La guerra non è poi così lontana, ed il crimine informatico potrebbe giovarne

La guerra non è poi così lontana, ed il crimine informatico potrebbe giovarne
(ansa)
3 minuti di lettura

Il drammatico conflitto cui stiamo assistendo è destinato ad accelerare il processo di difesa cibernetica di governi ed aziende. Abbiamo già discusso del rischio “spillover,” ovvero che un’arma cibernetica utilizzata da una delle parti in guerra possa avere ripercussioni sui sistemi informatici su scala globale.

Mentre in Italia ci accingiamo a presentare ufficialmente la strategia di cybersicurezza nazionale per i prossimi quattro anni, a livello globale le istituzioni si interrogano sui potenziali effetti del conflitto nel medio termine.

A tal proposito tuonano come un inquietante monito le parole del segretario generale dell'Interpol, Jurgen Stock, il quale ritiene che tra un paio d'anni malware sviluppati da stati ed armi cibernetiche saranno disponibile nell’ underground criminale. Presente al World Economic Forum di Davo, Stock, ha dichiarato che codici malevoli sviluppati dai governi per attività di spionaggio e sabotaggio saranno reperibili in un paio di anni nei principali forum di hacker and marketplace ospitati nel darkweb.

I malware utilizzati dagli attori statali coinvolti nell’attuale conflitto tra Russia e Ucraina rappresentano un serio pericolo per le infrastrutture critiche e le organizzazioni in tutto il mondo.

Attori malevoli potrebbero beneficiare dalla circolazione di questi malware per analizzarne il codice (reverse engineering) e sviluppare o personalizzare versioni degli stessi in grado di eludere i sistemi di difesa e causare danni ingenti agli obiettivi.

Un gruppo criminale potrebbe impossessarsi di un’arma cibernetica ed utilizzarla per ricattare organizzazioni e persino governi. Ulteriore elemento di preoccupazione è la possibilità che questi codici, disponibili nell’ecosistema criminale, possano essere utilizzate da altri gruppi che operano per conto di governi stranieri. L’accesso a questi codici offrirebbe loro indubbi vantaggi, questi malware potrebbero essere utilizzati per condurre operazioni false flag rendendo complessa, se non impossibile, l'attribuzione degli attacchi.

"Questa è una delle principali preoccupazioni nel mondo fisico: le armi che vengono utilizzate sul campo di battaglia, domani saranno utilizzate dai gruppi della criminalità organizzata", ha affermato Jurgen Stock , segretario generale dell'Interpol durante un panel moderato dalla CNBC al World Economic Forum di Davos , Svizzera, lunedì.

"Lo stesso vale per le armi digitali che, forse oggi sono utilizzate dai militari, sviluppate dai militari e domani saranno disponibili per i criminali", ha spiegato.

Nei primi due mesi di conflitto, diverse società di sicurezza informatica e CERT internazionali hanno osservato molteplici attacchi contro entità e organizzazioni del governo ucraino condotte da attori statali. Questi attacchi sono stati caratterizzati dall’utilizzo di software (detti wiper) in grado di distruggere le reti obiettivo. Clamoroso il caso dell’attacco alla rete satellitare KA-SAT  in Ucraina, gestita da Viasat, il 24 febbraio.

L’attacco condotto da gruppi cyber legati alla Russia, ha causato interruzioni nelle comunicazioni in Ucraina e ha avuto ripercussioni anche su diversi Stati membri dell'UE. 5.800 turbine eoliche gestite dall’azienda Enercon in Germania sono rimaste isolate a causa dell’attacco. I ricercatori di sicurezza di SentinelLabs che hanno indagato sull'attacco hanno individuato in un wiper distruttivo, precedentemente sconosciuto e chiamato AcidRain, la causa dell’attacco che ha colpito router e modem.

Per darvi un’idea di quanto possa essere devastante l’utilizzo di un codice sviluppato da un attore nation-state diamo uno sguardo a quanto accaduto in occasione dell’attacco Stuxnet nel 2010. Stuxnet è considerata un’arma cibernetica sviluppata dagli Stati Uniti ed Israele ed utilizzata per colpire le centrifughe nell’impianto nucleare di Natanz in Iran. Stuxnet utilizzava una falla nei sistemi Windows, identificata come CVE-2010-2568, scoperta nel 2010 in occasione dell’attacco. Una volta divenuta di dominio pubblico la falla è stata utilizzata da diversi codici malevoli disponibili nell’ecosistema criminale. 

Un’indagine condotta da Kaspersky Lab nel 2014, ben tre anni dopo l’attacco, rivelò che la vulnerabilità CVE-2010-2568 era stata utilizzata da diversi malware per colpire 19.000.000 di utenti su scala globale in un periodo di otto mesi, dal novembre 2013 a giugno 2014.

Come prevenire che queste armi possano essere veicolate nell’underground criminale?

Stock ha sollecitato una forte cooperazione tra i governi e le autorità preposte al contrasto al crimine informatico, inoltre ha sottolineato il ruolo cruciale delle aziende private di cybersecurity le cui informazioni possono aiutare le istituzioni ad individuare tempestivamente utilizzi impropri di malware sviluppati da attori nation-state. "Da un lato, siamo consapevoli di cosa sta succedendo, dall'altro abbiamo bisogno dei dati, che sono nel settore privato", ha affermato Stock. “Abbiamo bisogno dei loro rapporti [circa le violazioni informatiche]. Senza i loro rapporti, siamo ciechi".

"Questo divario informativo deve essere colmato insieme ".

Occorre dar seguito all’invito di Stock, nei prossimi anni infrastrutture critiche e supply chain in diversi settori saranno le più esposte ad attacchi che utilizzeranno codici concepiti e sviluppati in ambito militare e divenuti di dominio pubblico.

2

Articoli rimanenti

Accesso illimitato a tutti i contenuti del sito

1€/mese per 3 mesi, poi 2.99€ al mese per 3 mesi

Attiva Ora

Sblocca l’accesso illimitato a tutti i contenuti del sito