Nell’era digitale, la sicurezza informatica è diventata una priorità per governi, aziende e individui. Al centro di questa crescente preoccupazione si trovano le APT, o minacce persistenti avanzate. Queste minacce, spesso sostenute o direttamente orchestrate da entità statali, rappresentano operazioni cibernetiche sofisticate e mirate, progettate per infiltrarsi e mantenere l’accesso a reti specifiche per periodi prolungati. L’obiettivo? Spionaggio, furto di dati e, in alcuni casi, sabotaggio.

Le APT sono diventate uno degli strumenti preferiti nelle arsenali cibernetici delle nazioni, offrendo la capacità di condurre operazioni clandestine contro avversari senza mai attraversare fisicamente i loro confini. Questa forma di guerra, combattuta nell’ombra del cyberspazio, ha ridefinito le regole del conflitto nel XXI secolo.

Matrice Digitale ha una sezione dedicata aggiornata quotidianamente sui rischi, azioni e le strategie messe in piedi dalle APT

1. Introduzione alla Guerra Cibernetica

La guerra cibernetica rappresenta l’evoluzione dei conflitti nell’era digitale. Attraverso attacchi informatici, spionaggio e disinformazione, le nazioni cercano di guadagnare vantaggi strategici senza ricorrere alla forza fisica.

La storia della guerra cibernetica

Il concetto di utilizzare computer e internet come mezzo di conduzione del conflitto è familiare. La storia della guerra cibernetica risale agli anni ’80, quando gli Stati Uniti e l’Unione Sovietica si sono impegnati in una corsa agli armamenti della Guerra Fredda per sviluppare tecnologia informatica avanzata. Con la diffusione di internet negli anni ’90, il potenziale per la guerra digitale e la spionaggio è aumentato. Negli anni recenti, abbiamo visto numerosi esempi di guerra cibernetica a livello statale. Nel 2010, gli Stati Uniti e Israele hanno lanciato il virus Stuxnet, progettato per interrompere il programma nucleare iraniano. Nel 2017, gli Stati Uniti hanno accusato la Russia di aver hackerato le elezioni statunitensi, portando a tensioni tra i due paesi.

Tipi di attacchi di guerra cibernetica

Esistono molti tipi di attacchi nella guerra cibernetica che possono essere utilizzati per interrompere, disabilitare o rubare informazioni sensibili da sistemi informatici, reti e dispositivi. Alcune delle armi cibernetiche standard includono:

• Attacchi malware: utilizzano software dannoso, come virus, worm o cavalli di Troia, per infiltrarsi e danneggiare sistemi o rubare informazioni sensibili.
• Attacchi DDoS (Distributed Denial of Service): sovraccaricano una rete o un sito web con traffico o richieste, rendendolo indisponibile agli utenti legittimi.
• Attacchi di phishing: inviano email o messaggi falsi che sembrano provenire da fonti legittime nel tentativo di ingannare il destinatario a rivelare informazioni sensibili o fare clic su un link dannoso.
• Attacchi man-in-the-middle: intercettano e alterano la comunicazione tra due parti senza che queste lo sappiano.
• Attacchi SQL injection: iniettano codice dannoso nel database di un sito web attraverso una debolezza nel processo di convalida dell’input del sito.
• Attacchi ransomware: cifrano i file della vittima e richiedono un riscatto per ripristinare l’accesso.
• Attacchi alla catena di approvvigionamento: compromettono la catena di approvvigionamento di un’azienda o organizzazione per accedere ai suoi sistemi o dati e nel caso della guerra cibernetica sono spesso aziende che forniscono servizi strategici allo Stato ed alla sua Difesa.

Per approfondire gli attacchi informatici, consultare lo speciale sulla cybersecurity e sicurezza informatica

2. Corea del Nord: L’ombra silenziosa nel cyberspazio

La Corea del Nord, nonostante le sue limitate risorse tecnologiche, ha dimostrato una notevole capacità nel condurre operazioni cibernetiche.

Kimsuky

L’attore nordcoreano trascurato opera presumibilmente per il governo nordcoreano. Mira principalmente la Corea del Sud, estendendosi a Giappone, Vietnam e Medio Oriente in settori come chimica, elettronica e sanitario. Utilizzano tattiche di ingegneria sociale, compromissioni web e file torrent per attaccare. Sfruttano vulnerabilità in programmi come Hangul Word Processor e Adobe Flash, avendo anche accesso a vulnerabilità zero-day. La loro infrastruttura di comando si basa su server compromessi e piattaforme cloud, mostrando una crescente sofisticazione. Utilizzano una vasta gamma di malware, sia per spionaggio che per attacchi distruttivi. Leggi tutte le notizie su Kimsuky

Lazarus

Lazarus Group è comunemente ritenuto gestito dal governo nordcoreano, motivato principalmente dal guadagno finanziario come metodo per eludere le sanzioni a lungo termine contro il regime. Emerse nei media nel 2013 con attacchi coordinati contro emittenti e istituti finanziari sudcoreani usando DarkSeoul, un programma che sovrascrive parti del master boot record delle vittime. Nel novembre 2014, un’ampia violazione di Sony Pictures fu attribuita a Lazarus. L’attacco si distinse per la sua vasta penetrazione nelle reti Sony e per la grande quantità di dati esfiltrati e divulgati. L’FBI collegò l’attacco a Sony all’attacco DarkSeoul precedente, attribuendo ufficialmente entrambi gli incidenti alla Corea del Nord.

Leggi tutte le notizie su Lazarus

Reaper

Reaper, noto anche come APT37, è un terzo gruppo APT della Corea del Nord, spesso collegato al più famoso Lazarus. Il suo obiettivo principale è la Corea del Sud, ma si estende anche a Giappone, Vietnam e Medio Oriente. Si concentra su vari settori, tra cui chimica, elettronica, produzione, aerospaziale e automobilistico.

Leggi tutte le notizie su Reaper

3. Russia: strategie digitali e disinformazione

La Russia ha perfezionato l’arte della guerra dell’informazione, utilizzando una combinazione di attacchi cibernetici e campagne di disinformazione per influenzare l’opinione pubblica e destabilizzare i suoi avversari.

Fancy bear

APT 28 è un gruppo di minaccia attribuito alla Direzione Principale dell’Intelligence del Generale Russo, come indicato da un’incriminazione del Dipartimento di Giustizia degli Stati Uniti nel luglio 2018. Si ritiene che il gruppo abbia compromesso la campagna di Hillary Clinton e altre organizzazioni democratiche nel 2016 per interferire con le elezioni presidenziali statunitensi. APT 28 è attivo dal gennaio 2007. Il gruppo ha mostrato interesse per i governi e le organizzazioni di sicurezza dell’Europa orientale, fornendo al governo russo la capacità di prevedere le intenzioni dei responsabili politici e di valutare la sua influenza sull’opinione pubblica.

Leggi tutte le notizie su Fancy Bear

APT 29, Cozy Bear, The Dukes

I Dukes sono un gruppo di cyber-spionaggio legato alla Federazione Russa attivo dal 2008. Mirano principalmente a governi occidentali, think tank e altre organizzazioni correlate. Utilizzano un’ampia gamma di malware, come MiniDuke e CosmicDuke. Hanno condotto campagne di spear-phishing su larga scala, caratterizzate da attacchi rapidi e massicci, ma anche campagne più mirate e furtive. Le loro attività riflettono gli interessi di politica estera e di sicurezza della Russia ed il loro nome più noto è Cozy Bear.

Leggi tutte le notizie su Cozy Bear

Sandworm

Sandworm Team è un gruppo russo di cyberespionaggio che opera dal 2009 circa. Il gruppo è probabilmente composto da pro-hacktivisti russi. Sandworm Team prende di mira principalmente entità ucraine associate all’energia, ai sistemi di controllo industriale, agli SCADA, al governo e ai media. Sandworm Team è stato collegato all’attacco al settore energetico ucraino della fine del 2015.

Leggi tutte le notizie su Sandworm

FIN7

FIN7 è un gruppo motivato da finanze che ha mirato principalmente ai settori retail, ristorazione e ospitalità degli Stati Uniti dal 2015. Utilizzano spesso malware per i punti vendita. Una parte di FIN7 operava attraverso una società di copertura chiamata Combi Security. Anche se a volte viene chiamato Carbanak o Anunak, questi sembrano essere due gruppi distinti che usano lo stesso malware Carbanak. Nonostante gli arresti riguardassero il cervello dietro Carbanak e non FIN7, i team di ricerca sulla sicurezza continuano a collegare quest’arresto a tutte le attività di FIN7.

Leggi tutte le notizie su FIN7

4. Iran: Cyberattacchi e difesa

L’Iran ha sviluppato capacità cibernetiche sia offensive che difensive, mirando a proteggere le proprie infrastrutture critiche e a colpire i suoi nemici.

Magic Hound, APT 35, Cobalt Illusion, Charming Kitten:

Magic Hound è un gruppo di minaccia ritenuto sostenuto dall’Iran, le cui attività sono state rilevate fin dal 2014. Questo gruppo ha principalmente rivolto le sue attenzioni verso entità nei settori dell’energia, del governo e della tecnologia, specialmente quelle situate in o associate all’Arabia Saudita.

Leggi tutte le notizie su Magic Hound

MuddyWater, Seedworm, TEMP.Zagros, Static Kitten

MuddyWater è un APT attivo nel corso del 2017, che ha preso di mira vittime in Medio Oriente utilizzando vettori in memoria basati su Powershell, in una serie di attacchi ora identificati come “Living off the land”, poiché non richiedono la creazione di nuovi file binari sulla macchina della vittima, mantenendo così un profilo di rilevamento basso e una minima traccia forense.

Gli operatori dietro MuddyWater sono probabilmente motivati dall’interesse per la spionaggio, deduciamo queste informazioni dall’analisi dei dati e dei comportamenti dei backdoor. Abbiamo anche scoperto che, nonostante la forte prevalenza di vittime dal Pakistan, i bersagli più attivi sembrano essere in Arabia Saudita, UAE e Iraq. Tra le vittime, identifichiamo una varietà di entità con una maggiore attenzione ai governi, alle compagnie di telecomunicazioni e alle compagnie petrolifere.

Leggi tutte le notizie su Muddy Water

5. Bielorussia

UNC1151

UNC1151 è autore di una serie di operazioni di informazione che, con una moderata fiducia, fanno parte di una campagna di influenza più ampia, in linea con gli interessi di sicurezza russi, in corso dal marzo 2017. Queste operazioni hanno principalmente preso di mira il pubblico in Lituania, Lettonia e Polonia, promuovendo narrazioni critiche della presenza della NATO in Europa orientale. Oltre a ciò, sono state utilizzate anche narrazioni anti-USA e legate al COVID-19 per rafforzare l’agenda anti-NATO. La campagna è stata soprannominata “Ghostwriter” da cui il gruppo ha preso un altro nominativo in aggiunto alla sigla UNC1151.

Russia – Ucraina: prima Guerra Cibernetica mediatica della Storia

Il conflitto in Ucraina è stato un campo di battaglia sia fisico che digitale. Gli attacchi cibernetici hanno giocato un ruolo cruciale nel conflitto, segnando un precedente nella storia della guerra moderna.

La guerra cibernetica in Ucraina è iniziata con gli attacchi Wiper dei russi che hanno neutralizzato la connessione satellitare di ViaSat il giorno prima di invadere militarmente il territorio e si è articolata in diversi segmenti di battaglia che vanno dalla propaganda ed arrivano a infezioni con strumenti classici.

Nei giorni del conflitto, i russi hanno utilizzato diversi wiper per neutralizzare i dati presenti nei dispositivi infetti, ma i danni procurati non hanno scalfito i sistemi militari degli ucraini pur avendo avuto un notevole successo.

Il conflitto Ucraino ha aperto diversi dibattiti in televisione che hanno confuso le idee ai telespettatori se si considera l’accavallamento tra operazioni militari ed il ruolo degli attivisti di Anonymous scemato nel tempo dopo diverse richieste a Putin e con azioni che hanno compromesso sistemi civili russi come la tv di stato o hanno in alcuni casi esfiltrato dati da diverse agenzie di stato.

Leggi tutte le notizie su Anonymous

Ad Anonymous si è unito Against The West che in esclusiva mondiale è stato identificato da Matrice Digitale come un APT al servizio della NATO. Nel corso del tempo, l’attenzione del gruppo si è spostata più sulla Cina che sul conflitto russo

Anonymous è una vecchia conoscenza di Matrice Digitale. Più volte intervistati dalla redazione insieme ai “cugini” di LulzSec, la cellula italiana si è schierata con le politiche atlantiste in contrapposizione ai due gruppi di hacktivisti russi più noti: Killnet – Legion e NoName057

Killenet è il primo gruppo di hacktivisti specializzati in attacchi DDOS e che in esclusiva mondiale Matrice Digitale ha intervistato insieme al battaglione Legion. Hanno più volte colpito l’Italia e non sempre con successo.

Leggi tutte le notizie su Killnet

NoName057 è un altro gruppo di hacktivisti russi che utilizzano gli attacchi DDOS e sono stati autori di diversi attacchi informatici costati la testa al direttore dell’ACN Baldoni in Italia. NoName057 è stato intervistato in esclusiva mondiale da Matrice Digitale più di una volta, avvisando di colpire l’Italia quanto prima, confermando poi l’indiscrezione fornita.

Leggi tutte le notizie su NoName057

La guerra dei bot social ha contrapposto la “propaganda russa” all’emergere della propaganda targata NAFO, una alleanza atlantica di propagandisti social che diffondono contenuti contro la Russia e creano liste di proscrizione sui social. Secondo uno studio dell’università di Adelaide, Australia, ad aver vinto la guerra dei bot è stata questa volta la propaganda atlantista.