AssociatiA cura di Luca Mella
Introduzione
Sappiamo benissimo che nel corso dell’ultimo anno il panorama della sicurezza cibernetica è cambiato in maniera sostanziale: il conflitto russo-ucraino ha incendiato molti animi, specie nel mondo digitale. Nel corso del 2022 si sono infatti susseguite notizie di nuovi attacchi, nuove campagne, attacchi dimostrativi e, non da meno, fiumi di propaganda bipartisan che hanno esondato su social e piattaforme.
Questo è quanto tutti abbiamo notato, ed è quanto tutti ci hanno fatto notare. Tuttavia, l’intento di questo articolo è soffermarsi su alcuni dettagli, alcune ripiegature delle vicende che tutti abbiamo udito dal 24 Febbraio 2022 dell’anno scorso ad oggi e che, probabilmente, abbiamo colto solo in parte. Difatti, come esperti del settore digitale, ma anche come esperti nel settore della sicurezza, qualcosa abbiamo perduto nella baraonda mediatica che si è susseguita dall’inizio del conflitto.
Gli aspetti più interessanti, almeno agli occhi dell’autore di questo articolo, si celano tra le connessioni di quello che già conosciamo del mondo del cyber crimine e gli spiragli che le tensioni geopolitiche hanno aperto nel sottobosco digitale. Spiragli dai quali è filtrata abbastanza luce da permetterci di individuare tendenze in atto, altrimenti passate in sordina.
Dobbiamo preoccuparcene?
Il primo, e più a noi prossimo tema a cui va prestata particolare attenzione, è il mondo della ricerca di vulnerabilità. Nel settore della sicurezza, da tempo siamo abituati ad avere a che fare con ricercatori che pubblicano articoli su vulnerabilità software, questioni etiche sulla divulgazione delle falle e dibattiti infiniti sui modi migliori di trattare questi rilievi così critici per chi produce e chi usa il software. Molto meno spesso siamo invece abituati ad interrogarci sul come chi compie atti criminali ragioni ed operi su questo stesso tema.
Il Passato
Prima di puntare lo sguardo verso la luce trapelata grazie alle schermaglie digitali, occorre riprendere quanto già sappiamo sulle attività di ricerca di vulnerabilità nel sottobosco digitale: è infatti risaputo che i gruppi APT che operano all’interno degli ecosistemi state-sponsored conducano programmi di ricerca di nuove vulnerabilità ed abbiano capacità di sviluppo di vulnerabilità 0-day, falle di sicurezza note solo a loro e non ai produttori del software.
Questa consapevolezza fonda le sue radici decenni addietro ed ha senz’altro raggiunto le masse a partire dal caso Stuxnet, nel lontano 2010, quando i servizi di intelligence statunitensi ed israeliani codificarono ben quattro exploit per vulnerabilità 0-day all’interno del loro impianto malware. A partire da quel momento, negli anni, è stato un susseguirsi di notizie di 0-day sfruttati da attori state sponsored cinesi, russi o iraniani, una volta per Internet Explorer, poi per Adobe Reader, poi ancora per WhatsApp, per iOS, per Microsoft Exchange Server, e così via.
Non solo. Negli ultimi dieci anni si sono uniti a questa compagnia anche agenzie private come la defunta HackingTeam e l’israeliana NSO Group, autrice dell’impianto Pegasus e di diversi 0-day per sistemi iOS. Questi sono gli attori che storicamente praticano ricerca di vulnerabilità nel panorama delle minacce cibernetiche tradizionali.
Nuovi Player
Ed il crimine cibernetico? Il cyber-crimine è molto spesso stato allontanato dal tavolo degli adulti quando si trattava di 0-day. Questo perché tradizionalmente gli attori criminali utilizzano i cosiddetti exploit 1-day, ovvero codici in grado di sfruttare falle già note ai produttori di software: in altri termini, codici per sfruttare quelle CVE in cui chiunque abbia mai lanciato una scansione di vulnerabilità si è ineluttabilmente imbattuto.
Il punto è che sempre più attori criminali sono diventati molto bravi nello sfruttare attacchi 1-day, e sempre più veloci nel farlo. Un dato per tutti è quello di ProxyLogon, la falla che nel 2021, tre giorni dopo la pubblicazione della sua patch, è stata presa d’assalto da una pletora di attori criminali che l’hanno usata per migliaia di organizzazioni in tutto il mondo. Il tutto in pochissime ore.
La voracità degli attori cyber criminali non è affatto calata: se spesso li classificavamo come attori di secondo piano, una sorta di Tier-B. Tuttavia, oggi dobbiamo ricrederci, o almeno riconsiderare le capacità e la pericolosità di questo segmento di minacce.
Ciò che è accaduto in tema 0-day nel mondo cyber criminale è esemplare: nell’ultimo anno, anche gli ambienti cyber criminali hanno dimostrato di saper attingere alle falle 0-day. Ne abbiamo avuto l’esempio anche recentemente nell’Aprile 2023, quando Microsoft stessa ha rilasciato patch per una falla 0-day, la CVE-2023-28252: una particolare vulnerabilità all’interno del driver di sistema “clfs.sys”, utilizzato dai sistemi operativi Windows per la gestione di servizi di logging per applicazioni e componenti.
In base alle ricostruzioni del GReAT di Kaspersky, questa falla è stata utilizzata da un particolare attore ransomware Nokoyawa durante intrusioni ed estorsioni in ambienti Retail, Manifatturiero, e Sanitario. Verticali ben diversi dai soliti a cui siamo abituati a immaginare quando pensiamo alla minaccia degli 0-day.
Al di là dei verticali impattati, l’elemento forte è l’attribuzione dello sfruttamento di questi particolari 0-day ad un attore puramente criminale: un gang che opera attacchi ransomware secondo il modello delle “double extortion”, pratica estorsiva cyber criminale che vuole accostata all’attacco ransomware una serie di pratiche estorsive secondarie, a partire dal furto massivo di dati riservati e la relativa minaccia di pubblica diffusione.
Sussurri (poco) lontani
Avevamo avvisaglie di questa evoluzione? La risposta è sì. E come anticipato molto più di qualche elemento trapelò proprio a valle delle “operazioni speciali” del regime russo in Ucraina. Di fatti, pochi giorni dopo all’inizio dell’invasione, l’underground digitale criminale fu profondamente scosso da prese di posizione bipolari: ci fu chi si astenne da qualsiasi fazione, come LockBit, e chi come Vice Society e Conti dichiararono pieno supporto alla causa russa. Una delle conseguenze di questi patteggiamenti fu il “Conti Leak”.
Il Conti Leak è stata una delle fughe di dati più significative che ha coinvolto gli ambienti cyber criminali. Dopo la presa di posizione della gang Conti a supporto della causa russa, alcune gole profonde di diversa opinione hanno affondato il colpo: anni di conversazioni interne della gang e codici sorgenti sono stati pubblicati sul web rivelando molti dettagli di estremo interesse per le Threat Intelligence di tutto il mondo.
Oltre alla conferma dei sospetti delle influenze governative all’interno dei gruppi criminali maggiori, una sorta di regia occulta che orienta alcune delle campagne criminali e che richiederebbe un approfondimento dedicato, alcuni dettagli emersi in questi file completano particolarmente bene quanto abbiamo cominciando ad osservare recentemente con i casi di gang come Nokowaya, che, appunto, ha sviluppato 0-day indipendentemente.
Dai Conti Leaks abbiamo modo di trovare traccia di alcuni apparentemente lontani sussurri che presagivano che questo momento sarebbe ad un certo punto divenuto reale: il cyber crimine sta infatti progredendo molto in fretta nello sviluppo di capacità di ricerca di vulnerabilità e implementazione di pericolosissimi 0-day.
Conti ha da precursore in questo ambito e l’orientamento fornitogli dai servizi segreti russi ha senz’altro giocato un ruolo nei risultati ottenuti da questa pericolosa gang. Conti, infatti, approcciava l’attacco esattamente come fanno le compagnie di spionaggio:
- Conduceva ricerca di vulnerabilità interna per 0-day, ad esempio per router e firewall Cisco.
- Sviluppava scanner di vulnerabilità ed exploit personalizzate per falle 1-day, come ad esempio nel caso della CVE-2020-5135 di SonicWall.
- Si approvvigionava di exploit 0-day da terze parti nel mercato nero.
Approcci che a distanza di un anno sono state riscontrate anche su altre gang criminali che praticano le doppie estorsioni, proprio come nel caso appena menzionato di Nokoyawa: gruppo ransomware operativo solamente da Aprile 2022 e che nel giro di pochi mesi ha sviluppato proprio queste capacità di accesso a vettori 0-day.
Altro elemento precursore che ci arrivò agli inizi della guerra fu nella direzione della sofisticazione nella capacità di evadere le difese a protezione delle aziende. Sempre all’interno del Conti Leak, alcune delle conversazioni dei criminali riportavano infatti di una serie di società di facciata utilizzate dai criminali per acquisire licenze e software di difesa. Ad esempio, licenze del sistema di protezione endpoint di nuova generazione Carbon Black, prodotto da VMWare, acquistate dalla gang ai fini di “ricerca interna”. Ricerca che all’atto pratico significa identificazione di metodi di bypass ed evasione dei moderni strumenti di protezione.
Anche questo elemento ha disegnato una preoccupante traiettoria nel mondo cyber criminale. A Marzo 2023 è stata infatti tracciata all’interno dei mercati criminali una serie di vendite illecite di prodotti di sicurezza: Sophos EDR, Harmony EDR, Crowdstrike XDR, e Palo Alto Cortex XDR, ed ancora Carbon Black (link). Una serie di tecnologie di fascia altissima, riconosciute a livello mondiale e ben più ricca di quella molto più ricca emersa dalle conversazioni trafugate da Conti un anno prima.
Dove ci stiamo muovendo?
A distanza di un anno, le pratiche della ex-prima gang cyber criminale russa si sono diffuse ad altri attori del crimine cibernetico: il fenomeno è impressionante specie per le tempistiche più brevi delle attese. Tuttavia, il dato della velocità non è l’unico elemento preoccupante: la sofisticazione delle minacce cyber criminali è ormai da considerarsi una direzione assodata, persino per le minacce che un tempo classificavamo come “di serie B”: ora in procinto di essere pericolose quasi quanto le più blasonate.
Questo movimento nell’underground criminale rappresenta un cambio epocale nei profili di minaccia che siamo abituati a trattare, specie nelle fasce di aziende medie ed in tutte le grandi al di fuori dei settori tradizionalmente interessati dalle minacce state sponsored. Occorre aumentare drasticamente i livelli di difesa perché, come abbiamo osservato, il crimine cibernetico sta rapidamente raggiungendo livelli di minaccia comparabili ad attori molto strutturati, attori che tradizionalmente non prendevano di mira queste tipologie di aziende: ora, questi segmenti di business cominciano a ricevere attacchi ad un livello precedentemente inaudito nella loro storia.