Inchieste
Magic Hound nel 2022 si è evoluto con tecniche avanzate
Tempo di lettura: 16 minuti. Esplora gli attacchi del gruppo di minacce iraniano Magic Hound nel 2022, con un focus sulle tecniche avanzate di ingegneria sociale, l’uso di nuovi toolkit PowerShell e l’esploitation di vulnerabilità come Log4j e ProxyShell.
Nel corso del 2022, il gruppo di minacce iraniano Magic Hound ha condotto una serie di operazioni di cyber-attacco sofisticate e mirate. Queste operazioni, che sono state dettagliatamente documentate in una serie di rapporti di ricerca, hanno evidenziato l’evoluzione delle tattiche, tecniche e procedure (TTP) del gruppo.
- Il primo rapporto, pubblicato da Check Point, ha esaminato come Magic Hound ha sfruttato la vulnerabilità Log4j per distribuire un nuovo toolkit PowerShell modulare.
- Secureworks ha rivelato come Magic Hound ha condotto operazioni di ransomware negli Stati Uniti, sfruttando le vulnerabilità ProxyShell.
- SentinelOne ha documentato come Magic Hound ha sfruttato attivamente la vulnerabilità Log4j2 in VMware Horizon.
- Proofpoint ha tracciato l’attività di Magic Hound mirata ai giornalisti, sottolineando l’uso del gruppo di tecniche di ingegneria sociale avanzate.
- Deep Instinct ha esaminato come Magic Hound continua a sviluppare strumenti di sfruttamento di massa.
- Un altro rapporto di Secureworks ha rivelato come gli errori di OPSEC hanno rivelato gli attori della minaccia di Magic Hound.
- Infine, un ulteriore rapporto di Proofpoint ha esaminato come Magic Hound ha sfruttato l’impersonazione multi-persona per capitalizzare il FOMO.
APT35 sfrutta la vulnerabilità Log4j per distribuire un nuovo toolkit modulare PowerShell
APT35, noto anche come Charming Kitten, è un gruppo di cybercriminali che ha recentemente sfruttato la vulnerabilità Log4j per distribuire un nuovo toolkit modulare PowerShell. Questo gruppo, che è stato attivo sin dal 2014, è noto per le sue operazioni di spionaggio cibernetico e per aver condotto campagne di spear-phishing mirate.
La vulnerabilità Log4j, che ha fatto notizia nel dicembre 2021, ha permesso a vari attori della minaccia di sfruttare un bug nel software di logging Java per eseguire codice malevolo. APT35 ha utilizzato questa vulnerabilità per distribuire il suo nuovo toolkit modulare PowerShell, che offre una serie di funzionalità per l’esecuzione di attacchi informatici.
Il toolkit modulare PowerShell di APT35 è composto da diversi moduli, ognuno dei quali ha una funzione specifica. Questi moduli possono essere utilizzati per eseguire una serie di attività malevole, tra cui la raccolta di informazioni, l’esecuzione di comandi a distanza e l’upload di file.
Il team di ricerca di Check Point ha scoperto che APT35 ha utilizzato una serie di tecniche avanzate per nascondere le sue attività. Queste tecniche includono l’uso di file di configurazione criptati, l’abuso di servizi legittimi per la comunicazione di comando e controllo e l’uso di tecniche di persistenza per mantenere l’accesso ai sistemi infetti.
La scoperta di questa campagna da parte di APT35 sottolinea l’importanza di mantenere i sistemi aggiornati e di implementare misure di sicurezza robuste. Le organizzazioni devono essere consapevoli delle minacce emergenti e devono essere in grado di rispondere rapidamente per mitigare il rischio di un attacco.
Operazioni di Ransomware di COBALT MIRAGE negli Stati Uniti
Gli ricercatori del Secureworks® Counter Threat Unit™ (CTU) stanno indagando sugli attacchi del gruppo di minacce iraniano COBALT MIRAGE, attivo almeno dal giugno 2020. COBALT MIRAGE è collegato al gruppo di minacce iraniano COBALT ILLUSION, che utilizza prevalentemente campagne di phishing persistenti per ottenere un accesso iniziale. È possibile che i due gruppi condividano tecniche e accessi. Alcuni elementi dell’attività di COBALT MIRAGE sono stati segnalati come PHOSPHOROUS e TunnelVision.
Sulla base delle informazioni ottenute dalle operazioni di risposta agli incidenti di Secureworks e dai rapporti pubblici, i ricercatori del CTU hanno identificato due distinti cluster di intrusioni di COBALT MIRAGE (etichettati come Cluster A e Cluster B in Figura 1). Nel Cluster A, gli attori della minaccia utilizzano BitLocker e DiskCryptor per condurre attacchi di ransomware opportunistici per un guadagno finanziario. Il Cluster B si concentra su intrusioni mirate per ottenere accesso e raccogliere informazioni di intelligence, ma parte dell’attività ha sperimentato il ransomware.
COBALT MIRAGE ha dimostrato una preferenza per attaccare organizzazioni in Israele, negli Stati Uniti, in Europa e in Australia. Gli attori della minaccia ottengono un accesso iniziale tramite attività di scansione e sfruttamento. Nel 2021, COBALT MIRAGE ha eseguito la scansione delle porte 4443, 8443 e 10443 per i dispositivi vulnerabili alle vulnerabilità di Fortinet FortiOS CVE-2018-13379, CVE-2020-12812 e CVE-2019-5591. Da fine settembre 2021, il gruppo ha utilizzato una vasta campagna di scansione e sfruttamento mirata ai server Microsoft Exchange. Gli attori della minaccia hanno sfruttato le vulnerabilità ProxyShell (CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207) per distribuire il client Fast Reverse Proxy (FRPC) e abilitare l’accesso remoto ai sistemi vulnerabili.
Nel novembre 2021, l’Agenzia per la Sicurezza delle Infrastrutture e della Cybersecurity (CISA) degli Stati Uniti ha rilasciato un avviso (AA21-321A) relativo all’attività che i ricercatori del CTU attribuiscono a COBALT MIRAGE. L’avviso non nomina un gruppo specifico, ma si riferisce a un “gruppo APT sponsorizzato dal governo iraniano”.
Nel gennaio 2022, COBALT MIRAGE ha utilizzato l’accesso ottenuto attraverso lo sfruttamento di ProxyShell, probabilmente condotto alla fine del 2021, per entrare nella rete di un’organizzazione filantropica statunitense. Il 6 gennaio, gli attori della minaccia hanno creato e accesso una web shell denominata aspx_okqmeibjplh.aspx. Il formato di questo nome di file corrisponde a un modello stabilito associato alle operazioni di ransomware di COBALT MIRAGE: aspx_[a-z]{13}.aspx. Le richieste HTTP iniziate dall’attaccante alla web shell utilizzavano un User-Agent denominato python-requests/2.23.0, indicando l’uso di script che sfruttano la libreria Python Requests. Il riferimento a Python è probabilmente dovuto al fatto che gli attori della minaccia utilizzano un exploit ProxyShell basato su Python nel loro attacco iniziale e potenzialmente comandi aggiuntivi scriptati durante l’intrusione.
Dopo che gli attori della minaccia hanno ottenuto l’accesso tramite la web shell, tre file sono stati rilasciati sul server web: Wininet.xml, Wininet.bat e dllhost.exe. L’analisi del CTU di Wininet.xml ha rivelato che viene utilizzato per creare un’attività pianificata che avvia C:\Windows\Wininet.bat. Quando viene avviato Wininet.bat, esegue C: \Windows\dllhost.exe.
Dllhost.exe è un binario Go personalizzato che fa riferimento ai repository GitHub associati a Fast Reverse Proxy (FRP), indicando che il binario si basa almeno in parte su questo strumento. FRP è regolarmente distribuito da COBALT MIRAGE. Tuttavia, dllhost.exe include anche codice da altri progetti e si comporta in modo diverso da un tipico binario FRPC.
Quando gli attori della minaccia eseguono dllhost.exe su un server Exchange compromesso, il binario esegue tre comandi come processi figlio. Questi processi raccolgono informazioni di base sull’host e stabiliscono un tunnel verso i server di comando e controllo (C2) definiti. Ci sono due versioni dello stesso comando PowerShell. Una versione utilizza un vecchio nome del file binario PowerShell. L’altra utilizza il nome del file pwsh.exe implementato in PowerShell Core 6.0, che è stato rilasciato nel gennaio 2018.
Dllhost.exe utilizza i sottodomini ‘tcp443 . msupdate . us’ e ‘kcp53 . msupdate . us’ per il comando e il controllo. L’inclusione di un protocollo (tcp, kcp) e un numero di porta (443, 53) è un modello nei nomi dei sottodomini di COBALT MIRAGE. Questo binario è stato anche distribuito da http: //148 . 251 . 71 . 182/update_win. Nel dicembre 2021, i ricercatori del CTU hanno osservato COBALT MIRAGE sperimentare exploit Log4j ospitati su 148 . 251 . 71 . 182.
Gli attori della minaccia hanno condotto un dump del Local Security Authority Server Service (LSASS) poco dopo che dllhost.exe ha eseguito i suoi comandi. LSASS è un processo Windows che memorizza nomi utente locali e password per gli utenti autenticati. Gli attori della minaccia possono utilizzare i dati per derivare credenziali valide attraverso l’hashing di forza bruta del New Technology LAN Manager (NTLM) o estrarre password memorizzate in testo normale.
Le osservazioni e l’analisi dei ricercatori del CTU di questi attacchi si allineano con la segnalazione di terze parti di altre attività che i ricercatori del CTU attribuiscono a COBALT MIRAGE. Quei rapporti descrivono ProxyShell utilizzato per distribuire web shell e file con gli stessi nomi di file nello stesso periodo di tempo di questi attacchi.
Tre giorni dopo aver distribuito dllhost.exe, gli attori della minaccia hanno utilizzato il protocollo Remote Desktop (RDP) e un account utente integrato (DefaultAccount) per accedere al server Exchange compromesso. Questo è stato il primo accesso al server da DefaultAccount e potrebbe indicare l’inizio dell’attività dell’attore della minaccia. Gli attori della minaccia hanno poi tentato di estrarre password memorizzate localmente effettuando nuovamente il dump del processo LSASS. Hanno enumerato l’ambiente tramite lo strumento SoftPerfect Network Scanner utilizzando il nome del file netscanold.exe.
Gli attori della minaccia si sono spostati lateralmente e hanno criptato tre workstation utente con BitLocker, rendendole inaccessibili al personale dell’organizzazione compromessa. A causa dell’assenza di registri e artefatti forensi, i metodi utilizzati per attivare BitLocker in questo ambiente non sono chiari. Tuttavia, altri attacchi di ransomware di COBALT MIRAGE hanno utilizzato uno script per automatizzare l’attacco.
Questo script esegue le seguenti azioni:
- Imposta una variabile ‘mail=’ su un indirizzo email di contatto definito
- Abilita i servizi terminali (rinominati Remote Desktop Services dopo Windows Server 2008)
- Crea una regola del firewall per abilitare l’accesso RDP all’host
- Avvia i servizi terminali
- Avvia la crittografia del disco BitLocker
- Definisce un messaggio di riscatto
- Aggiunge molteplici chiavi del registro relative a BitLocker e crea un messaggio che visualizza il messaggio di riscatto e l’indirizzo email di contatto
- Crea un account utente ‘MSSQL’ sul sistema compromesso con password AS@1394 e lo aggiunge ai gruppi di amministratori e utenti del desktop remoto
Gli attori della minaccia hanno completato l’attacco con una tattica insolita di invio di una nota di riscatto a una stampante locale. La nota include un indirizzo email di contatto e un account Telegram per discutere la decrittografia e il recupero. Questo approccio suggerisce una piccola operazione che si basa su processi manuali per mappare le vittime alle chiavi di crittografia utilizzate per bloccare i loro dati.
Sfruttamento di Log4j2 da parte di TunnelVision
SentinelLabs ha monitorato l’attività di un attore minaccioso allineato all’Iran, operante nel Medio Oriente e negli Stati Uniti, noto come TunnelVision. Questo attore si distingue per l’ampio sfruttamento di vulnerabilità di giorno zero nelle regioni bersaglio. Durante il periodo di monitoraggio, sono stati osservati sfruttamenti di Fortinet FortiOS (CVE-2018-13379), Microsoft Exchange (ProxyShell) e recentemente Log4Shell. In quasi tutti questi casi, l’attore minaccioso ha distribuito uno strumento di tunneling avvolto in un modo unico. Gli strumenti di tunneling più comunemente utilizzati dal gruppo sono Fast Reverse Proxy Client (FRPC) e Plink.
Gli operatori di TunnelVision hanno sfruttato attivamente la vulnerabilità di Log4j in VMware Horizon per eseguire comandi PowerShell maligni, distribuire backdoor, creare utenti backdoor, raccogliere credenziali e eseguire movimenti laterali. Tipicamente, l’attore minaccioso sfrutta inizialmente la vulnerabilità Log4j per eseguire comandi PowerShell direttamente, quindi esegue ulteriori comandi tramite shell inverse PS, eseguite tramite il processo Tomcat.
Durante l’attività, l’attore minaccioso ha utilizzato un altro dominio, service-management[.]tk, utilizzato per ospitare payload maligni. Secondo VirusTotal, questo dominio è stato anche utilizzato per ospitare un file zip (d28e07d2722f771bd31c9ff90b9c64d4a188435a) contenente una backdoor personalizzata (624278ed3019a42131a3a3f6e0e2aac8d8c8b438).
La backdoor rilascia un ulteriore file eseguibile (e76e9237c49e7598f2b3f94a2b52b01002f8e862) a %ProgramData%\Installed Packages\InteropServices.exe e lo registra come servizio denominato “InteropServices”. L’eseguibile rilasciato contiene una versione offuscata della shell inversa descritta sopra, che segnala allo stesso server C2 (www[.]microsoft-updateserver[.]cf). Sebbene non sia criptato, viene deoffuscato ed eseguito in modo alquanto simile a come PowerLess, un’altra backdoor utilizzata dal gruppo, esegue il suo payload PowerShell.
Tra le attività osservate ci sono l’esecuzione di comandi di ricognizione, la creazione di un utente backdoor e l’aggiunta al gruppo di amministratori, la raccolta di credenziali utilizzando Procdump, dump dell’hive SAM e MiniDump di comsvcs, il download e l’esecuzione di strumenti di tunneling, tra cui Plink e Ngrok, utilizzati per il traffico RDP del tunnel, l’esecuzione di una shell inversa utilizzando il componente NodeJS di VMware Horizon, e la scansione RDP della subnet interna utilizzando uno script di scansione delle porte disponibile pubblicamente.
Le attività di TunnelVision sono state discusse in precedenza e sono tracciate da altri fornitori sotto una varietà di nomi, come Phosphorus (Microsoft) e, in modo confuso, sia Charming Kitten che Nemesis Kitten (CrowdStrike). Questa confusione sorge poiché l’attività che Microsoft riconosce come un singolo gruppo, “Phosphorous”, si sovrappone all’attività che CrowdStrike distingue come appartenente a due attori diversi, Charming Kitten e Nemesis Kitten. SentinelLabs traccia questo cluster separatamente sotto il nome “TunnelVision”. Questo non implica che si creda che siano necessariamente non correlati, solo che al momento ci sono dati insufficienti per trattarli come identici a qualsiasi delle attribuzioni menzionate.
Tracciare l’attività degli attori di minaccia rivolta ai giornalisti
Nel 2022, i giornalisti e le organizzazioni mediatiche sono diventati bersagli sempre più attraenti per gli attori delle minacce avanzate persistenti (APT). Questo è dovuto al fatto che i giornalisti possono fornire accesso unico, informazioni e intuizioni su argomenti di importanza statale. Gli attori delle APT, in particolare quelli sponsorizzati o allineati con lo stato, hanno regolarmente preso di mira e si sono fatti passare per giornalisti e organizzazioni mediatiche per promuovere i loro requisiti e iniziative di raccolta allineate con lo stato.
Gli attori delle APT hanno utilizzato una varietà di tecniche, dall’uso di web beacon per il riconoscimento all’invio di malware per stabilire un accesso iniziale alla rete del bersaglio. Queste campagne identificate hanno avuto un impatto significativo, con attori delle APT in tutto il mondo che cercano di sfruttare i giornalisti e le persone dei media in una varietà di campagne, comprese quelle ben tempistiche per eventi politici sensibili negli Stati Uniti.
Gli attori delle APT hanno preso di mira i giornalisti per una serie di motivi. Un attacco ben eseguito e tempestivo su un account e-mail di un giornalista potrebbe fornire intuizioni su storie sensibili e in fase di sviluppo e identificazione delle fonti. Un account compromesso potrebbe essere utilizzato per diffondere disinformazione o propaganda pro-stato, fornire disinformazione durante tempi di guerra o pandemia, o essere utilizzato per influenzare un’atmosfera politicamente carica.
Gli attori delle APT hanno preso di mira i giornalisti per una serie di motivi. Un attacco ben eseguito e tempestivo su un account e-mail di un giornalista potrebbe fornire intuizioni su storie sensibili e in fase di sviluppo e identificazione delle fonti. Un account compromesso potrebbe essere utilizzato per diffondere disinformazione o propaganda pro-stato, fornire disinformazione durante tempi di guerra o pandemia, o essere utilizzato per influenzare un’atmosfera politicamente carica.
Gli attori delle APT, come TA412, noto anche come Zirconium, hanno condotto numerose campagne di phishing di ricognizione mirate ai giornalisti statunitensi. Questi attori delle minacce hanno preferito utilizzare e-mail malevole contenenti web beacon in queste campagne. Questa è una tecnica utilizzata costantemente dall’attore della minaccia almeno dal 2016, anche se è probabile che sia stata utilizzata per anni prima.
I ricercatori di Proofpoint ritengono che queste campagne siano state intese a validare che le e-mail bersaglio siano attive e a ottenere informazioni fondamentali sugli ambienti di rete dei destinatari. I web beacon possono fornire all’attaccante i seguenti artefatti tecnici che, a loro volta, possono servire come informazioni di ricognizione mentre un attore della minaccia pianifica la loro prossima fase di attacco: indirizzi IP visibili esternamente, stringa User-Agent, indirizzo e-mail e validazione che l’account utente bersaglio è attivo.
Le campagne di TA412 e dei loro simili sono evolute nel corso dei mesi, adattando le esche per adattarsi meglio all’attuale ambiente politico statunitense e passando a bersagliare i giornalisti statunitensi concentrati su diverse aree di interesse per il governo cinese. Le campagne che hanno preso di mira i giornalisti facevano parte di un modello più ampio di phishing di ricognizione condotto da questo attore della minaccia nel corso di molti anni.
Tra gennaio e febbraio 2021, i ricercatori di Proofpoint hanno identificato cinque campagne di TA412 mirate ai giornalisti statunitensi, in particolare quelli che coprono la politica e la sicurezza nazionale degli Stati Uniti durante eventi che hanno attirato l’attenzione internazionale. Di particolare rilievo è stato un cambiamento molto brusco nel targeting del phishing di ricognizione nei giorni immediatamente precedenti l’attacco del 6 gennaio 2021 al Campidoglio degli Stati Uniti. I ricercatori di Proofpoint hanno osservato un focus sui corrispondenti di Washington DC e della Casa Bianca durante questo periodo.
Nell’agosto 2021, dopo una pausa di diversi mesi, TA412 ha di nuovo preso di mira i giornalisti, ma questa volta quelli che lavorano su questioni di cybersecurity, sorveglianza e privacy con un focus sulla Cina. Quelli bersagliati sembravano aver scritto ampiamente su questioni di privacy sui social media e campagne di disinformazione cinesi, segnalando un interesse da parte dello stato cinese nelle narrative mediatiche che potrebbero spingere un’opinione o percezione globale negativa della Cina. Queste campagne rispecchiavano quelle identificate all’inizio del 2021 ma dimostravano una struttura URL del web beacon in evoluzione che cambia nel tempo.
Dopo una pausa osservata nel targeting dei giornalisti, i ricercatori di Proofpoint hanno identificato una ripresa del targeting di questo settore il 9 febbraio 2022. Le campagne erano numerose e si sono verificate nel corso di dieci giorni. Queste campagne assomigliavano fortemente a quelle notate all’inizio del 2021 e indicavano un desiderio di raccogliere informazioni sulle organizzazioni mediatiche statunitensi e i contributori, con un focus su quelli che riportano l’interazione degli Stati Uniti e dell’Europa con la Cina.
L’attore della minaccia iraniana continua a sviluppare strumenti di sfruttamento di massa
Gli analisti di Deep Instinct hanno recentemente identificato un’attività insolita e pericolosa all’interno dell’ambiente di uno dei loro clienti, un’azienda di infrastrutture e costruzioni nel sud degli Stati Uniti. Dopo un’analisi approfondita, è stato scoperto che un APT iraniano stava cercando di compromettere un server Exchange e che sono stati effettuati sette tentativi in totale, tutti immediatamente prevenuti da Deep Instinct.
Grazie a questa scoperta, Deep Instinct è stato in grado di identificare nuove varianti di malware e TTP (Tactics, Techniques, and Procedures) relative all’attore della minaccia. Tra le scoperte più notevoli, l’installazione di un certificato root e un tentativo di mescolare il traffico malevolo con quello legittimo.
Durante l’indagine sui log della macchina che ha generato l’allarme per il file malevolo, è stato osservato che il file era stato creato dal server Exchange. Dopo aver esaminato ulteriori eventi dalla stessa macchina, sono stati scoperti un totale di sette tentativi di sfruttamento, seguiti da un tentativo di rilasciare un file malevolo.
Tutti gli hash, ad eccezione di uno, sono stati segnalati pubblicamente e attribuiti a un attore della minaccia iraniano a cui Microsoft si riferisce come PHOSPHORUS. Mentre la maggior parte degli hash che sono emersi nella telemetria sono identici a quelli pubblicati in un articolo di “The DFIR Report”, sono stati trovati hash aggiuntivi che si sovrappongono ad altri alias dello stesso attore della minaccia, quindi per evitare ulteriori confusioni, l’attore della minaccia sarà semplicemente chiamato PHOSPHORUS.
Un campione precedentemente sconosciuto che è stato trovato nella telemetria è un’altra variante del malware che è stato descritto da “The DFIR Report”. Il suo unico scopo è creare un nuovo account utente sul sistema compromesso con le credenziali DefaultAccount P@ssw0rd1234. Viene quindi aggiunto al gruppo di amministratori locali, consentito l’accesso RDP a questo account, e la password è impostata per non scadere mai. Questa azione consente all’attaccante di connettersi al sistema compromesso in un momento successivo.
Sono state osservate due varianti di questo file nella telemetria, che è responsabile del download di FRPC da un server controllato dall’attaccante, seguito dalla creazione di un task pianificato per eseguire il FRPC scaricato. FRPC sta per Fast Reverse Proxy Client; il FRPC scaricato è configurato per connettersi a un altro server controllato dall’attaccante, creando un tunnel tra l’attaccante e il sistema compromesso.
L’attaccante esegue “user.exe” prima di “task_update.exe”, il tunnel creato. Questo consente all’attaccante di accedere al sistema compromesso tramite RDP, anche se l’RDP non è esposto direttamente su Internet.
Basandosi sul comportamento sopra descritto, è stato possibile trovare una nuova variante di task_update.exe. Questa nuova variante di “task_update” aggiunge un nuovo certificato root al sistema emettendo il comando “certutil -addstore -f root %wintmp%\cert.cer”. Il comportamento di installazione di un certificato root utilizzando “certutil” non è presente nelle iterazioni precedenti di “task_update” e può essere abbastanza facile da identificare per i difensori.
La variante genera molte connessioni a domini e sottodomini di aziende legittime insieme a connessioni a sottodomini visivamente simili che sono controllati dall’attaccante. Questa ondata di attività di rete è utilizzata per confondere gli analisti mescolando i domini malevoli con domini legittimi dall’aspetto simile, che possono portare l’analista a classificare tutto quanto sopra come traffico legittimo.
Nel complesso, l’attività dell’attore della minaccia PHOSPHORUS, un attore APT iraniano attivo almeno dal 2020, è stata descritta in dettaglio. L’attore della minaccia è noto per sfruttare le vulnerabilità Fortinet CVE-2018-13379, Exchange ProxyShell e log4j. L’analisi ha indicato che PHOSPHORUS continua nel suo processo di scansione e sfruttamento automatizzato per ottenere ampiamente l’accesso a molte organizzazioni vulnerabili. Inoltre, è stato scoperto che l’attore sta cambiando continuamente il suo payload e l’infrastruttura e si è scoperta una nuova tecnica di evasione utilizzata da PHOSPHORUS per nascondere il loro traffico malevolo e ingannare i team di sicurezza.
Errori di OPSEC rivelano gli attori della minaccia COBALT MIRAGE
Nel giugno 2022, il gruppo di minacce iraniano COBALT MIRAGE ha condotto un attacco di ransomware che ha sfruttato le vulnerabilità ProxyShell. Questo attacco ha seguito il modello di intrusione stabilito dal gruppo, che include la distribuzione di più web shell e TunnelFish, una variante personalizzata di Fast Reverse Proxy (FRPC). Gli attori della minaccia hanno tentato di cancellare le tracce delle loro attività, ma diversi strumenti e artefatti sono stati recuperati dai ricercatori.
Durante l’indagine, i ricercatori hanno scoperto un’infrastruttura aggiuntiva collegata a COBALT MIRAGE e hanno trovato copie di una nota di riscatto che faceva riferimento a un account Telegram e un indirizzo email osservati in intrusioni precedenti. Questa nota di riscatto ha rivelato l’identità di un individuo impegnato nell’attività di COBALT MIRAGE, “ahmad khatibi”, che è elencato come CEO di Afkar System Co., una società con sede in Iran.
Nel giugno 2022, un whistleblower anti-regime iraniano ha pubblicato una serie di tweet su Ahmad Khatibi e Afkar System, affermando che stanno operando per conto dell’Intelligence Organization of Sepah, un riferimento alla Islamic Revolutionary Guard Corp (IRGC). Queste affermazioni sembrano rafforzare che il riferimento al creatore nella nota di riscatto sia legittimo.
I ricercatori hanno identificato indipendentemente i collegamenti tra l’infrastruttura conosciuta di COBALT MIRAGE e Najee Technology. I dati di risoluzione DNS, i dati WHOIS e l’analisi del sito web rivelano una serie di connessioni tra due domini COBALT MIRAGE e un indirizzo IP che ospita due domini iraniani: secnerd . ir e najee . ir. Questi dettagli collegano updates . icu, secnerd . ir e najee . ir allo stesso gruppo di individui e indicano che questi individui supportano gli attacchi di COBALT MIRAGE.
Nel complesso, l’analisi suggerisce che queste aziende private iraniane potrebbero agire come fronti o fornire supporto per le operazioni di intelligence iraniane. Mentre parte dell’attività di COBALT MIRAGE sembra focalizzata sull’espionaggio, una parte significativa è focalizzata sulla generazione di entrate opportunistica attraverso le sue attività di ransomware.
TA453 sfrutta l’impersonazione multi-persona per capitalizzare il FOMO
Nel 2022, TA453, un attore di minaccia legato all’Iran, ha introdotto una tecnica di ingegneria sociale chiamata Multi-Persona Impersonation. Questa tecnica richiede un uso più intensivo delle risorse per ciascun obiettivo e un approccio coordinato tra le diverse personalità utilizzate da TA453. Questa è l’ultima evoluzione delle tecniche di TA453 e può essere in gran parte mitigata dai potenziali obiettivi, come quelli specializzati in questioni del Medio Oriente o sicurezza nucleare, essendo cauti quando ricevono contatti da fonti inaspettate, anche quelle che sembrano legittime.
TA453, noto anche come Charming Kitten, PHOSPHORUS e APT42, ha continuato a innovare il suo approccio per soddisfare le sue priorità di intelligence. Nel giugno 2022, questa evoluzione ha portato a campagne che utilizzano la Multi-Persona Impersonation (MPI), una sottocategoria di Impersonation. In MPI, TA453 porta la sua ingegneria sociale mirata a un nuovo livello, prendendo di mira i ricercatori non solo con una persona controllata dall’attore, ma con molteplici. Questa tecnica permette a TA453 di sfruttare il principio psicologico della prova sociale per preda dei suoi obiettivi e aumentare l’autenticità dello spear phishing dell’attore della minaccia.
Nel giugno 2022, i ricercatori di Proofpoint hanno osservato un cambiamento nell’approccio di TA453. In questa prima campagna, TA453 ha iniziato la conversazione mascherandosi come “Aaron Stein, Director of Research at FRPI”. L’attore ha incluso una serie di domande intese a generare un dialogo su Israele, gli Stati del Golfo e gli Accordi di Abramo. Mentre queste domande sono generalmente destinate a stabilire un pretesto per inviare un link di raccolta delle credenziali di follow-up o per consegnare un documento malevolo, è anche possibile che rappresentino domande di intelligence assegnate a TA453.
Alcune delle campagne di TA453 hanno consegnato link OneDrive che ospitavano documenti malevoli. I documenti sono l’ultima versione dei documenti di iniezione di template remoto di TA453 discussi da PwC nel luglio 2022. I documenti protetti da password scaricavano i documenti di template abilitati per macro da 354pstw4a5f8.filecloudonline[.]com. Proofpoint ha osservato molteplici campagne che riutilizzavano quel particolare host filecloudonline[.]com. Il template scaricato, soprannominato Korg da Proofpoint, ha tre macro: Module1.bas, Module2.bas e ThisDocument.cls. Le macro raccolgono informazioni come il nome utente, l’elenco dei processi in esecuzione insieme all’IP pubblico dell’utente da my-ip.io e poi esfiltrano tali informazioni utilizzando l’API di Telegram.
Tutti gli attori delle minacce sono in costanti stati di iterazione dei loro strumenti, tattiche e tecniche (TTP), avanzando alcuni mentre deprecando altri. L’uso della MPI da parte di TA453, pur essendo l’ultima tecnica del gruppo, è probabile che continui a evolvere e a mutare mentre questo gruppo caccia l’intelligence a sostegno dell’IRGC. I ricercatori di Proofpoint hanno già iniziato a osservare questo potenziale prossimo passo con TA453 che tenta di inviare una email vuota, poi risponde all’email vuota includendo tutti i suoi “amici” sulla linea CC. Questo è probabilmente il tentativo dell’attore della minaccia di bypassare il rilevamento della sicurezza.
Inchieste
Papa Francesco sarà al G7 e l’Italia festeggia il DDL AI
Tempo di lettura: 6 minuti. Papa Francesco partecipa al G7, focalizzato su etica e IA e il Parlamento discute il DDL AI con Meloni che promuove l’IA umanistica.
Giorgia Meloni, presidente del Consiglio, ha recentemente annunciato l’eccezionale partecipazione di Papa Francesco alla sessione del G7 dedicata all’intelligenza artificiale con in tasta il DDL sul tema. Questo evento sottolinea l’importanza crescente delle questioni etiche e umanistiche connesse allo sviluppo tecnologico.
Un impegno umanistico nell’era digitale
Durante la presidenza italiana del G7, si discuterà ampiamente su come l’intelligenza artificiale possa essere guidata da principi etici che pongono l’umanità al centro. Meloni ha enfatizzato che l’intelligenza artificiale rappresenta la più grande sfida antropologica dei nostri tempi, portando con sé notevoli opportunità ma anche rischi significativi.
La premier ha citato l’esempio della “Rome Call for AI Ethics” del 2022, una iniziativa avviata dalla Santa Sede per promuovere un approccio etico allo sviluppo degli algoritmi, un concetto noto come algoretica. L’obiettivo è sviluppare una governance dell’IA che rimanga sempre centrata sull’essere umano.
L’intervento di Papa Francesco al G7 sarà cruciale per rafforzare questa visione, offrendo una prospettiva che combina tradizione e innovazione nell’affrontare le sfide poste dall’IA alla società contemporanea.
Intelligenza Artificiale: innovazioni legislative in Italia con il DDL
L’Italia si posiziona all’avanguardia nel panorama europeo con l’approvazione di un nuovo disegno di legge sull’intelligenza artificiale. Questa legislazione pionieristica mira a promuovere un utilizzo etico e responsabile dell’IA, con un forte accento sulla protezione dei diritti fondamentali e sull’inclusione sociale.
Differenza tra Disegno di Legge e Decreto Legge
Prima di procedere, è doveroso spiegare la differenza tra un “DDL” (Disegno di Legge) e un “DL” (Decreto Legge) e che riguarda principalmente il processo legislativo e la loro natura giuridica all’interno del sistema legale italiano. Ecco i dettagli chiave:
Disegno di Legge (DDL)
- Definizione: Un DDL è una proposta legislativa elaborata e presentata al Parlamento per la discussione e l’approvazione. Può essere presentata da membri del Parlamento o dal Governo.
- Processo: Dopo essere presentato, il DDL segue un processo di esame approfondito che include discussioni, emendamenti e votazioni sia in commissione che in aula nelle due Camere del Parlamento (Camera dei Deputati e Senato della Repubblica). Questo processo può essere lungo e richiede l’approvazione finale di entrambe le Camere.
- Natura: Il DDL è di natura ordinaria, significando che non ha effetto immediato e deve seguire il normale iter parlamentare prima di diventare legge.
Decreto Legge (DL)
- Definizione: Un DL è uno strumento legislativo che il Governo può adottare in casi straordinari di necessità e urgenza. Questo decreto ha forza di legge dal momento della sua pubblicazione, ma è temporaneo.
- Processo: Un DL deve essere convertito in legge dal Parlamento entro 60 giorni dalla sua pubblicazione, attraverso un processo che può includere modifiche e approvazioni. Se non convertito, perde efficacia retroattivamente.
- Natura: Il DL ha un’immediata efficacia legale ma è temporaneo e condizionato alla sua conversione in legge ordinaria, che stabilizza le disposizioni contenute nel decreto.
Confronto e uso
- Velocità ed Efficienza: Il DL è molto più rapido nel rispondere a situazioni di emergenza, dato che entra in vigore immediatamente. Tuttavia, questa rapidità viene bilanciata dalla necessità di una successiva conferma parlamentare.
- Stabilità e Riflessione: Il DDL segue un processo più riflessivo e può essere soggetto a più ampie discussioni e revisioni, il che può contribuire a una legislazione più ponderata e dettagliata.
Il DL è utilizzato per situazioni urgenti che richiedono una risposta legislativa immediata, mentre il DDL è il mezzo standard per la creazione di nuove leggi, offrendo più opportunità per l’esame e la discussione parlamentare.
Focus sui Principi Generali e innovazioni
Il disegno di legge definisce norme precise per la ricerca, lo sviluppo, e l’implementazione dell’IA, assicurando che ogni applicazione tecnologica rispetti la dignità umana e le libertà fondamentali, come stabilito dalla Costituzione italiana e dal diritto dell’Unione Europea. Tra i principi chiave, spicca l’impegno verso la trasparenza, la sicurezza dei dati, e l’equità, evitando discriminazioni e promuovendo la parità di genere.
Uno degli aspetti più rilevanti è l’introduzione di un quadro normativo per garantire che l’IA non sostituisca ma supporti il processo decisionale umano, mantenendo l’uomo al centro dell’innovazione tecnologica. In particolare, il disegno di legge enfatizza l’importanza della cybersicurezza e impone rigidi controlli di sicurezza per proteggere l’integrità dei sistemi di IA.
La legge stabilisce principi chiave per l’adozione e l’applicazione dell’IA in Italia, focalizzandosi su trasparenza, proporzionalità, sicurezza e non discriminazione. Viene data particolare attenzione al rispetto dei diritti umani e alla promozione di una IA “antropocentrica”, ossia che metta al centro le esigenze e il benessere dell’individuo.
Settori di impatto e disposizioni specifiche
La legislazione tocca vari settori, dalla sanità al lavoro, dalla difesa alla sicurezza nazionale, delineando norme specifiche per ciascuno:
Sanità
L’IA dovrebbe migliorare il sistema sanitario senza discriminare l’accesso alle cure. Si promuove l’uso dell’IA per assistere la decisione medica, ma la responsabilità finale rimane sempre nelle mani dei professionisti. L’impiego dell’intelligenza artificiale nel settore sanitario, come delineato nella nuova legislazione italiana, è concepito per migliorare l’efficacia e l’efficienza dei servizi sanitari, pur salvaguardando i diritti e la dignità dei pazienti. La legge impone che l’introduzione di sistemi di IA nel sistema sanitario avvenga senza discriminare l’accesso alle cure e che le decisioni mediche rimangano prerogativa del personale medico, sebbene assistito dalla tecnologia. È previsto inoltre che i pazienti siano adeguatamente informati sull’uso delle tecnologie di intelligenza artificiale, ricevendo dettagli sui benefici diagnostici e terapeutici previsti e sulla logica decisionale impiegata.
Implicazioni della Legge sulla Sicurezza e Difesa Nazionale:
Le applicazioni di IA per scopi di sicurezza nazionale devono avvenire nel rispetto dei diritti costituzionali, con una regolamentazione specifica che esclude queste attività dall’ambito di applicazione della legge generale. La legge tratta specificamente l’applicazione dell’intelligenza artificiale per scopi di sicurezza e difesa nazionale, stabilendo che queste attività siano escluse dall’ambito di applicazione delle norme generali sulla regolamentazione dell’IA. Tuttavia, è chiaro che tali attività devono comunque svolgersi nel rispetto dei diritti fondamentali e delle libertà costituzionali. Si prevede che l’uso dell’IA per la sicurezza nazionale sia regolato da normative specifiche, garantendo la conformità ai principi di correttezza, sicurezza e trasparenza, e imponendo controlli rigorosi per prevenire abusi.
Lavoro
Viene regolato l’utilizzo dell’IA per migliorare le condizioni lavorative e la produttività, garantendo trasparenza e sicurezza nell’uso dei dati dei lavoratori. L’adozione dell’intelligenza artificiale nel settore lavorativo, secondo la nuova normativa italiana, mira a migliorare le condizioni di lavoro e accrescere la produttività mantenendo al centro la sicurezza e la trasparenza. Gli impieghi di sistemi di IA devono avvenire nel rispetto della dignità umana e della riservatezza dei dati personali. I datori di lavoro sono obbligati a informare i lavoratori sull’utilizzo dell’IA, delineando chiaramente gli scopi e le modalità di impiego. La legge pone un’enfasi particolare sulla non discriminazione, assicurando che l’IA non crei disparità tra i lavoratori basate su sesso, età, origine etnica, orientamento sessuale, o qualsiasi altra condizione personale.
Iniziative per l’inclusione e la formazione
Significative sono le disposizioni per garantire l’accesso all’IA da parte delle persone con disabilità, assicurando pari opportunità e piena partecipazione. Viene inoltre data importanza alla formazione e all’alfabetizzazione digitale in tutti i livelli educativi per preparare i cittadini a interagire con le nuove tecnologie.
Il disegno di legge promuove attivamente la formazione e l’alfabetizzazione digitale come componenti fondamentali per l’integrazione dell’intelligenza artificiale nella società. Questo include l’implementazione di programmi di formazione sia nei curricoli scolastici che nei contesti professionali, al fine di preparare studenti e lavoratori a interagire efficacemente e eticamente con le tecnologie avanzate. Si prevede inoltre che gli ordini professionali introducano percorsi specifici per i propri iscritti, affinché possano acquisire le competenze necessarie per utilizzare l’IA in modo sicuro e responsabile nel rispetto delle normative vigenti.
Tutela della Privacy e della Proprietà Intellettuale
La legge enfatizza la protezione dei dati personali e introduce regole per garantire che i contenuti generati o manipolati tramite IA siano chiaramente identificati, proteggendo così l’integrità informativa e i diritti d’autore. La nuova legislazione italiana stabilisce criteri rigorosi per la protezione della privacy degli individui nell’ambito dell’utilizzo dell’intelligenza artificiale. Si impone che ogni applicazione di IA che tratti dati personali debba avvenire in modo lecito, corretto e trasparente, conformemente alle normative dell’Unione Europea. La legge richiede inoltre che le informazioni relative al trattamento dei dati personali siano comunicate agli utenti in un linguaggio chiaro e accessibile, garantendo loro la possibilità di comprendere e, se necessario, opporsi al trattamento dei propri dati. Viene enfatizzata la necessità di una cybersicurezza efficace in tutte le fasi del ciclo di vita dei sistemi di IA, per prevenire abusi o manipolazioni.
Per quanto riguarda la proprietà intellettuale, il disegno di legge introduce misure specifiche per assicurare che le opere generate attraverso l’intelligenza artificiale siano correttamente attribuite e tutelate sotto il diritto d’autore. Viene riconosciuto il diritto d’autore per le opere create con l’ausilio dell’IA, purché vi sia un significativo contributo umano che sia creativo, rilevante e dimostrabile. Inoltre, la legge prevede che ogni contenuto generato o modificato significativamente da sistemi di IA debba essere chiaramente identificato come tale, per mantenere la trasparenza e prevenire la diffusione di informazioni ingannevoli o falsificate.
Libertà di Informazione e dati personali
L’articolo 4 del DDL stabilisce che l’uso dell’IA nel settore dell’informazione deve avvenire senza compromettere la libertà e il pluralismo dei media, mantenendo l’obiettività e l’imparzialità delle informazioni. È essenziale che l’intelligenza artificiale non distorca la veridicità e la completezza dell’informazione a causa di pregiudizi intrinseci nei modelli di apprendimento automatico.
Trasparenza e correttezza nel Trattamento dei Dati
Viene enfatizzato il trattamento lecito, corretto e trasparente dei dati personali, in linea con il GDPR. Il DDL richiede che le informazioni sul trattamento dei dati siano fornite in modo chiaro e comprensibile, consentendo agli utenti di avere pieno controllo sulla gestione dei propri dati.
Consapevolezza e controllo per i minori
Una specifica attenzione è rivolta alla protezione dei minori nell’accesso alle tecnologie AI. I minori di quattordici anni necessitano del consenso dei genitori per l’utilizzo di tali tecnologie, mentre quelli tra i quattordici e i diciotto anni possono dare il consenso autonomamente, purché le informazioni siano chiare e accessibili.
Governance e collaborazione tra Agenzie
Il DDL promuove un approccio di governance “duale”, coinvolgendo l’Agenzia per la Cybersicurezza Nazionale (ACN) e l’Agenzia per l’Italia Digitale (AgID) per assicurare che l’applicazione delle tecnologie AI sia conforme sia alle normative nazionali che a quelle dell’Unione Europea. Queste agenzie lavoreranno insieme per stabilire un quadro regolatorio solido che promuova la sicurezza senza soffocare l’innovazione.
Leggi il DDL sull’Intelligenza Artificiale
Inchieste
Cloud Provider Italiani: quali sono le caratteristiche preferite dagli specialisti IT?
Tempo di lettura: 7 minuti. I Managed Service Providers (MSP) aiutano le aziende che desiderano esternalizzare la gestione della propria infrastruttura IT. Questo modello di outsourcing consente alle imprese di affidare le attività IT ad un partner esterno, garantendo efficienza, riduzione dei costi e miglioramento delle prestazioni.
Dopo aver approfondito attraverso una serie di inchieste lo stato del cloud in Italia concentrandoci sul mercato e sulle sue tendenze, Matrice Digitale termina l’inchiesta a puntate con un’analisi su un interrogativo che può sfuggire a molti ed interessarne a pochi: qual è il cloud che scelgono i professionisti it?
Perchè comprendere dove le aziende IT posizionano il loro cloud?
Le imprese italiane, in piena migrazione di in massa verso i servizi cloud, sono assistite da esperti del settore IT che quotidianamente disegnano e realizzano architetture informatiche di tipo pubblico, privato ed ibrido.
I fruitori del Cloud è possibile dividerli in tre categorie che rispecchiano il mercato IT:
- Singoli utenti
- Aziende
- Pubblica Amministrazione
Secondo un’analisi effettuata da Matrice Digitale, l’offerta dei servizi proposta dalle aziende individuate come operatori rilevanti di servizi cloud, è suddivisa in 17 soggetti che hanno prodotti standard, complementari o simili (come approfondito in precedenza) e soprattutto rivolti generalmente ad un pubblico di ampio target.
Confronto canali di vendita
| Fornitore | Diretti Privati | Diretti Aziende | Diretti Pubblica Amministrazione | Canale ICT (MSP, Rivenditori) |
|---|---|---|---|---|
| Aruba | ✔ | ✔ | ✔ | ✔ |
| Cdlan | • | ✔ | • | ✔ |
| CoreTech | • | • | • | ✔ |
| Elmec | • | ✔ | ✔ | • |
| Fastweb | ✔ | ✔ | ✔ | ✔ |
| Hosting Solutions – Genesys informatica | ✔ | ✔ | ✔ | ✔ |
| Naquadria | • | ✔ | • | ✔ |
| Netalia | • | ✔ | ✔ | • |
| Netsons | ✔ | ✔ | • | ✔ |
| Noovle (TIM) | • | ✔ | ✔ | ✔ |
| Reevo – It.net | • | ✔ | ✔ | ✔ |
| Register – Keliweb | ✔ | ✔ | ✔ | ✔ |
| Retelit | • | ✔ | ✔ | • |
| DHH (Seeweb ed altri) | ✔ | ✔ | ✔ | ✔ |
| ServerPlan | ✔ | ✔ | ✔ | ✔ |
| Tiscali | • | ✔ | ✔ | • |
| Vianova – Host.it | ✔ | ✔ | • | ✔ |
Un mercato in crescita rivolto a tutti, ma di pochi
Le offerte nel mondo del cloud computing sembrano tante, ma sono poche se poi si stringe il cerchio sulle reali capacità delle imprese che erogano i servizi sulla carta. Le aziende IT che si rivolgono al mondo delle PMI e medie imprese sono più orientate verso soluzioni distanti dalle multinazionali, soprattutto dopo che Broadcom ha rilevato VMware ed ha creato grande panico nei confronti di coloro che necessitano di virtualizzare i server per il loro business, aumentando di molto i costi delle licenze. Un ricatto costante, quello tecnologico, che ciclicamente vede le multinazionali falciare chi non ha un piano B pronto e dipende totalmente dal loro schema che diventa sempre più costoso con meno servizi inclusi.
Anche il Cloud può essere Made in Italy
Il caso Broadcom non è isolato e soprattutto non è il primo nell’ambito informatico. Le aziende italiane che svolgono attività nel settore del cloud computing in opposizione alla forte concorrenza, spesso sleale che si nasconde dietro il concetto di economia di scala, sono quelle che preferiscono la nicchia al ventaglio di prodotti multiservizi. Solo Serverplan e CoreTech, con la differenza che la seconda si contraddistingue per la vendita al solo Canale di specialisti IT, svolgono questo tipo di attività come unica fonte di guadagno e di business. Molti imprenditori nel settore IT si affidano per i servizi cloud ad altri specialisti per continuare a produrre il proprio servizio o prodotto senza snaturare la propria impresa inglobando risorse materiali e umane ed i relativi costi per sostenerli che ne aumentano il rischio d’impresa. Per fronteggiare l’avanzata aggressiva delle Big Tech nel mercato Cloud, c’è chi gioca in favore come un qualsiasi rivenditore commerciale acquistando prodotti confezionati e chi invece si rivolge ad aziende di pari dimensione per ottenere prodotti che garantiscono servizi di assistenza meno freddi e forniscono prodotti di sicurezza inclusi come forma di garanzia di qualità di un prodotto. Non è un caso, infatti, che il mercato del lavoro attuale non solo richiede numerose figure specializzate in informatica, ma non apprezza quelle già presenti perché formate non secondo le esigenze della domanda nel settore. Questa mancanza di figure qualificate, mista all’insoddisfazione delle imprese, rende ancora più prezioso il lavoro di chi invece è altamente specializzato e preferisce rivolgersi ad una clientela di alto profilo.
Dubbio amletico sulla natura delle nuvole tricolori
Sulla base degli approfondimenti e delle riflessioni maturate attraverso questo lungo viaggio nel cloud italiano, Matrice Digitale si è immedesimata in un individuo che vuole acquistare in piena autonomia un servizio cloud ed ha scoperto che non tutte le aziende hanno la caratteristica di un servizio del tutto pubblico nonostante si promuovano in questo modo nella fase di posizionamento sul mercato.
Prospettiva Pricing Trasparente
| Fornitore | Pubblico | Non presente su sito |
|---|---|---|
| Aruba | ✔ | • |
| Cdlan | • | ✔ |
| CoreTech | ✔ | • |
| Elmec | • | ✔ |
| Fastweb | • | ✔ |
| Hosting Solutions – Genesys informatica | ✔ | • |
| Naquadria | ✔ | • |
| Netalia | • | ✔ |
| Netsons | ✔ | • |
| Noovle (TIM) | • | ✔ |
| Reevo – It.net | • | ✔ |
| Register – Keliweb | ✔ | • |
| Retelit | • | ✔ |
| DHH (Seeweb ed altri) | ✔ | • |
| ServerPlan | ✔ | • |
| Tiscali | • | ✔ |
| Vianova – Host.it | • | ✔ |
Dalla ricerca effettuata da Matrice Digitale, la metà delle aziende presenti in lista (CdLan, Elmec, Fastweb, Netalia, NoovleTim, Retelit, Reevo, Tiscali, Vianova) non è munita di un listino prezzi consultabile liberamente online con annesso carrello elettronico per acquistare i servizi in ogni momento senza passare per un ufficio vendita-commerciale.
Le implicazioni di un pricing poco trasparente
Un fattore che fa riflettere sia in positivo perché si pensa ad un prodotto “su misura”, seppur odori di strategia di marketing, sia in negativo perché chi nel mondo IT cerca un prodotto come il cloud computing sa quali sono le sue esigenze, conosce anche i costi di mercato e riconosce chi espone i prezzi come un venditore specializzato in quel campo con un business già avviato e per nulla improvvisato. Inoltre, c’è anche il rischio che dinanzi ad alcune offerte di servizio ci sia chi fornisce il servizio di “housing” proponendolo al potenziale cliente come Cloud, ma nella pratica non farà altro che ospitare nella propria infrastruttura informatica un server fisico. Proprio per questo motivo, da profani apriamo una riflessione che rimettiamo al mercato sul se chi non espone i prezzi sia da considerare un “Cloud Pubblico” e non invece privato che offre successivamente lo spazio sui suoi server ai clienti che sottoscrivono un’offerta omnicomprensiva di servizi che spaziano dalla connettività fino ad arrivare alla fonia.
Qual è il cloud degli specialisti dell’IT?
Gli specialisti del settore IT di lunga data non acquistano dai soliti rivenditori la tecnologia su cui costruire la nuvola per i propri clienti che, ricordiamo, per la maggiore sono Piccole o Piccole Medie Imprese. Molti MSP impiegano in forma esclusiva prodotti delle multinazionali svolgendo in primis un ruolo di rivenditori dei prodotti di terzi. Questa scelta potrebbe fornire più garanzie sulla carta, ma potrebbe rafforzare allo stesso tempo sistemi di potere già consolidati, traghettandoli verso una posizione monopolistica che riconosca un potere incontrastato nello stabilire un prezzo di mercato che con il tempo diventi insostenibile per le aziende. Oltre alla pura logica di mercato, c’è anche un problema identitario dell’azienda che subentra e dove è messo a rischio il brand del fornitore di servizi nel caso che il cliente continui ad interfacciarsi con prodotti di terze parti ignorando il valore del fornitore tanto da credere di poterlo sostituire perché tanto utilizza un prodotto di terze parti di marchi ben più noti e commerciali e facilmente sostituibile.
Se è consideriamo che l’87 per cento della spesa è riservata alle grandi imprese che sono più propense nel chiudere accordi con i grandi gruppi e spesso hanno uffici interni preposti all’Information Technology, c’è un tessuto produttivo composto da piccole e medie imprese che quotidianamente si affida al Canale composto dai già noti MSP (Managed Service Provider), sviluppatori e fornitori IT.
Cloud pubblico
Il Cloud Pubblico è un modello di cloud computing in cui i servizi e le infrastrutture sono ospitati da un provider di cloud e resi disponibili al pubblico o a grandi gruppi industriali tramite Internet. Queste risorse, come server e storage, sono di proprietà e gestite dal provider di cloud e condivise tra tutti i clienti. Gli utenti accedono ai servizi e li gestiscono tramite un browser web e pagano in base al consumo, senza dover investire in hardware o manutenzione. Ecco una lista dei cloud pubblici italiani in concorrenza con i big USA Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform (GCP) che forniscono servizi Cloud, ma lo fanno da piattaforme fisiche dislocate all’estero.
| Fornitore | Cloud Pubblico | Cloud Privato | Data Center-Colocation | MSP/System Integrator | Fornitore CyberSecurity | Fornitore Connettività | Fornitore Telefonia |
|---|---|---|---|---|---|---|---|
| Aruba | |||||||
| Cdlan | |||||||
| CoreTech | |||||||
| Elmec | |||||||
| Fastweb | |||||||
| Hosting Solutions – Genesys informatica | |||||||
| Naquadria | |||||||
| Netalia | |||||||
| Netsons | |||||||
| Noovle (TIM) | |||||||
| Reevo – It.net | |||||||
| Register – Keliweb | |||||||
| Retelit | |||||||
| DHH (Seeweb ed altri) | |||||||
| ServerPlan | |||||||
| Tiscali | |||||||
| Vianova – Host.it |
Anche il metodo di classificazione di un’azienda che fornisce servizi Cloud risulta difficile agli occhi degli utenti e delle imprese. Un’impresa che eroga il servizio di noleggio delle infrastrutture informatiche sulla “nuvola” non può essere confusa né con chi vende servizi di connettività né con chi offre uno spazio sui propri server ai siti Internet dei clienti come da usanza delle web agencies che li realizzano. Partire da 2 milioni di euro di fatturato è un giusto parametro per avere una garanzia sia sul core business e sia per intuire la presenza di una fidelizzazione della clientela nei confronti dei servizi offerti dal fornitore del servizio di Cloud Computing.
Chi sono gli utenti del Cloud?
Le grandi imprese rappresentano l’87% della spesa complessiva nel cloud, evidenziando come queste organizzazioni stiano guidando l’adozione del cloud in Italia. Tuttavia, anche le PMI stanno rapidamente abbracciando il cloud, con una crescita del 34% nella spesa per servizi in Public Cloud, raggiungendo i 478 milioni di euro. Oltre la metà delle applicazioni aziendali nelle grandi imprese (51%) risiede ora nel cloud, segnalando un punto di svolta nella digitalizzazione del settore aziendale italiano. Un settore in espansione che mette alla luce diverse criticità soprattutto se si considera che il bene fisico dove sono custoditi i dati spesso viene abbandonato e dato in pasto ad aziende estranee, così come l’acquisto di licenze software per l’ufficio è sempre più sotto forma di abbonamento che, una volta scaduto, potrebbe minare il processo produttivo dell’azienda e la custodia “pro manibus” dei propri dati allontanandola da una capacità di essere indipendente e proprietaria nel medio lungo periodo.
Cos’è un MSP?
I Managed Service Providers (MSP) aiutano le aziende che desiderano esternalizzare la gestione della propria infrastruttura IT. Questo modello di outsourcing consente alle imprese di affidare le attività IT ad un partner esterno, garantendo efficienza, riduzione dei costi e miglioramento delle prestazioni.
Nel contesto italiano, caratterizzato da un tessuto imprenditoriale prevalentemente composto da piccole e medie imprese, gli MSP stanno emergendo come una componente importante per la trasformazione digitale dell’intero contesto produttivo del Bel Paese.
Cos’è un MSP?
I Managed Service Providers (MSP) aiutano le aziende che desiderano esternalizzare la gestione della propria infrastruttura IT in un modello di outsourcing che consente alle imprese di affidare le attività IT ad un partner esterno, garantendo efficienza, riduzione dei costi e miglioramento delle prestazioni delegando la gestione IT che con il tempo diventa sempre più complessa. L’attività degli MSP varia dalla normale amministrazione di tipo hardware e di rete fino all’offerta di una soluzione più complessa come quella di un cloud o di piattaforme software diverse sulla base ai settori di appartenenza dei propri clienti.
Un mercato in crescita
Con l’aumento della diffusione digitale nelle imprese, cresce anche l’esigenza di essere più completi e professionali da parte di coloro che lavorano nel settore IT. Questo fenomeno sta incidendo notevolmente sul fatturato degli MSP che tende a crescere in virtù della forte domanda di mercato e questo fa il paio con il bisogno costante di reperire nel mercato del lavoro personale altamente qualificato a cui sono richieste competenze spesso orizzontali e che rimane un ostacolo a causa della poca offerta lavorativa specializzata.
Costo del personale rispetto al fatturato
Secondo un’analisi emersa all’MSP Fest 2023 si è rivelato che il costo medio del personale nel settore ICT è del 30,8% del fatturato totale, un indicatore di quanto le aziende investono nelle loro risorse umane. Questo dato varia significativamente tra i diversi cluster:
Partner ERP (Enterprise Resource Planning), software che consente di gestire l’intera attività d’impresa, sostenendo l’automazione dai processi di finanza, risorse umane, produzione, supply chain, servizi, approvvigionamento e altro, mostrano una coerenza interna con un costo del personale che oscilla tra il 29% e il 33%.
MSP: registrano un costo inferiore, ridotto di circa 9-10 punti percentuali rispetto ai partner ERP, suggerendo una maggiore efficienza o un modello di business differente che minimizza i costi del personale.
Software House: presentano la variabilità più alta, con una media del 37% che in alcuni casi raggiunge il 70%, indicando un elevato investimento in capitale umano, tipico delle aziende che dipendono fortemente dalla manodopera qualificata.
Questi dati suggeriscono che le strutture aziendali, le strategie di outsourcing e l’automazione possono influenzare significativamente il rapporto tra costo del personale e fatturato.
Fatturato per dipendente
Passando alla produttività misurata come fatturato per dipendente, emergono ulteriori dettagli rilevanti:
Software House: alcune registrano cifre allarmanti come 50k€/anno per dipendente, un livello basso che potrebbe indicare margini ridotti e sostenibilità a lungo termine a rischio.
Media del settore: il fatturato medio per dipendente si attesta intorno ai 145k€, con punte superiori ai 200k€ in aziende più efficienti. Questo dato riflette una variazione sostanziale basata sulla natura del modello di business e sulla capacità di generare ricavi aggiuntivi attraverso la vendita di licenze software, servizi o hardware.
Questo indicatore è cruciale per valutare l’efficacia con cui le aziende utilizzano il loro personale. Un fatturato per dipendente elevato può indicare un’alta produttività e un modello di business efficace, mentre valori bassi possono segnalare la necessità di rivedere le strategie operative.
Più della metà degli MSP ad oggi tende a superare mediamente il milione di euro di fatturato, segnalando una maturazione del settore. Questo dato dimostra che ci si sta allontanando da un mercato composto prevalentemente da micro-imprese ed indica una tendenza verso una dimensione non più da incubatore di professionalità, bensì di aziende strutturate.
MSP a chi si rivolgono
I primi fruitori del mercato IT sono prevalentemente imprese produttive e studi professionali e questo consente di tracciare una linea di indirizzo generale sui prodotti necessari a garantire uno standard di qualità minimo ed uguale per tutti. Questo indirizzo operativo permette di affinare le offerte di servizi e di aumentare l’efficienza di gestione attraverso la standardizzazione e la personalizzazione delle soluzioni per i clienti di nicchia. Se prima ci si rivolgeva al negozio sotto l’ufficio o all’amico di famiglia più pratico con i computer, oggi la gestione delle reti informatiche e la manutenzione dei computer aziendali, compreso tutto l’aspetto che riguarda la complessa, quanto sentita, messa in sicurezza del perimetro cibernetico, sono gestiti dagli MSP che si presentano sul mercato con contratti annuali o con la possibilità di una tariffazione oraria. Un’altra capacità che è richiesta ai Managed Service Providers è l’affinare la propria scalabilità nella gestione di un numero di clienti che può aumentare anche repentinamente.
Tecnologia e innovazione
L’adozione di tecnologie avanzate come il monitoraggio remoto, l’automazione dei processi di servizio e la gestione avanzata dei ticket sta diventando sempre più comune rispetto alla telefonata amichevole di un tempo. Questi strumenti non solo migliorano l’efficienza operativa ma permettono agli MSP di offrire un livello di servizio superiore, indispensabile per competere in un mercato tecnologicamente avanzato ed in continua evoluzione sulla base delle esigenze del mercato. La convergenza tra la crescente necessità di servizi IT gestiti e le capacità avanzate offerte dagli MSP suggerisce un ruolo sempre più centrale per questi ultimi nel supportare le imprese italiane nel percorso di trasformazione digitale e questo richiede una formazione costante dei quadri dirigenziali e di tutto il personale e non solo attraverso la lettura di articoli tecnici. In aggiunta agli aggiornamenti generali del settore su riviste specializzate come Matrice digitale, gli MSP si concentrano su diversi campi specifici per il proprio sviluppo professionale, evidenziando le seguenti aree principali:
Cybersecurity
Con la crescente incidenza di minacce informatiche, la cybersecurity rimane un campo di primaria importanza. Gli MSP riconoscono la necessità di fortificare le proprie competenze in questo ambito per proteggere efficacemente le infrastrutture IT dei loro clienti.
Conoscenza dei prodotti utilizzati
Un’approfondita conoscenza dei prodotti è essenziale per gli MSP per garantire l’efficienza e l’efficacia delle soluzioni implementate. Questo include una comprensione dettagliata dei software e degli hardware impiegati nelle loro operazioni quotidiane.
Organizzazione e processi Aziendali
L’efficienza operativa attraverso l’organizzazione e la gestione ottimizzata dei processi aziendali è un altro pilastro fondamentale. Gli MSP investono in formazione per migliorare la gestione dei progetti, il flusso di lavoro, e le pratiche operative generali.
Sales & Marketing
Le competenze in vendita e marketing sono cruciali per gli MSP per attrarre e mantenere una clientela ampia. Questo aspetto della formazione è orientato a strategie di comunicazione efficaci, generazione di lead e tecniche di negoziazione.
Helpdesk e Customer Service
Queste aree sono vitali per il mantenimento delle relazioni con i clienti positive e per la gestione efficiente delle richieste di supporto e assistenza.
Il ruolo sociale degli MSP
Chi ha l’onere ed il compito di gestire le infrastrutture informatiche di porzioni della produttività italiana non solo ha il dovere di gestirle a dovere, avendo cura dei dati che gli vengono affidati, ma ha il compito di trasmettere valori educativi nel campo digitale verso tutti i suoi assistiti che non sono solo le imprese, ma anche i dipendenti. Questo aspetto non andrebbe sottovalutato in un momento storico dove gli attacchi informatici crescono sempre ed il primo contatto tra criminali ed imprese, sono proprio i dipendenti che aprono inconsapevolmente le porte alle azioni coordinate.
ACN: tutto quello che c’è da sapere sulla relazione annuale 2023
Tempo di lettura: 9 minuti. L'ACN presenta la relazione annuale sulle attività della cybersecurity in Italia nel 2023 ed i...
Vulnerabilità critiche nel software Cisco: dettagli e soluzioni
Tempo di lettura: 2 minuti. Cisco affronta vulnerabilità critiche nel suo software ASA e FTD, rilasciando aggiornamenti per prevenire attacchi...
Managed Service Providers in Italia: numeri di un mercato in crescita
Tempo di lettura: 5 minuti. Nel contesto italiano, caratterizzato da un tessuto imprenditoriale prevalentemente composto da piccole e medie imprese,...
Mercato ITC in Italia nel 2024: numeri e crescita vertiginosa rispetto al paese
Tempo di lettura: 4 minuti. L’Italia è sempre più digitale grazie al trend globale di trasformazione dei processi analogici verso...
Fortinet: vulnerabilità FortiClient EMS minaccia le aziende media
Tempo di lettura: 2 minuti. Cybercriminali sfruttano CVE-2023-48788 in FortiClient EMS, minacciando aziende con SQL injection.
Come Nominare il Responsabile per la Transizione Digitale e Costituire l’Ufficio per la Transizione Digitale
Tempo di lettura: 2 minuti. La nomina del RTD può avvenire tramite due modalità principali: Determina del Sindaco o Delibera...
Intensificazione delle operazioni di influenza digitale da parte di Cina e Corea del Nord
Tempo di lettura: 2 minuti. Nuovi report evidenziano l'intensificarsi delle operazioni di influenza digitale da parte di Cina e Corea...
Dove studiare Sicurezza Informatica in Italia: Guida alle migliori opzioni
Tempo di lettura: 2 minuti. Ci sono molte opzioni disponibili per coloro che desiderano studiare sicurezza informatica in Italia. Che...
Il Ruolo e le Responsabilità del Responsabile per la Transizione Digitale nelle Pubbliche Amministrazioni
Tempo di lettura: 2 minuti. Il Responsabile per la Transizione Digitale svolge un ruolo fondamentale nell'accelerare e guidare la trasformazione...
Rivelate nuove vulnerabilità nei Router TP-Link
Tempo di lettura: 2 minuti. Scoperte nuove vulnerabilità in router TP-Link e software IoT, con rischi di reset e accessi...
Truffa dei buoni SHEIN da 300 euro, scopri come proteggerti
Tempo di lettura: < 1 minuto. La truffa dei buoni SHEIN da 300 euro sta facendo nuovamente vittime in Italia,...
USA interviene per recuperare 2,3 Milioni dai “Pig Butchers” su Binance
Tempo di lettura: 2 minuti. Il Dipartimento di Giustizia degli USA interviene per recuperare 2,3 milioni di dollari in criptovalute...
Truffa dimarcoutletfirenze.com: merce contraffatta e diversi dalle prenotazioni
Tempo di lettura: 2 minuti. La segnalazione alla redazione di dimarcoutletfirenze.com si è rivelata puntuale perchè dalle analisi svolte è...
No, la SEC non ha approvato ETF del Bitcoin. Ecco perchè
Tempo di lettura: 3 minuti. Il mondo delle criptovalute ha recentemente assistito a un evento senza precedenti: l’account Twitter ufficiale...
Europol mostra gli schemi di fronde online nel suo rapporto
Tempo di lettura: 2 minuti. Europol’s spotlight report on online fraud evidenzia che i sistemi di frode online rappresentano una grave...
Polizia Postale: attenzione alla truffa dei biglietti ferroviari falsi
Tempo di lettura: < 1 minuto. Gli investigatori della Polizia Postale hanno recentemente individuato una nuova truffa online che prende...
App Falsa di Ledger Ruba Criptovalute
Tempo di lettura: 2 minuti. Un'app Ledger Live falsa nel Microsoft Store ha rubato 768.000 dollari in criptovalute, sollevando dubbi...
Google: pubblicità malevole che indirizzano a falso sito di Keepass
Tempo di lettura: 2 minuti. Google ospita una pubblicità malevola che indirizza gli utenti a un falso sito di Keepass,...
Nuova tattica per la truffa dell’aggiornamento del browser
Tempo di lettura: 2 minuti. La truffa dell'aggiornamento del browser si rinnova, con i criminali che ora ospitano file dannosi...
Oltre 17.000 siti WordPress compromessi negli attacchi di Balada Injector
Tempo di lettura: 2 minuti. La campagna di hacking Balada Injector ha compromesso oltre 17.000 siti WordPress sfruttando vulnerabilità nei...
Rivelazioni sul design dell’iPhone 16 dalle dummy units?
Tempo di lettura: < 1 minuto. Le nuove unità dummy dell'iPhone 16 mostrano design innovativi e un iPhone 16 Pro...
Vivo V40 Lite: certificazione Bluetooth anticipa lancio a breve
Tempo di lettura: 2 minuti. Vivo V40 Lite prossimo al lancio con certificazione Bluetooth, promettendo nuove evoluzioni nella gamma medio-alta...
Huawei Pura 70 è al 90% cinese
Tempo di lettura: 2 minuti. Huawei Pura 70 avanza verso il 100% di produzione cinese, con una forte domanda e...
Aggiornamenti in arrivo per i dispositivi Apple
Tempo di lettura: 4 minuti. Apple innova con iPad Pro M4, iOS 18 e Apple Pencil con haptics, elevando le...
Nokia 3210 (2024): ritorna un’icona con design rivisto
Tempo di lettura: 2 minuti. Nokia 3210 ritorna con un design modernizzato e funzionalità come 4G e Bluetooth, combinando nostalgia...
Intel “Hala Point”: sistema neuromorfico ispirato al cervello umano
Tempo di lettura: 2 minuti. Intel lancia "Hala Point", sistema neuromorfico per rivoluzionare velocità e efficienza, ispirato al cervello umano.
Lancio imminente per Vivo X Fold 3 e Vivo X100s su AnTuTu
Tempo di lettura: 2 minuti. Vivo X Fold 3 arriva in India con BIS, mentre il X100s brilla su AnTuTu...
Samsung lancia Galaxy S24 da 128GB in India
Tempo di lettura: 2 minuti. Samsung introduce Galaxy S24 128GB a prezzo ridotto in India, rendendo la tecnologia avanzata più...
Apple Watch Series X: materiale più sottile per la scheda madre?
Tempo di lettura: < 1 minuto. Apple Watch Series X potrebbe adottare una scheda madre RCC più sottile, aumentando spazio...
Usi l’intelligenza artificiale nel tuo lavoro? Attento alla nuova Legge.
Tempo di lettura: 2 minuti. Il nuovo DDL Intelligenza Artificiale ha cercato di regolamentare l’uso dell’Intelligenza Artificiale. Quali possono essere...
Inchieste2 settimane faBanca Sella: il problema che i detrattori del Piracy Shield non dicono
- Notizie2 settimane fa
LightSpy: APT41 minaccia Utenti iPhone in Asia
- Notizie2 settimane fa
Miner di criptovalute arrestato per aver evaso pagamenti di Server Cloud per 3,5 Milioni di Dollari
- Notizie2 settimane fa
USA, arrestata per un’accusa di Sextortion da 1,7 Milioni di Dollari
- Cyber Security2 settimane fa
Come Nominare il Responsabile per la Transizione Digitale e Costituire l’Ufficio per la Transizione Digitale
- Notizie2 settimane fa
Kapeka: nuova backdoor di Sandworm per l’Est Europa
- Cyber Security2 settimane fa
Fortinet: vulnerabilità FortiClient EMS minaccia le aziende media
- L'Altra Bolla2 settimane fa
Truth Social di Trump lancia una Piattaforma di Streaming TV Live
