RU→UKR/226 – Crimini informatici, cracker, e cyberwar nel 2022

Copertina del rapporto di CrowdStrike [13].

Glossario, e Qualche numero di Marco Poli Un vecchio adagio complottista recita che a diffondere i virus sono le stesse software house che producono e vendono le suite di protezione per privati e aziende. Per Carità ... noi vogliamo ragionare bene, e con buoni sentimenti consideriamo il lavoro di CrowdStrike [1], azienda stanunitense di cui ho scritto nell'ultimo post e che redige un rapporto annuale sulle minacce informatiche globali. Ogni anno, CrowdStrike pubblica rapporti statistici sull'attività ostile rilevata dai propri software operanti nei sistemi dei clienti. Anche qui, bisogna fare una premessa : una seria e attendibile analisi potrebbe arrivare solo da un soggetto terza parte ( fuori dal contratto commerciale tra fornitore e utente ), e non dal fornitore di un prodotto commerciale che ha interessi economici nel dettaglio esposto. 2 Innanzitutto, alcune definizioni terminologiche necessarie a comprendere il prossimo paragrafo. 2.1 – attacco hands-on-keyboard A proposito degli attacchi hands-on-keyboard ( lett. ''con le mani sulla tastiera del pc'' ): Cosa sono gli attacchi hands-on-keyboard? Un metodo per eseguire comandi da parte di mani umane reali, anziché eseguire operazioni in modo programmatico e automatico come l'interfaccia a riga di comando [ inglese : command line interface, CLI ], PowerShell, e nascondere file e directory secondo la vecchia scuola dell'hacking. Questa tecnica è importante negli attacchi sofisticati in cui un avversario umano è coinvolto nell'intrusione, ed è attivo verso il bersaglio. [2] 2.2 – breakout A proposito dell'internet breakout : Che cos'è l'internet breakout? Definizione rapida: un breakout nell'internet è il punto in cui i dati passano da una rete privata a Internet pubblica. Quindi un internet breakout potrebbe essere il tuo router Wi-Fi locale a casa o il gateway dei tuoi sensori IoT. In una rete cellulare, è il punto in cui i dati lasciano la rete dell'operatore. Quindi per le reti locali come Wi-Fi o Bluetooth il breakout avviene solitamente nella posizione del dispositivo stesso, per le reti cellulari è in un luogo presso il provider di servizi – [ ad esempio ] quello che ha venduto la carta SIM [ ... ]. [3] A proposito del tempo di breakout ( inglese : breakout time ): Inganno informatico: tempi di breakout, costi di violazione e inefficienze del SOC [ ... ] Il tempo di breakout descrive il tempo impiegato da un utente malintenzionato per ottenere l'accesso iniziale, scansionare la rete locale, implementare exploit e iniziare a spostarsi lateralmente nell'ambiente [ ... ]. [4] 2.3 – broker A proposito dei broker per l’accesso iniziale ( inglese : initial access broker, IAB ): Initial Access Broker: chi sono? Di che cosa si tratta? Gli Initial Access Broker (o anche detti IAB o broker per l’accesso iniziale) sono specifici hacker che forniscono al comparto della criminalità informatica l’accesso ai sistemi informatici delle aziende. Sostanzialmente la figura dell’IAB è un intermediario che si interpone tra l’azienda vittima e l’organizzazione di hacker che organizza e indirizza gli attacchi. L’IAB hacker lavora alla costante ricerca di aziende dai sistemi informatici vulnerabili. Trovata la vulnerabilità sfruttabile, l’hacker tenterà l’accesso al sistema e verificherà la portata dei dati a disposizione: più importante sarà la tipologia di dati rilevati maggiore sarà il valore dell’informazione. Accertata la portata dell’accesso, l’hacker rivende l’informazione sulle piattaforme deep (in particolare nei forum) in attesa del miglior offerente [ ... ]. [5] 2.4 – malware Termine generico che raccoglie vari tipi di codice informatico scritto per attaccare un sistema : Malware Software che, una volta eseguito, danneggia il funzionamento e la sicurezza del sistema operativo; il termine deriva dalla contrazione di malicious e software e significa letteralmente “programma malvagio”. Sempre più diffusi, i m. si trasmettono via internet; spesso tramite la posta elettronica, ma anche attraverso la semplice navigazione. Tra le categorie di m. più diffuse si ricordano virus, trojan horse, keylogger, worm e backdoor. Esistono poi i m. poliformici (che cambiano continuamente forma, pur mantenendo inalterata la funzionalità) e quelli metamorfici (che alterano completamente il loro codice), entrambi particolarmente difficili da individuare. [6] 2.5 – movimento laterale E' uno dei fondamentali dell'azione di attacco, successivo al tempo di breakout ( inglese : lateral movement ): Movimento laterale [ ... ]. Il movimento laterale si riferisce alle tecniche che un cyberattaccante utilizza, dopo aver ottenuto l'accesso iniziale, per spostarsi più in profondità in una rete alla ricerca di dati sensibili e altre risorse di alto valore. Dopo essere entrato nella rete, l'aggressore mantiene l'accesso continuo muovendosi nell'ambiente compromesso e ottenendo maggiori privilegi utilizzando vari strumenti. Il movimento laterale è una tattica chiave che distingue le minacce persistenti avanzate [ inglese : advanced persistent threats, APT ] di oggi dai semplici attacchi informatici del passato [ ... ]. [7] 2.6 – phishing Il termine è una variante del verbo inglese fishing ( trad. : pescare ) influenzata dal termine phreaking ( crasi di phone phreaking, che indica vari metodi di inganno informatico telefonico )[8], e specifica uno dei metodi di esfiltrazione dei dati personali più ''antichi'', praticato dagli albori della rete informatica estesa : Che cos’è il phishing e in cosa consiste Il metodo d’attacco preferito, fin dagli albori del web, è l’email. Il mittente del messaggio di posta elettronica sembra un’organizzazione attendibile, come la banca o la posta. Il testo ci avvisa che c’è un problema relativo al nostro account, in genere legato alla sicurezza. Per risolverlo ci invita a cliccare su un link che, però, riporta a un sito fittizio controllato dal cracker. Difficile accorgersi della differenza, dato che la pagina riproduce fedelmente il portale dell’istituto bancario o della posta. Così l’utente inserisce i propri dati, senza rendersi conto che li sta regalando al criminale. Non solo, una volta entrati sul sito fasullo, è possibile che il nostro dispositivo venga infettato da virus, come trojan horse e malware [ ... ]. [9] 2.7 – SIM swap E' un metodo criminale ''antico'' – iniziò a essere praticato agli albori della telefonia mobile – letteralmente lo scambio delle SIM cioè lo spostamento del numero di cellulare della vittima da una SIM a un'altra, per usarne fraudolentemente l'identità : SIM swap: come funziona I truffatori normalmente sostituiscono la SIM richiedendone una nuova agli operatori, seguendo le procedure di furto o deterioramento; oppure avviando un processo di portabilità del numero verso un altro gestore, il tutto all’insaputa del reale intestatario della stessa. È proprio questo il caso in cui è importante ricordarsi di proteggere i tuoi dati; potresti non pensarci, ma mani esperte potrebbero riuscire a clonare una SIM anche solo con un’accurata ricerca sui tuoi profili social: è infatti grazie a tecniche di social engineering che spesso riescono a spacciarsi per i veri proprietari delle SIM. In alcuni e più gravi casi, i truffatori sono arrivati a corrompere chi lavora presso store e customer care dei provider [ ... ]. [10] 2.8 – vishing Un tipo di truffa : Cos’è il vishing? Il significato di ‘vishing’ deriva dall’unione fra due parole: ‘voice’ e ‘phishing’. Un attacco di vishing è simile al phishing, solo che avviene per telefono o tramite messaggio vocale. Rientra fra i crimini informatici perché è una tecnica usata dai truffatori per accedere al denaro o ai dati personali delle vittime. I malintenzionati potrebbero ad esempio cercare di accedere al conto corrente di una persona, rubare il suo numero di carta di credito, o addirittura convincere la vittima a effettuare un bonifico a loro favore [ ... ]. [11] Nella categoria del phishing, sono simili il QRishing e lo smishing [12]. 3 Il rapporto distribuito quest'anno tratta gli episodi del 2022, e sciorina questi dati [13]: ● nel 71% degli eventi rilevati, l'attacco è stato portato senza l'iniezione di malware ( +10% rispetto al 2021 ); ● +95% degli attacchi al cloud, e numero degli autori triplicato; ● +50% delle intrusioni agite direttamente da un attaccante umano ( hands-on-keyboard attacks ); ● il tempo medio di breakout è sceso da 98 a 84 minuti; ● +112% degli annunci postati dagli access broker nel dark web; ● aumento delle tattiche di ingegneria sociale, come il SIM swapping e il vishing; ● ... 3.1 In un sotto-rapporto vengono evidenziati i gruppi di cracker ( crasi di criminal hacker, hacker criminale, dal punto di vista d'oltre Atlantico ) più pericolosi [14]: ● Cozy Bear, Federazione Russa; ● Scattered Spider ( Paese sconosciuto ); ● Labyrinth Chollima, Corea del Nord; ● Cosmic Wolf, Turchia. Guardate il caso : nessun gruppo statunitense, canadese, inglese oppure francese ... tutti angeli, gli smanettoni di quelle parti ! A parte le battute, nel post precedente ho evidenziato come CrowdStrike sia un'azienda profondamente sinergica con gli apparati USA. 4 Per avere una panoramica al volo sull'eCrime, Website Rating ha pubblicato una pagina ripilogativa di ''oltre 50 statistiche, fatti e tendenze sulla sicurezza informatica'' [15]. = Note [1] : ''Archivio'', Marco Poli, VK, 9 settembre 2023, [ https://vk.com/wall170191717_3409 ]; FB : [ https://www.facebook.com/Bufalo/posts/10230283267322091 ]; ODB : [ https://orlodelboccale.blogspot.com/2023/09/ruukr225-crowdstrike.html ]; ODB__t : [ https://odbtech.blogspot.com/2023/09/crowdstrike.html ]. [2] : trad. da ''What are hands-on-keyboard attacks? (hands-on-keyboard attacks)'', PRSOL:CC, [ https://www.prsol.cc/what-are-hands-on-keyboard-attacks-hands-on-keyboard-attacks/ ]. [3] : trad. da ''What is Internet Breakout?'', Kalliopi Papanikolaou, emnify, 3 febbraio 2022, [ https://www.emnify.com/iot-glossary/internet-breakout ]. [4] : trad. da ''Cyber Deception – Breakout Time, Breach Costs and SOC Inefficiencies'', CyberTrap Blog, 13 dicembre 2022, [ https://cybertrap.com/blog/breakout-time-breach-costs-soc-inefficiencies/ ]. [5] : ''Initial Access Broker: chi sono? Di che cosa si tratta?'', Arianna Rigoni, Cyberment, [ https://cyberment.it/sicurezza-informatica/initial-access-broker-chi-sono-di-che-cosa-si-tratta/ ]. [6] : ''Malware'', Enciclopedia on line, Treccani, [ https://www.treccani.it/enciclopedia/malware ]; vedi : ''Malware: cosa sono, come riconoscerli e come rimuoverli'', Paolo Tarsitano, Cyber Security 360, 1° ottobre 2019, [ https://www.cybersecurity360.it/nuove-minacce/malware-cosa-sono-come-riconoscerli-e-come-rimuoverli/ ]. [7] : trad. da ''Lateral Movement'', CrowdStrike, 17 aprile 2023, [ https://www.crowdstrike.com/cybersecurity-101/lateral-movement/ ]. [8] : ''Phishing'', Mark Liberman, Language Log, University of Pennsylvania, 22 settembre 2004, [ http://itre.cis.upenn.edu/~myl/languagelog/archives/001477.html ]. [9] : ''Phishing, cos’è e come proteggersi: la guida completa'', Rosita Rijtano, Cyber Security 360, 21 febbraio 2022, [ https://www.cybersecurity360.it/nuove-minacce/phishing-cose-e-come-proteggersi-la-guida-completa/ ]. [10] : ''Torna a SIM swap: come evitare la truffa della clonazione SIMSIM swap: come evitare la truffa della clonazione SIM'', N26, [ https://n26.com/it-it/blog/sim-swap ]; vedi : ''Attacco SIM swapping: cos’è, come funziona, come difendersi'', Paolo Ballanti, Cyber Security 360, 1 dicembre 2020, [ https://www.cybersecurity360.it/nuove-minacce/attacco-sim-swapping-cose-come-funziona-come-difendersi/ ]. [11] : ''Vishing: cos’è e come difendersi'', N26, [ https://n26.com/it-it/blog/vishing ]. [12] : ''QRishing, vishing e smishing, quando il telefono diventa vettore di truffe: come difendersi'', Giancarlo Samele e Giuseppe Tulli, Cyber Security 360, 9 novembre 2022, [ https://www.cybersecurity360.it/nuove-minacce/qrishing-vishing-e-smishing-quando-il-telefono-diventa-vettore-di-truffe-come-difendersi/ ]. [13] : ''CrowdStrike 2023 Global Threat Report'', CrowdStrike, [ https://www.crowdstrike.com/global-threat-report/#%20 ]; { PDF }: [ https://www.crowdstrike.com/wp-content/uploads/2023/02/Global-Threat-Report-2023-infographic.pdf ]; { ITA }: [ https://www.crowdstrike.com/resources/infographics/global-threat-report-2023-it/ ]; { PDF }: [ https://www.crowdstrike.com/wp-content/uploads/2023/02/crowdstrike-global-threat-report-2023-infographic-it.pdf ]; vedi : ''Top Cloud Attack Techniques and How to Defend Against Them'', CrowdStrike, [ https://www.crowdstrike.com/resources/infographics/top-cloud-attack-techniques-and-how-to-defend-against-them/ ]; { PDF }: [ https://www.crowdstrike.com/wp-content/uploads/2023/07/crowdstrike-insiders-guide-infographic.pdf ]. [14] : ''CrowdStrike 2023 Cloud Risk Report: What You Need to Know. The Rise of the Cloud-Conscious Adversary'', CrowdStrike, [ https://www.crowdstrike.com/resources/infographics/crowdstrike-2023-cloud-risk-report/ ]; { PDF }: [ https://www.crowdstrike.com/wp-content/uploads/2023/06/crowdstrike-2023-cloud-risk-report-infographic.pdf ]. [15] : ''Oltre 50 statistiche, fatti e tendenze sulla sicurezza informatica per il 2023'', Matt Ahlgren, Website Rating, 11 agosto 2023, [ https://www.websiterating.com/it/research/cybersecurity-statistics-facts/ ]. === Marco Poli aka Astio, Bufalo --- { prima pubblicazione del post su VK, il 10 settembre 2023 [16]; su FB : [17] }.

[ ... ]