Come sempre, a fine anno, è tempo di meditati bilanci, anche nel campo della cybersecurity. Una condizione ottimale è quella di giungere a tale appuntamento munito di una serena consapevolezza che si possono prevedere solo le cose che sono già accadute. Ciò costituisce, difatti, il miglior viatico per una duplice e ragionevole riflessione: da un lato, riandare con la memoria a quanto successo in questo anno che sta per finire e, nello stesso tempo, su questa solida base di evidenze empiriche, cercare di proiettare, nel prossimo anno, quanto sin qui già visto.
L’evento più importante, accaduto quest’anno, è senz’altro l’invasione da parte della Federazione Russa dell’Ucraina. La guerra attuale continua a basarsi su sanguinose operazioni cinetiche, guerriglia urbana, attacchi di droni alla popolazione civile, bombardamenti a tappeto di intere città, finanche minacce di utilizzo dell’Armageddon nucleare. Nondimeno, di tutte le lezioni da trarre dal conflitto in corso, non si può sottacere quella di cercare di raggiungere la supremazia nel dominio dell’information warfare: fin dai primissimi giorni di guerra, ambedue i contendenti hanno utilizzato la disinformazione, le campagne informazionali basate sulle fonti aperte e gli attacchi cyber per modellare a proprio vantaggio il corso del conflitto. Del resto, il 24 febbraio 2022, il giorno dell’invasione, un attacco informatico aveva interrotto l’accesso a Internet disabilitando i modem che comunicavano con la rete satellitare KA-SAT di Viasat, la quale fornisce l’accesso alla rete a decine di migliaia di persone in Ucraina e in Europa.
Anche nel corso del prossimo anno si può ragionevolmente supporre che queste attività, basate sull’information e cyber warfare, grazie anche all’interconnessione delle reti, continueranno a colpire infrastrutture critiche quali reti elettriche, cavi sottomarini, siti governativi, siti finanziari e bancari, perlopiù mediante interruzioni della rete tramite attacchi distributed denial of service (DDoS). Vale qui evidenziare che l’Ucraina, all’indomani dell’invasione, aveva chiamato alla mobilitazione cyber globale gli hacktivisti costituendo la “IT Army” e mettendo nel mirino diversi obiettivi russi. Un corrispettivo della “IT Army” può essere considerato il gruppo Killnet del collettivo Legion, una versione russa di Anonymous, emulandone linguaggio, messaggi e immagini, il quale aveva colpito nel mese di maggio scorso diversi siti governativi italiani, quali la Polizia di Stato, il Senato, l’Istituto superiore di sanità, l’Automobile club d’Italia, ecc.
In definitiva, l’impatto della geopolitica nella cybersecurity ha rappresentato, di conseguenza, un aspetto significativo nell’anno appena trascorso, ma lo resterà anche nel prossimo, forse accentuandosi ancor di più. Come esempio di tali eventi si può qui citare l’attacco del gruppo filorusso Conti alla Repubblica del Costa Rica ad aprile scorso, quando sono riusciti ad attaccare il ministero delle Finanze e a paralizzare l’attività di import/export del Paese centroamericano. A seguito di tale attacco è stata dichiarata un’emergenza nazionale, la prima per un attacco ransomware. È difficile ipotizzare il vero movente dietro questo attacco, ma è possibile che questa insolita attività di Conti sia intesa come una sorta di cortina fumogena anche a seguito delle sanzioni contro la Federazione Russia. Sempre nel corso dell’anno appena concluso, lo stesso gruppo è stato protagonista di un data leakage delle proprie chat, a opera di un ricercatore di sicurezza ucraino il quale ha diffuso oltre 60mila messaggi rivelando non solo metodi e tecniche di attacco malevolo, quanto piuttosto procedure organizzative di gestione delle attività criminose, sorprendentemente simili a quelle di una qualsiasi impresa commerciale.
Nel luglio scorso, invece, la Repubblica di Albania ha accusato la Repubblica Islamica dell’Iran di aver orchestrato il massiccio attacco cibernetico che ha colpito diversi siti governativi; ciò ha portato alla decisione politica, come annunciato dallo stesso premier Edi Rama, di rompere “con effetto immediato le relazioni diplomatiche” con il Paese mediorientale. Al personale dell’ambasciata iraniana a Tirana, inoltre, è stato chiesto di lasciare il Paese entro 24 ore.
Se la motivazione geopolitica sembra essere stata quella prevalente rispetto a quella economica – quest’ultima aveva caratterizzato, invece, il 2021 con gli attacchi alla Colonial Pipeline e Kaseya nonché quelli alle infrastrutture sanitarie quali il CED e i servizi informatici della Regione Lazio – essa si è comunque estrinsecata in molteplici cyber estorsioni tramite phishing tra cui vale qui citare il gruppo Lapsus$. Questi aveva iniziato il 2022 con una serie di obiettivi di alto profilo tra cui Nvidia, Ubisoft, Samsung e Microsoft. La peculiarità di Lapsus$, rispetto a molti altri gruppi, è consistito nell’utilizzo delle piattaforme di social media quali Telegram per pubblicizzare i loro attacchi, per condurre sondaggi chiedendo ai lettori di votare quali dati pubblicare dopo l’esfiltrazione degli stessi, ma soprattutto per reclutare impiegati infedeli, promettendo loro una percentuale sui guadagni ottenuti, al fine di accedere ai sistemi aziendali da compromettere. La notorietà improvvisa li portava, tuttavia, nel mirino della polizia britannica, la quale arrestava sette persone, tra cui un sedicenne e un diciassettenne, nel marzo scorso mettendo fine a tali attività criminose.
Un altro aspetto degno di nota è quello dello sviluppo, nel dark web, di gruppi criminali specializzati nel rivendere al miglior offerente ransomware, dati esfiltrati, accessi a reti compromesse in precedenza, ecc. in una sorta di Cybercrime-as-a-Service (CaaS) mutuando tecniche e modalità tipiche della vendita e commercializzazione di applicazioni informatiche legittime. È facile prevedere che questa tendenza possa continuare anche nel 2023 e che l’accesso al crimine informatico possa essere ulteriormente “democratizzato” mediante la messa a disposizione di tecniche e strumenti di facile utilizzo anche per attaccanti malevoli con competenze cibernetiche non sofisticate.
Tra i vettori di attacco più comuni, infine, vi dovrebbero essere ancora il furto di credenziali, le tecniche di ingegneria sociale e quindi il phishing, la misconfigurazione dell’accesso al cloud computing e le vulnerabilità zero days presenti nel software di terze parti.
In ultimo, vale qui evidenziare che un aspetto che non si è ancora proposto in grande stile nel corso del 2022, ma che si può ragionevolmente pensare possa portare a degli sviluppi importanti, nel corso del prossimo anno, è quello relativo e all’intelligenza artificiale (IA) e al machine learning. Il 2023 potrebbe essere l’anno in cui si vedranno i cyber criminali utilizzare e distribuire attacchi basati sull’IA? Probabilmente si, in quanto si può realisticamente ipotizzare uno scenario, almeno in tesi, in cui sia i difendenti che gli attaccanti sarebbero delle potenti IA messe a punto tramite sofisticati apprendimenti automatizzati. Così come si può ipotizzare una sorta di intelligenza congiunta uomo-macchina (human-machine intelligence) una soluzione, oggigiorno, sempre più praticata all’interno delle società tecnologicamente più avanzate.
— — — —
Abbiamo bisogno del tuo contributo per continuare a fornirti una informazione di qualità e indipendente.
