Giampaolo Dedola, Senior Security Researcher - GReAT – Kaspersky, fa il punto sulle attività del suo team di ricerca, sulle dinamiche di lavoro nella sua azienda e preannuncia qualche previsione cyber per il 2023.
Autore: Redazione SecurityOpenLab
In occasione dell’apertura del nuovo Trasparency Center di Kaspersky a Roma abbiamo avuto l’opportunità di incontrare Giampaolo Dedola, Senior Security Researcher - GReAT - Kaspersky. Un ricercatore di grande esperienza che lavora insieme agli altri membri del Global Research & Analysis Team fondato nel 2008. Un gruppo di circa 40 esperti di tutte le nazionalità, che lavorano di concerto per scoprire e analizzare le minacce informatiche.
Dedola ha una visione privilegiata sui gruppi APT e cybercriminali, sulle campagne che portano avanti, sugli strumenti che usano per perpetrare le proprie attività dannose e ottenere un tornaconto. Abbiamo quindi chiesto al ricercatore di anticiparci qualche previsione cyber per il 2023.
È po’ presto per fare previsioni. Possiamo però descrivere lo scenario attuale ed evidenziare alcune delle minacce che presumibilmente continueremo a vedere anche nel prossimo futuro. Per esempio, le attività legate al “Big Hunting Game”, note anche come attacchi ransomware mirati, continuano a rappresentare una delle principali minacce. Nel corso dell’anno abbiamo osservato delle evoluzioni, come un uso sempre più frequente di malware multipiattaforma, in grado di colpire varie tipologie di sistemi operativi.
Abbiamo osservato anche una maggiore industrializzazione dell’ecosistema criminale che opera in questa tipologia di attacchi. Gli attaccanti gestiscono le attività in maniera più efficiente e gli investimenti fatti fanno pensare che continueranno ad operare e crescere anche nel prossimo futuro.
Inoltre, la crisi geopolitica in Europa continuerà a portare benefici ai criminali. La mancata cooperazione tra forze dell’ordine di vari paesi supporterà l’attività dei criminali riducendo le probabilità d’identificazione degli attaccanti e spesso l’impossibilità di un loro arresto.
Un altro fenomeno interessante è relativo all’aumento di attacchi alla supply chain e in particolare quelli effettuati tramite la compromissione di pacchetti scaricabili dai repository ufficiali quali Pypi e NPM. Quest’ultimi sono archivi usati per distribuire pacchetti di codice per linguaggi di scripting, rispettivamente Python e Javascript, sono molto diffusi ed utilizzati in migliaia di sistemi. Purtroppo alcune carenze di sicurezza rendono relativamente semplice la compromissione di singoli pacchetti e consentono agli attaccanti di eseguire codice dannoso su tutte le macchine che ne fanno uso.
Questo non è una domanda semplice a cui rispondere. Quasi tutta la nostra attività giornaliera è dedicata al contrasto delle minacce e questo comporta una continua attività di monitoraggio, analisi e generazione di contromisure di blocco. Difficilmente spendiamo risorse per generare statistiche che mostrino quante minacce sono state bloccate specificatamente dal nostro team. Di solito queste vengono incluse nelle statistiche generali delle minacce rilevate dall’azienda.
Ad ogni modo una piccola parte di queste analisi, quelle più rilevanti, vengono utilizzate per generare dei report d’intelligence e questi sono più semplici da tracciare. Durante l’anno in corso abbiamo descritto 28 minacce d’interesse relative ad attacchi di tipo APT diretti verso l’Europa e 35 rapporti relativi a minacce legate al mondo cyber crime. Bisogna però evidenziare che relativamente agli attacchi APT, la visibilità dei singoli vendor è parziale e spesso minacce che descriviamo come relative ad altri continenti, in realtà impattano anche l’Europa.
Nel caso del cyber crime, invece, molti dei report non sono specificatamente legati a campagne di attacco, ma ad evoluzioni tecniche della minaccia. In questo caso la minaccia spesso impatta anche l’Europa, ma il report non è specificatamente associato ad una lista di paesi e quindi non è incluso nel suddetto numero.
Identificare la provenienza degli attori è sempre complessa in quanto l’attribuzione dipende da tante variabili, in primis caratteristiche tecniche dei file che possono essere anche manipolate dall’attaccante per sviare gli analisti. Occasionalmente commettono degli errori e lasciano artefatti che indicano la lingua parlata dall’attaccante, ma questi casi sono un’eccezione piuttosto che la regola. Per questo motivo in Kaspersky preferiamo non speculare sull’attribuzione e non indicare in maniera certa la nazione dietro l’attacco.
Relativamente agli APT attivi in Europa abbiamo osservato gruppi che parlano le seguenti lingue: russa, inglese, cinese, nord coreana, hindi oltre che degli attacchi mirati effettuati con un malware sviluppato da attori di lingua italiana. Le finalità degli attacchi identificati sono principalmente di spionaggio, ma abbiamo investigato anche su azioni di sabotaggio.
Per quanto riguarda il cybercrime, l’attribuzione diventa anche più complessa in quanto spesso si parla di ecosistemi criminali con gruppi che spesso non si occupano di tutte le fasi dell’attacco, ma le varie attività vengono svolte da soggetti diversi, spesso provenienti da vari paesi. Pensiamo al caso degli attacchi ransomware mirati. Alcuni dei malware che cifrano i dati sono legati ad attori di lingua russa, ma chi svolge le attività di prima infezione e poi quelle dei movimenti laterali e conseguente compromissione dell’infrastruttura sono soggetti diversi.
In generale però i report relativi al cyber crime e relativi all’Europa hanno coperto varie tipologie di minacce, dagli attacchi ransomware mirati, che rimangono uno dei principali problemi del mondo digitale, ai password stealer distribuiti per sottrarre dati sensibili alle ignare vittime. Inoltre abbiamo descritto trojan bancari in grado di rubare i dati di accesso al conto compromettendo gli smartphone Android, malware utilizzati in servizi pay-per-install, ovvero malware che compromettono i sistemi che poi vengono venduti ad altri criminali. Ci sono stati poi spyware distribuiti come software per l’amministrazione di reti, fino alle attività degli hacktivisti interessati alla crisi geopolitica in Europa e che supportano le varie fazioni.
Da quando anni fa ho iniziato ad occuparmi di analisi minacce informatiche ho sempre guardato con ammirazione il lavoro dei vendor di sicurezza e in particolare delle società che sono in prima linea nel contrasto ai criminali e che realmente possono fare la differenza.
Tra questi il nome di Kaspersky è sempre stato uno dei più rinomati, sia per qualità dei prodotti che per le capacità tecniche dei suoi membri. Da molto prima che entrassi nell’azienda il GReAT era considerato da una buona parte della community di cyber security come il miglior gruppo di ricercatori nel mondo e si era contraddistinto per la qualità delle sue ricerche e la scoperta di alcuni degli attacchi più avanzati mai identificati. Per questi motivi, quando sono stato contattato dalle risorse umane dell’azienda, non ho avuto dubbi dal punto di vista professionale.
Una volta all’interno ho poi potuto apprezzare altri aspetti del gruppo a cui prima non pensavo. L’azienda investe molto sulle attività dei ricercatori e presta molta attenzione alle necessità dei singoli. Mette a disposizione una grande base di dati specificatamente costruita per combattere minacce informatiche e offre ai suoi ricercatori ampia visibilità su di essa. Inoltre i ricercatori non sono costretti a focalizzarsi solo su specifiche attività, ma sono liberi di spaziare a seconda dei propri interessi. Questa è una condizione che permette ai singoli di dare libero sfogo alle proprie passioni e raggiungere risultati migliori, ma purtroppo è una caratteristica poco comune in altre organizzazioni.
Inoltre il ricercatore si trova coinvolto in un team di persone con competenze molto elevate e dove si può apprendere da ciascuno dei membri. Questo, unito al fatto che i colleghi provengono da varie parti del mondo, aiuta a crescere velocemente sia dal punto di vista umano che professionale.
Un altro degli aspetti più importanti è l’attenzione che l’azienda e le persone prestano all’etica professionale. Questo è un aspetto spesso sottovalutato, ma che nel nostro lavoro fa la differenza. L’azienda ha deciso d’impegnarsi nella sicurezza difensiva e rimanere indipendente. Non importa chi lancia l’attacco, siano essi europei, asiatici, americani o africani, il nostro obiettivo è bloccare le minacce informatiche o quantomeno complicare la vita agli attaccanti.
Questa è una scelta che condivido, ma che nel mondo attuale si confronta con un contesto dove gli attaccanti sono spesso sponsorizzati da governi che usano la cyber offensive per le loro finalità geopolitiche. Questo ha portato a una condizione dove poche aziende sono disposte a rimanere neutrali e spesso si autocensurano evitando di pubblicare informazioni su determinati gruppi.
Avere un’azienda e un gruppo di persone che non ti limitano, ma anzi ti supportano e proteggono, è un aspetto fondamentale per poter fare il nostro lavoro al meglio e continuare a proteggere le singole persone dalle minacce di questo nuovo mondo digitale.