Complice il conflitto ucraino, le attività dei gruppi sponsorizzati dagli stati nazionali sono aumentate sensibilmente nell’ultimo anno. Responsabili, oltre alla Russia, anche Iran, Corea del Nord e Cina.
Autore: Redazione SecurityOpenLab
Fra luglio 2021 e luglio 2022 gli attacchi informatici mirati contro le infrastrutture critiche sono passati dal 20% al 40% di tutti gli attacchi agli stati nazionali rilevati da Microsoft. Un picco dovuto per lo più alla guerra ibrida avviata dalla Russia contro l’Ucraina. Russia che ha al contempo aumentato i tentativi di compromettere le aziende IT occidentali, tanto che il 90% degli attacchi russi rilevati nel periodo in esame ha preso di mira gli Stati membri dell’Alleanza Atlantica, e il 48% di questi ha preso di mira aziende IT con sede nei paesi NATO.
Sono alcuni dei dati inclusi nel recente Microsoft Digital Defense Report di quest'anno, da cui emerge tuttavia che la Russia non è il solo Paese ad abbinare l'aggressione politica e fisica agli attacchi informatici. In prima fila figurano anche Iran, Corea del Nord e Cina. Gli APT iraniani hanno lanciato attacchi distruttivi contro Israele e operazioni di ransomware e hack-and-leak contro vittime negli Stati Uniti e nell'UE.
La Corea del Nord ha sponsorizzato una serie di attacchi cyber finalizzati a rubare tecnologia alle aziende aerospaziali e ai ricercatori di tutto il mondo. Un altro attore nordcoreano ha lavorato per ottenere l'accesso alle organizzazioni giornalistiche globali, mentre un terzo ha continuato a tentare, spesso senza successo, di infiltrarsi nelle società di criptovaluta per rubare fondi a sostegno dell'economia del paese.
Passando alla Cina, risulta che abbia aumentato le attività di spionaggio e ha anche utilizzato le sue capacità informatiche per attivare campagne contro nazioni in tutto il sud del mondo, tra cui Namibia, Mauritius e Trinidad e Tobago, tra gli altri. Molti degli attacchi provenienti dalla Cina sono dovuti alla sua capacità di trovare "vulnerabilità zero-day" e compilare in tempi record degli exploit che le sfruttano: una attività intensificata sulla scia di una nuova legge che richiede alle entità in Cina di segnalare al Governo le vulnerabilità che scoprono prima di condividerle con altri.
La scena cyber è padroneggiata anche da un elevato numero di criminali informatici che agiscono a scopo di lucro. In particolare, Microsoft segnala che il cybercrime continua ad aumentare a causa dell'industrializzazione dell'economia del cybercrime, che riduce la barriera delle competenze all'ingresso fornendo un maggiore accesso a strumenti e infrastrutture. Nell'ultimo anno si stima che il numero di attacchi per il furto di password al secondo è aumentato del 74%. Spesso questa attività non è fine a sé stessa, ma è il primo anello di una kill chain che si sviluppa poi in attacchi ransomware.
La buona notizia è questo tipo di incidente è in calo in Nord America e in Europa, mentre aumentano le email di phishing che sfruttano argomenti di stringente attualità.
Anche nel report di Microsoft la propaganda e la disinformazione sono in prima fila. La Russia è protagonista di questo capitolo, con un lungo e articolato lavoro di convinzione dell’opinione pubblica interna ed esterna su diversi argomenti, come il conflitto ucraino, i vaccini occidentali contro il COVID, e altro. Spesso l’attività informatica inizia prima delle azioni sul campo per pilotare l’opinione pubblica fin dalla sua genesi, e sfrutta ampiamente i media sostenuti e influenzati dal governo e i canali dei social media, e beneficia del controllo dei proxy.
Basti pensare alla falsa narrativa sulle presunte armi biologiche e biolaboratori in Ucraina, che ha circolato fino dalla fine del 2021, per preparare l’opinione pubblica all’invasione armata. La Russia comunque non ha l’esclusiva: atteggiamenti simili si sono visti in Cina e Iran.