%.

Aumento degli investimenti nella Cybersecurity e fondi in arrivo

Nel 2023, la spesa per la cybersecurity è aumentata del +13%, sottolineando l’importanza della sicurezza informatica nel sostenere l’evoluzione digitale delle aziende. In particolare, i Servizi di Sicurezza Gestiti (MSS) e i settori della Sanità (+18,7%) e della Pubblica Amministrazione (Centrale +12,7% e Locale +13,7%) hanno mostrato il maggior interesse per le soluzioni di sicurezza informatica.

Pubblica Amministrazione: Il mercato digitale nella Pubblica Amministrazione nel 2023 ha previsto una crescita del +9,1%, raggiungendo quasi 8 miliardi di euro.

L’iniziativa del governo italiano di allocare significativi fondi per il sostegno e lo sviluppo delle tecnologie emergenti, come l’intelligenza artificiale, il quantum computing e la cybersicurezza, segna un passo importante verso l’affermazione del Paese nel panorama tecnologico globale. Con un finanziamento totale che supera i 130 milioni di euro, a cui si aggiungerebbero gli 800 milioni annunciati ma non stanziati per l’intelligenza artificiale, distribuiti tra vari settori chiave, questa mossa riflette un impegno strategico verso l’innovazione e la sicurezza digitale.

Chi comanda e dirige gli appalti sulla cybersicurezza?

La decisione di affidare la gestione di questi investimenti all’Agenzia Nazionale per la Cybersicurezza è una scelta di responsabilizzazione di coloro che dovrebbero essere le figure chiave più qualificate dell’intero paese. Anche per questo motivo, il governo ha stanziato ulteriori 300 mila euro per il biennio all’Agenzia con il fine di coprire le spese operative ed il reclutamento di personale specializzato.

Chi sono gli uomini più influenti del Governo nel mercato digitale?

Per gestire i fondi che verranno erogati nei prossimi mesi sia dal punto di vista finanziario che direttivo è stata istituita una struttura di coordinamento che coinvolge entità di rilievo come Palazzo Chigi, l’Agenzia per la Cybersicurezza Nazionale e CDP Venture Capital, insieme alla nomina di figure chiave quali Alessio Butti, Bruno Frattasi e Agostino Scornajenchi, sottolinea l’approccio olistico adottato per garantire che gli investimenti siano gestiti efficacemente e che le iniziative siano allineate con le priorità strategiche nazionali.

La sfida da portare al termine

La sfida per l’Italia sarà quella di mantenere questo impegno nel lungo termine, assicurando che le risorse siano utilizzate in modo efficace e che siano messe in atto politiche che sostengano l’innovazione continua e la formazione di competenze avanzate, ma soprattutto che la sicurezza informatica non sia solo una voce passiva nella spesa dello Stato e che possa produrre realtà trainanti di un mercato interno ed anche estero.

Proiezioni future

Per il 2024, si prevede un aumento del +3,8%, seguito da un +4,8% nel 2025, e un +5% nel 2026, con un mercato che potrebbe superare i 90 miliardi di euro entro il 2026. L’intelligenza artificiale è prevista crescere ad un tasso medio annuale del +28,2% tra il 2023 e il 2026.

Tecnologie emergenti

Hardware: Si prevede un rallentamento della crescita da +2,0% nel 2023 a +0,9% nel 2024.

Software: Forte crescita prevista con un +5,6% nel 2023 e un ulteriore aumento al +6,2% nel 2024.

Servizi: Crescita costante con un +2,7% nel 2023 e un leggero aumento al +2,8% nel 2024.

Tecnologie Emergenti e loro Crescita:

Intelligenza Artificiale: Crescita significativa con +29,4% nel 2023 e +27,6% nel 2024.

Blockchain: Crescita robusta con +27,5% nel 2023 e +25,5% nel 2024.

Servizi Cloud: Continua crescita con +20,1% nel 2023 e +19,5% nel 2024.

Cybersecurity: In aumento con +14,6% nel 2023 e +15,3% nel 2024.

Internet of Things: Crescita stabile con +8,7% nel 2023 e +8,8% nel 2024.

Wearable Technology: Leggera decelerazione con +5,6% nel 2023 e +5,3% nel 2024.

L’intelligenza artificiale generativa con ChatGPT ed i suoi simili, insieme a big data, cloud e quantum computing, sono state identificate come tecnologie chiave che trasformeranno vari settori produttivi in Italia, contribuendo alla crescita e alla scala delle imprese. Da non trascurare, però, la robotica che rappresenta il terminale ultimo delle attuali tecnologie di tipo LLM ed il mondo già sta proponendo diversi prototipi avanzati.

Importanza della Trasformazione Digitale: La trasformazione digitale è vista come una necessità fondamentale per mantenere la competitività e il posizionamento strategico di un Paese nel contesto globale.

Gap di Competenze: È evidenziato un divario significativo nelle competenze digitali, con solo il 46% dei cittadini italiani che possiede competenze digitali di base rispetto alla media europea del 54%.

Il mercato digitale italiano sta mostrando una crescita sostenuta, guidata principalmente dal software e dai servizi, nonostante un rallentamento nel settore hardware.
Le tecnologie emergenti, in particolare l’intelligenza artificiale e i servizi cloud, stanno giocando un ruolo chiave nell’innovazione e nella crescita del settore.
La trasformazione digitale è fondamentale per la competitività del Paese, ma è necessario affrontare il gap di competenze digitali per sfruttare appieno il potenziale di crescita.

In conclusione, il mercato digitale italiano sta mostrando segnali positivi di crescita e innovazione, spinto dall’adozione di tecnologie avanzate. Tuttavia, per sostenere questa crescita e rimanere competitivi a livello globale, è essenziale investire nella formazione e nell’aggiornamento delle competenze digitali della forza lavoro.