La geopolitica dei cyber attacchi - Ransomware e nuove forme di rischio e violenza - Filodiritto
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Tribunale Bologna 24.07.2007, n.7770 - ISSN 2239-7752
Direttore responsabile: Antonio Zama
La geopolitica dei cyber attacchi – Ransomware e nuove
forme di rischio e violenza
The Geopolitics of cyber attacks - Ransomware and new forms of risk and violence
28 Gennaio 2022
Roberto Fida
La geopolitica dei cyber attacchi – Ransomware e nuove forme di rischio e violenza
The Geopolitics of cyber attacks - Ransomware and new forms of risk and violence
ABSTRACT
Il ransomware è diventato una grave minaccia che colpisce tutti i settori di attività e può causare danni
considerevoli e di diversa natura (perdite operative, perdite di dati e finanziarie, rivendicazioni di
responsabilità, perdita di clienti, perdita di affari, danni alla reputazione, sanzioni amministrative). Negli
ultimi anni, però, è emerso un ecosistema che facilita l’attuazione di attacchi informatici da parte di gruppi
criminali, portando all’industrializzazione di queste attività illegali. Il risultato è stato una massiccia
accelerazione dei principali attacchi informatici alle organizzazioni e un notevole cambiamento nelle
tattiche dei criminali, che innalzano il livello di scontro con le vittime per incoraggiare il pagamento del
riscatto. Tali tattiche includono un cambio di paradigma che si espleta attraverso la pubblicazione di
informazioni personali e reputazionali, il furto di dati sensibili dal punto di vista commerciale e gli attacchi
che prendono di mira le infrastrutture critiche. Questi sviluppi hanno anche portato a cambiamenti
nell’organizzazione dei criminali online. Tali attacchi hanno un impatto negativo sulle economie nazionali
e internazionali mentre cercano di riprendersi dal blocco. Basandosi su un’analisi approfondita dei più
recenti attacchi ransomware e delle metodologie operative di risposta e prevenzione, questo articolo traccia
l’evoluzione del ransomware come moderno crimine geo-strategico e i cambiamenti nell’organizzazione
dei cyber-criminali e della loro possibile impronta terroristica.Ransomware has become a serious threat that affects all business sectors and can cause considerable and diverse damage (operational losses, data and financial losses, liability claims, loss of customers, loss of business, reputational damage, administrative penalties). In recent years, however, an ecosystem has emerged that facilitates the implementation of cyber attacks by criminal groups, leading to the industrialization of these illegal activities. The result has been a massive acceleration of major cyber attacks on organizations and a significant shift in the tactics of criminals, tactics that raise the level of confrontation with victims to encourage ransom payments. These tactics include a paradigm shift that takes place through the publication of personal and reputational information, the theft of commercially sensitive data, and attacks targeting critical infrastructure. These developments have also led to changes in the organization of online criminals. These attacks are negatively impacting national and international economies as they try to recover from the blockade. Based on an in-depth analysis of the most recent ransomware attacks and the operational methodologies of response and prevention, this paper traces the evolution of ransomware as a modern strategic crime and also the changes in the organization of cyber criminals, as well as highlighting some of the geopolitical implications. Sommario 1. Premessa 2. Analisi del fenomeno e prospettive 3. Collocazione (eco)sistemica 4. Dimensione geopolitica del ransomware 5. I recenti attacchi: uno sguardo d’insieme 6. Implicazioni 7. Altre aree di attacco: un cambio di tono e di interpretazione 8. I problemi di sicurezza: una cassa di risonanza globale 9. Geopolitica, intelligence e minacce informatiche: tentativi di approccio 9.1 Target specifici 9.2 Spionaggio 9.3 Ingenti ricavi 10. Buone pratiche di osservazione e prevenzione 11. Riflessioni conclusive Summary 1. Introduction 2. Analysis of the phenomenon and prospects 3. (Eco)systemic collocation 4. Geopolitical dimension of ransomware 5. Recent attacks: an overview 6. Implications 7. Other areas of attack: a change in tone and interpretation 8. Security issues: a global sounding board 9. Geopolitics, intelligence and cyber threats: attempts at an approach 9.1 Specific targets
9.2 Espionage 9.3 Financial gain 10. Good practices of observation and prevention 11. Concluding remarks 1. Premessa Il ransomware è un malware a scopo di lucro che nega alle vittime l’accesso al computer, ai dati o al browser e offre il rilascio delle risorse sottratte soltanto in seguito al pagamento del riscatto richiesto. Dal suo inizio come AIDS Trojan nel 1989, il ransomware è rimasto in disparte fino al 2005 quando in Russia, i primi casi di attacco hanno portato a una sostanziale perdita monetaria. Questo malware dannoso ha posto radici più forti quando, nel 2013, si è evoluto in CryptoLocker, causando danni insperati a istituzioni educative, organizzazioni commerciali, forze dell’ordine, ospedali e governi locali e statali che hanno finito per pagare quantità esorbitanti di denaro attraverso, soprattutto, valute virtuali. Ora è il grande business adottato dai criminali informatici per rubare furtivamente, criptare e distruggere informazioni sensibili. I progressi nella sicurezza dei computer e delle reti hanno, in parallelo, dato vita ad algoritmi di crittografia più forti, al miglioramento dei metodi di installazione e distribuzione degli attacchi, alle valute virtuali e alle reti anonime. Questi progressi, paradossalmente, rendono il ransomware più potente e difficile da controllare e conquistare. I criminali informatici si sono adattati in modo reattivo a questo ambiente di criminalità informatica in rapida evoluzione per mantenere le loro operazioni estremamente redditizie, agendo, forse inconsapevolmente, come normalissimi esperti di business. Alla stregua di una qualsiasi impresa legittima, i criminali informatici stanno affinando le loro strategie commerciali per cementare gli obiettivi, e per rimanere un passo avanti, imparando dagli errori del passato e adattandosi, producendo nuove e migliori varianti di precedenti ceppi difettosi di ransomware. Ultimamente, tali attori del ransomware hanno attaccato sfacciatamente e deliberatamente le forze dell’ordine e le organizzazioni sanitarie, che non avevano altra scelta se non quella di pagare il riscatto per avere indietro i loro dati. Pagare il riscatto non è un’azione consigliata per le vittime, poiché non c’è alcuna garanzia che l’hacker consegnerà la chiave di decrittazione o mollerà la presa sui record elettronici acquisiti. Questi atti di sottomissione aumentano i livelli di fiducia nei cosiddetti “black hat”, poiché sanno che le tecniche impiegate sono invisibili ma estremamente redditizie e, a tratti, imbattibili. Osservando questi atteggiamenti, è facile capire come i criminali informatici continueranno dunque a concentrarsi sulla massimizzazione delle loro entrate, infatti, i messaggi ransomware stanno diventando più personalizzati con lingue per nuove località che prima non erano prese di mira. Ciò su cui si proverà a far luce nei capitoli che seguono è se e fino a che punto i cyberattacchi possono essere considerati atti di terrorismo, se sponsorizzati da uno Stato, o se invece sono da considerare semplice cyberwar. In un articolo intitolato State Cyberterrorism: A contradiction in terms?, gli autori affermano che esista un notevole supporto di esperti che sostengono la validità della proposizione che gli stati possano effettivamente impegnarsi nel cyberterrorismo, nonostante questo possa portare implicazioni per i dibattiti sussidiari, anche intorno alla minaccia che il cyberterrorismo pone. Ciò che non è in discussione è che il terrorismo informatico rappresenta un pericolo crescente nell’odierno mondo tecnologico in continua espansione. Già nel 1991, il National Research Council (NRC)l1 aveva previsto il problema in arrivo, dichiarando come il terrorista di domani sarebbe stato in grado di fare più danni con la tastiera che con una bomba. Agli analisti della sicurezza, dunque, il compito di seguire le tendenze in evoluzione nel tentativo di
prevedere come il ransomware potrebbe evolversi nel prossimo futuro. 2. Analisi del fenomeno e prospettive In un mondo sempre più computerizzato, la sicurezza viene spesso violata digitalmente. Statistiche affidabili sul ransomware sono difficili da generare ma, secondo alcuni rapporti, il 43% delle aziende europee e nordamericane sono state prese di mira dai criminali informatici nel 2020 e, di queste, una su sei ha comportato una richiesta di riscatto. Negli Stati Uniti, il 71% delle aziende prese di mira ha pagato il riscatto. Gli esperti stimano che gli hacker ransomware hanno estratto oltre 400 milioni di dollari nel 2020. La maggior parte di questi riscatti sono stati pagati a indirizzi pseudonimi in criptovalute, note anche come valute virtuali convertibili, come Bitcoin. A differenza della guerra convenzionale o del crimine transfrontaliero, ci sono poche norme giuridiche internazionali che aiutano a contenere il rischio di attacchi informatici. Gli attacchi di ransomware sono difficili da combattere, perché la minaccia è ovunque e da nessuna parte, fino a quando l’attacco si verifica. Le vittime vanno dai piccoli comuni alle organizzazioni non profit, alle multinazionali e ai governi. Il ransomware disgrega i già precari equilibri tra stato e attori privati e i confini tra geopolitica e crimine. La protezione delle infrastrutture critiche crea una nuova serie di problemi per la sicurezza nazionale. Sono coinvolti diversi attori. L’attenzione si concentra su sistemi e servizi civili e commerciali, mentre la forza militare è meno importante. La portata di questi nuovi problemi dipende da come definiamo la sicurezza nazionale e da come fissiamo le soglie di danno accettabile. Da una prospettiva legale o di sicurezza pubblica, nessun paese accetterà anche un solo attacco alle infrastrutture o l’interruzione dei servizi. Se l’obiettivo è impedire che i cyber-attacchi costino un solo giorno di energia elettrica o di servizio idrico, abbiamo fissato uno standard molto alto per la sicurezza. Tuttavia, da una prospettiva militare strategica, gli attacchi che non degradano capacità nazionali non sono significativi. Da questa prospettiva, se un attacco informatico non causa un danno che supera la soglia delle interruzioni di routine che ogni economia sperimenta, non rappresenta un rischio immediato o significativo per la sicurezza nazionale. È particolarmente importante considerare che nel più ampio contesto dell’attività economica, i guasti al sistema idrico, le interruzioni di corrente, le interruzioni del traffico aereo e altri scenari di cyber- terrorismo sono eventi di routine che non riguardano la sicurezza nazionale. A livello nazionale, dove decine o addirittura centinaia di sistemi diversi forniscono servizi di infrastrutture critiche, il guasto è un evento di routine a livello di sistema o regionale, con il servizio negato ai clienti per ore o giorni. I cyber-terroristi avrebbero bisogno di attaccare più obiettivi simultaneamente per lunghi periodi di tempo per creare terrore, raggiungere obiettivi strategici o avere qualche effetto notevole. Per la maggior parte delle infrastrutture critiche, attacchi multipli sostenuti non sono uno scenario fattibile per gli hacker, i gruppi terroristici o gli stati nazionali (in particolare per gli stati nazionali, dove il rischio di scoperta di ciò che sarebbe universalmente visto come un atto di guerra superano di gran lunga i vantaggi limitati ottenuti dagli attacchi informatici alle infrastrutture). 3. Collocazione (eco)sistemica Il successo del ransomware ha portato alla creazione di un ecosistema del crimine informatico. Nuove forme di crimine organizzato online stanno emergendo per fornire commercialmente competenze e servizi chiave a coloro che vogliono lanciare attacchi ransomware. È importante notare che queste forme
organizzative tendono ad essere strutture piatte ed effimere, spesso con un’obsolescenza pianificata. Non sono gerarchiche e sostenute (come le mafie), infatti sono relativamente disorganizzati al confronto. L’ecosistema del crimine informatico permette ai vari attacchi di essere eseguiti più efficacemente, minimizzando il rischio e massimizzando il ritorno per i trasgressori. Dà ai criminali senza competenze l’accesso a quelli che le hanno e l’organizzazione per eseguirli. I livelli di abilità e le risorse necessarie per lanciare tali attacchi sono ora molto più alti e maggiori di quanto l’operatore solitario - il singolo agente autorizzato - potrebbe mai raccogliere. Il moderno processo ransomware, in effetti, simboleggia l’industrializzazione del crimine informatico. Le funzioni che una volta erano svolte da un individuo sono ora eseguite da altri individui più specializzati, qualificati e altamente organizzati, anche se questo può avvenire in maniera ripartita piuttosto che nel gerarchico modo dell’organizzazione tradizionale. L’estorsione del ransomware è diventata un ecosistema criminale che si autoalimenta. Le minacce più gravi, per esempio, cambiano e a volte cambiano abbastanza spesso. Per apprezzare tali cambiamenti, implementare misure appropriate contro il crimine informatico e fare il punto sugli sviluppi recenti e possibili, è necessario un quadro aggiornato e sinottico dell’ecosistema del crimine informatico e dei suoi vari elementi. Una sfida nel fornire questo, tuttavia, che richiede consapevolezza e competenza in diversi campi, che non sono (necessariamente) tutti reciprocamente intelligibili per gli esperti dei diversi campi. Le priorità della politica e delle forze dell’ordine associate alla repressione del crimine informatico possono differire, almeno nell’approccio, nella portata o nei dettagli, da quelle di un criminologo o di un ricercatore. Poiché siamo sempre più in rete a livello personale, e poiché le basi economiche degli stati sono sempre più legate alle infrastrutture digitali e all’economia digitale, i governi, le aziende, gli individui e le infrastrutture ICT nazionali (così come quelle internazionali) affrontano un’enorme gamma di minacce. Queste spaziano da azioni statali quasi equivalenti alla guerra cibernetica all’hacking, allo spionaggio, alle botnet create per vari scopi. E questo è solo il presente. Con un futuro inevitabile di tecnologia dell’informazione sempre più incorporata nella nostra vita quotidiana, le minacce informatiche che non esistevano in un passato non così lontano si stanno ora spostando dal regno ideal-concettuale in minacce emergenti concrete. L’intensificazione della minaccia non dovrebbe quindi essere misurata solo in termini di numero di attacchi malware. La diversificazione del malware stesso e l’evoluzione dei metodi degli hacker devono essere osservati. L’uso dell’intelligenza artificiale (AI) nei cyberattacchi è un caso esemplare. Gli esperti notano che i modelli concettuali per gli attacchi basati sull’AI (ad esempio, per eludere i meccanismi antivirus, o per crackare le password) esistono e possono essere utilizzati per rafforzare il malware esistente. Ci sono già stati casi di “deepfakes” vocali utilizzati per ingannare ignari dipendenti di società per effettuare pagamenti su conti fraudolenti (utilizzando l’AI per camuffare in modo convincente la voce del CEO o di un alto funzionario della società). L’ambiente cibernetico è quindi per default un ambiente compromesso. La cybersicurezza è dovuta diventare molto più che il semplice stato o le sue parti costitutive che respingono gli attacchi. I governi e le aziende hanno sempre più riconosciuto che i paradigmi di cybersecurity che prevedono una protezione completa, e tutti gli attacchi respinti, sono chimerici. Piuttosto che concentrarsi sulla prevenzione assoluta, o cercare di raggiungere un "buon" livello di cybersecurity, alcuni degli approcci più pratici - per non dire sensati - enfatizzano la mitigazione del rischio complessivo, minimizzando l’impatto delle intrusioni informatiche, e la difesa in profondità per consentire la continuità dei sistemi. In pratica, questo significa
uno spostamento dell’attenzione verso la resilienza informatica, che il National Institute of Standards and Technology degli Stati Uniti ha utilmente definito come la capacità di anticipare, resistere, recuperare e adattarsi a condizioni avverse, stress, attacchi o compromissioni dei sistemi che utilizzano o sono abilitati dalle risorse informatiche. 4. Dimensione geopolitica del ransomware Poiché la fonte della prosperità economica globale si espande per mezzo dell’economia dell’informazione, i dati e i sistemi che si basano su di esso hanno acquisito un valore significativo. La loro negazione può quindi infliggere dei costi, e la capacità di negarli in modo condizionale può essere utilizzata per costringere. Sia la negazione pura che condizionale dell’attività economica nel cyberspazio hanno implicazioni geopolitiche. La dimensione geopolitica più ovvia è che molti, anche se non tutti gli operatori di ransomware, sono gruppi criminali informatici di lingua russa, e spesso, in modo implicito o esplicito, le agenzie di intelligence russe ricevono un rifugio sicuro in cambio dell’esclusione di obiettivi russi dalle loro operazioni. Ad esempio, il codice di DarkSide eviterà automaticamente di crittografare un sistema con lingue utilizzate in Russia e negli stati dell’Europa orientale. Come risultato di questa protezione, solo una manciata di operatori di ransomware viene estradata e perseguita. Proprio come molti stati si affidavano ai corsari per sequestrare le spedizioni, a volte appartenenti al loro avversario strategico, anche i corsari moderni nel cyberspazio sono intrecciati con la competizione strategica tra gli stati. La dimensione geopolitica meno ovvia è che la capacità di negare i dati in modo condizionale si traduce in potere. Le tendenze nel ransomware mostrano che la crittografia è un modo per ottenere la negazione e potrebbe rivedere in modo significativo la nostra comprensione di come gli stati sfrutteranno il cyberspazio per scopi strategici. Perlomeno, la crittografia offre un modo alternativo per mettere direttamente a rischio le risorse avversarie senza dover prima vincere in combattimento per impadronirsi di una grande città, sviluppare un programma nucleare e missilistico o occupare un punto di controllo geografico. Questa sarebbe un’opzione particolarmente interessante per stati come l’Iran o la Corea del Nord che hanno rivali strategici ma non hanno capacità militari convenzionali sufficienti per ottenere lo stesso effetto. I mezzi informatici forniscono una barriera di ingresso alla coercizione più economica e inferiore rispetto a un accumulo militare convenzionale, anche se su scala molto più ridotta. Soprattutto dove le strutture di deterrenza preesistenti rendono l’escalation troppo costosa e quindi improbabile, gli stati possono tentare una tale coercizione su piccola scala. Ad esempio, l’Iran ha sequestrato una petroliera sudcoreana e ha chiesto alla Corea del Sud di rilasciare $7 miliardi di fondi iraniani che le sue banche avevano congelato nel 2019 per conformarsi alle sanzioni statunitensi. La Corea del Sud ha finito per sbloccare $1 miliardo in cambio del rilascio dell’equipaggio e alla fine ha pagato $100.000 in più anche per il rilascio della nave. In futuro, altri stati potrebbero utilizzare la crittografia di una fabbrica, una centrale elettrica o un oleodotto per creare una situazione di ostaggio simile. La crittografia potrebbe non essere in grado di imporre grandi concessioni, come la resa incondizionata di uno stato, ma potrebbe essere in grado di costringere gli alleati a smettere di cooperare con l’applicazione delle sanzioni statunitensi. Alcuni potrebbero dire che gli attori statali sono fondamentalmente diversi dagli attori criminali non statali e quindi non userebbero il ransomware per ottenere concessioni politiche. Tuttavia, tale affermazione deve esaminare se tali differenze contano in modi che indeboliscono specificamente la suddetta logica strategica della crittografia. Gli studiosi hanno sostenuto che anche in normali situazioni di contrattazione di crisi, i
costi di reputazione possono essere anticipati e quindi compensati utilizzando pagamenti collaterali o richieste minori. Un altro argomento potrebbe essere che gli attori statali godono di un minore anonimato e quindi corrono un rischio maggiore di ritorsioni. Ma la paura di ritorsioni non ha impedito agli Stati di lanciare attacchi informatici ancora più distruttivi della crittografia, come NotPetya2, l’arresto della rete elettrica ucraina o persino le rapine in banca. Anche la preoccupazione per le ritorsioni non ha impedito agli Stati di adottare comportamenti sconsiderati che aumentano i danni collaterali, come la gestione da parte della Cina dell’ hack di Microsoft Exchange e l’uso di worm3 da parte della Corea del Nord in WannaCry4. Il mantenimento dell’anonimato non è una condizione necessaria per lanciare un attacco informatico. In breve, è difficile trovare differenze fondamentali tra attori statali e non statali in modo da minare la logica strategica della crittografia. Per evitare sorprese strategiche, i politici statunitensi dovrebbero riesaminare l’affermazione secondo cui gli avversari utilizzeranno principalmente mezzi informatici per lo spionaggio e l’azione segreta, ma non per la coercizione. Stati come la Corea del Nord stanno già operando all’incrocio tra attività criminali e strategiche nel cyberspazio, inclusa l’implementazione di ransomware. La domanda non è se la crittografia verrà mai utilizzata per il guadagno geopolitico al posto dei bitcoin, ma quando e come. A breve termine, la neonata Task Force Ransomware – una partnership tra il governo degli Stati Uniti e gli attori del settore privato – dovrebbe continuare a coordinare le soluzioni politiche al ransomware. Ad esempio, più fornitori di assicurazioni informatiche dovrebbero smettere di coprire i pagamenti del riscatto e dovrebbero invece incentivare attivamente le vittime a scegliere di non pagare coprendo i costi del ripristino del sistema senza decrittazione. Ove possibile, i backup in tempo reale o offline dovrebbero essere sovvenzionati o incorporati nella sottoscrizione dell’assicurazione. A lungo termine, i responsabili delle politiche dovrebbero promuovere la collaborazione di ricerca tra professionisti e accademici per identificare scenari in cui gli avversari potrebbero usare la crittografia in modo coercitivo, quali sistemi sarebbero più vulnerabili a un tale tentativo e come tali scenari avrebbero un impatto sulla posizione strategica dell’America. 5. I recenti attacchi: uno sguardo d’insieme
Secondo una ricerca di Trend Micro pubblicata nel luglio 2021, negli ultimi dodici mesi uno sbalorditivo 84% delle organizzazioni statunitensi ha subito minacce di tipo phishing e ransomware. Trend Micro afferma: «Il ransomware è diventato un’epidemia moderna, colpendo governo, ospedali, scuole e imprese private e qualsiasi altro obiettivo ritenuto vulnerabile all’estorsione e in grado di pagare». Allo stesso modo, anche l’industria manufatturiera sta diventando sempre più un bersaglio per i cyber criminali. In effetti, secondo dati separati di Trend Micro, l’industria manifatturiera ha subito un’interruzione significativa nel 2020 a causa delle minacce ransomware. Gli aggressori hanno effettivamente individuato le organizzazioni manifatturiere durante il terzo trimestre del 2020, prendendo di mira in particolare le loro attività logistico-operative. Di conseguenza, è diventato il comparto che ha subito più attacchi ransomware rispetto ai settori del governo, dell’istruzione, della tecnologia e della sanità. Per i produttori, la realtà è che i criminali informatici hanno capito come infiltrarsi nelle loro reti e averli saldamente nel mirino. Mentre il più grande pagamento di ransomware rivelato finora – 40 milioni – è stato pagato da una grande compagnia di assicurazioni statunitense, le aziende manifatturiere hanno anche sborsato alcune ingenti somme per liberarsi dalla morsa dei criminali informatici. Nel maggio 2021, Colonial Pipeline, che controlla il 45% del carburante negli Stati Uniti orientali, è stata presa di mira dai criminali informatici con sede in Russia. L’attacco ransomware Colonial Pipeline, come è noto, ha portato il panico nell’acquisto di gas e ha portato l’azienda a pagare un riscatto di $5 milioni solo un giorno dopo l’attacco. L’organizzazione identificata con l’orchestrazione di questo attacco si chiama DarkSide, un gruppo che si dichiara apolitico e afferma che il loro “obiettivo è fare soldi e non creare problemi alla società”. Questo attacco ha mostrato a molte persone quanto sia grande l’effetto che questi sabotaggi possono avere non solo sul settore delle infrastrutture energetiche, ma anche sui settori dell’assistenza sanitaria, della tecnologia e della finanza. I funzionari non credevano che l’attacco fosse un atto di una nazione che cercava di distruggere le infrastrutture critiche degli Stati Uniti, quanto, infatti, un’organizzazione criminale che potrebbe avere una vaga affiliazione con agenzie di intelligence straniere. Il produttore e fornitore austriaco di aerei FACC, che vanta Airbus e Boeing tra i suoi clienti, ha perso $54 milioni all’inizio del 2016. I criminali informatici che si spacciavano per CEO dell’azienda sono riusciti a rubare questa incredibile somma tramite uno scambio di e-mail. In altre parole, gli aggressori non avevano bisogno di infiltrarsi nei sistemi dell’organizzazione, ma solo spacciarsi per un dirigente di alto rango, una forma di ingegneria sociale. Persino Tesla, che non è esattamente considerata indietro rispetto ai tempi quando si tratta di sicurezza informatica, non è stata al sicuro dagli attacchi ransomware. Nel luglio 2020, un cittadino russo di nome Egor Igorevich Kriuchkov ha stretto amicizia con un dipendente Tesla di lingua russa. Il piano di Kriuchkov era semplice: pagare $1 milione al lavoratore di Tesla per installare malware sulle reti di computer dell’azienda, fornendo agli hacker un gateway per il produttore di veicoli elettrici con sede in California. Fortunatamente per Tesla, il membro dello staff ha mantenuto una certa integrità e ha rivelato i piani degli hacker al suo datore di lavoro, che a sua volta ha informato l’FBI. Sebbene il crimine sia stato sventato, ciò mette comunque in evidenza quanto sfacciati siano diventati i criminali informatici nei loro tentativi di compromettere le reti aziendali. La tendenza a digitalizzare l’infrastruttura con il vantaggio di renderla più efficiente e accessibile l’ha resa ugualmente suscettibile a questo tipo di attacchi. L’attacco ransomware WannaCry al servizio sanitario nazionale del Regno Unito nel 2017 e l’attacco del
2021 al Health Service Executive (HSE)5 irlandese sono esempi di terrorismo che prende di mira istituzioni vitali. Inoltre, la Finlandia è stata testimone di un attacco ransomware a un’azienda privata di nome Vastaamo. L’azienda gestisce 25 centri terapeutici in Finlandia. Le trascrizioni di queste sessioni di terapia erano state hackerate. Di conseguenza, secondo quanto riferito, i clienti sono stati minacciati di pagare $200 dollari in bitcoin per impedire che le loro sessioni di terapia venissero trapelate. Il direttore dell’Ufficio investigativo nazionale finlandese ha stimato che il numero delle vittime sia nell’ordine di decine di migliaia. In base a un’indagine interna, si è ritenuto che il vero furto possa essere avvenuto due anni prima, nel 2018. Nonostante i migliori sforzi delle vittime per aderire ai consigli stabiliti dai ministri e non affrontare le minacce, le note riservate delle sessioni di terapia di duemila pazienti erano state scoperte nel Dark web. 6. Implicazioni Gli attacchi WannaCry, Vastaamo e Health Service Executive rappresentano una triste realtà degli aspetti più riservati della vita delle persone che vengono divulgati al pubblico. Le implicazioni sono diffuse e ledono molteplici aspetti sia della vita personale che del funzionamento della società. Gli attacchi ai servizi sanitari hanno determinato un accesso limitato ai servizi essenziali, spesso comportando il rinvio del trattamento o addirittura la cancellazione dello stesso. Il servizio sanitario nazionale inglese ha visto la cancellazione di 19.000 appuntamenti in seguito agli hack di WannaCry ed è costato al servizio sanitario £92 milioni. Un ulteriore motivo di preoccupazione è che nel caso in cui gli hacker abbiano accesso ai documenti in tempo reale dei pazienti, le informazioni sui pazienti potrebbero essere alterate per provocare diagnosi errate su larga scala. Nel caso dell’attacco ransomware irlandese, una dichiarazione rilasciata dall’HSE ha affermato che una piccola quantità di dati era atterrata sul dark web, proprio come l’hack di Vastaamo (l’attacco avrebbe potuto essere prevenuto se i dati fossero stati crittografati correttamente). La continuazione dell’apprendimento online potrebbe aprire le porte ai cyber-terroristi per accedere a una vasta gamma di nuovo materiale per le minacce di riscatto. La curiosa svolta degli eventi è avvenuta quando gli hacker che hanno commesso l’attacco ransomware contro l’HSE irlandese hanno fornito lo strumento software per invertire l’hack. Nonostante ciò, è stato necessario molto lavoro per ricostruire il sistema. Questo mostrava chiaramente quanto sia irreversibile e profondamente dannoso un attacco ransomware, specialmente quando i dati erano già stati divulgati al pubblico tramite Internet. Qui, nulla può essere completamente cancellato. La natura veramente dannosa diventa particolarmente evidente se si considera che l’attacco è avvenuto il 14 maggio, e la dichiarazione dell’HSE di luglio includeva l’avvertimento che era ancora in fase di trattamento. Ciò colpisce particolarmente data la pandemia di COVID-19, che non solo comporta una maggiore domanda per il sistema sanitario, ma ha anche ritardato molti trattamenti vitali per coloro che erano in attesa di diagnosi/trattamenti per altre malattie ancora più di quanto non fossero già. 7. Altre aree di attacco: un cambio di tono e di interpretazione Un’altra importante area di attacco agli Stati Uniti da parte di un cyberterrorista sarebbe l’hacking di database e macchinari ospedalieri. Ciò è particolarmente diffuso negli ultimi mesi a causa della pandemia di COVID-19. Nel settembre 2020, Universal Health Services6, una delle più grandi catene ospedaliere degli Stati Uniti, è stata colpita da un attacco informatico, causando il guasto dei suoi computer e sistemi
telefonici. Ciò ha portato alla cancellazione degli interventi chirurgici e al reindirizzamento delle ambulanze mentre l’ospedale stava cercando di affrontare questo attacco informatico. L’aggressore stava utilizzando un software ransomware che dirotta i sistemi dell’organizzazione e si rifiuta di consegnarli a meno che l’ ospedale non paghi il riscatto. In questo periodo di pandemia, gli autori di questi attacchi si stanno approfittando di molte persone che lavorano da casa, accedendo ai sistemi di controllo da remoto. Sono in grado di hackerare questi sistemi e di acquistare informazioni di accesso da determinati software online. In un recente briefing con i membri del Congresso, l’amministrazione Biden ha dichiarato che intende reprimere l’uso delle criptovalute negli attacchi ransomware . Ciò avviene attraverso un monitoraggio più rigoroso dei proventi pagati agli hacker dietro la disattivazione di aziende, organizzazioni e agenzie governative in tutto il mondo. La Casa Bianca ha creato una task force apposita e avvertito le aziende americane di adottare misure di sicurezza urgenti per proteggersi dagli attacchi ransomware, poiché gli hacker spostano le loro tattiche dal furto di dati all’interruzione dell’infrastruttura critica. Questi attacchi dimostrano l’importanza di aumentare gli investimenti statunitensi in una tecnologia di prevenzione degli attacchi informatici più avanzata e, allo stesso modo, nel capitale umano di coloro che sorvegliano i database governativi, aziendali e personali da irregolarità e segni di aggressori. Poiché gli attacchi ransomware sono commessi in modo anonimo, è impossibile per gli spettatori sapere con certezza quale sia il motivo dietro gli attacchi, rendendo ancora più difficile etichettarli come atti di terrorismo. Detto questo, i punti in comune nei recenti attacchi ransomware sembrano abbastanza chiari. Soprattutto in Europa, i servizi sanitari e le aziende sono stati violati, e i pazienti sono stati minacciati. Gli attacchi ransomware condividono sicuramente la caratteristica del terrorismo che proibisce l’uso della violenza per instillare paura e coercizione contro “il nemico”. Questo implica inoltre il bersaglio di civili innocenti. La (il)logica insita nella scelta di attacco ad un servizio sanitario, soprattutto durante una pandemia, potrebbe essere considerato un atto di violenza indiretta, anche se dannoso. Ciò che rimane poco chiaro, sono le motivazioni dell’autore, se fossero ideologicamente o finanziariamente motivate. La presa di mira dei civili, che includeva la richiesta di riscatto ai minori, così come la destabilizzazione intenzionale di un’infrastruttura da cui dipende un intero paese, può essere un messaggio che, in sé, potrebbe costituire un nuovo tipo di terrorismo - che richiede una definizione nuova o separata. In questo caso, potrebbe non essere il motivo, ma l’obiettivo a stabilire il tono del terrorismo. Ma perché classificare il ransomware come una minaccia alla sicurezza nazionale è importante? La sicurezza nazionale non riguarda solo la guerra o il conflitto fisico. Tutto ciò che ha un impatto diretto sulla stabilità economica e sulla capacità economica fa anche parte della sicurezza nazionale, inclusi gli attacchi ransomware. L’attacco ransomware di quest’anno contro Colonial Pipeline è un chiaro esempio di come questo tipo di strumento può distruggere gran parte dell’economia. Se in realtà la motivazione degli aggressori informatici fosse “semplicemente” interrompere il flusso di benzina attraverso la costa orientale degli Stati Uniti, in ogni caso saremmo fuori strada. Ciò che importa è che l’hanno fatto, con conseguente panico negli acquisti e carenza di pompe di benzina. «La cyber distruzione è una delle più grandi minacce per l’economia», afferma Marcus Fowler, direttore delle minacce strategiche di Darktrace. Gli attacchi ransomware possono avere un effetto valanga, elevandoli oltre gli eventi indipendenti a un problema di sicurezza nazionale. L’ampia disponibilità di toolkit7 e ransomware-as-a-service (RaaS)8 ha abbassato la barriera all’ingresso per i criminali, che hanno avuto sempre più successo nel prendere di mira grandi organizzazioni in una
varietà di settori industriali e richiedere riscatti considerevoli. Le azioni delle forze dell’ordine e degli investigatori hanno reso e rendono più difficile e costoso il funzionamento di queste bande. In effetti, il semplice fatto di designare qualcosa come una minaccia alla sicurezza nazionale mostra che i governi stano dando la priorità al problema. Alcune azioni comportano la sottrazione di risorse agli aggressori informatici. L’FBI, ad esempio, ha compromesso i server utilizzati dietro il ransomware REvil9 e ha costretto il gruppo offline questo autunno. Le forze dell’ordine hanno anche arrestato diversi autori negli ultimi mesi, incluso l’arresto di un cittadino ucraino per aver preso parte all’attacco contro Kaseya, nonché l’arresto di più operatori di ransomware che hanno utilizzato GandCrab e REvil-Sodinokibi nelle loro operazioni. Inoltre, un’operazione globale delle forze dell’ordine - tra cui il Centro nazionale francese per la criminalità informatica della Gendarmeria nazionale, il Dipartimento di polizia informatica della polizia nazionale dell’Ucraina, l’ufficio dell’FBI di Atlanta, Europol e Interpol - ha arrestato due operatori, sequestrato $375.000 in contanti e congelato circa $1,3 milioni in criptovaluta. Ultimo ma non meno importante, il Dipartimento di Giustizia degli Stati Uniti ha recuperato con successo $2,3 milioni in Bitcoin che sono stati pagati agli aggressori che hanno preso di mira Colonial Pipeline. Per alcuni operatori di ransomware, questi arresti, rimozioni e sforzi di recupero sono sufficienti per convincerli a chiudere per evitare procedimenti giudiziari. Altri diventano più resistenti. Indipendentemente da ciò, è necessario applicare questo tipo di pressione. Lo scopo è convincere gli operatori che il pagamento del riscatto non vale il tempo e lo sforzo di creare continuamente infrastrutture e introdurre nuovi metodi per eludere il rilevamento e la cattura. I governi stanno esercitando pressioni sugli scambi di criptovalute, ma è bene tenere a mente che sanzionando alcune entità non si può porre fine al ransomware, tuttalpiù si impediscono le operazioni di attacco. L’idea alla base è che tutto ciò che possa render loro più complesso lo svolgimento del lavoro, dedicando dunque maggiore attenzione o maggiori sforzi alla loro infrastruttura o al modo in cui verranno pagati, è tempo “prevenuto”, tempo che non spendono per ri(s)cattare. Sebbene la campagna di pressione sia importante, non dovrebbe essere considerata più importante dell’investimento in risorse difensive e dell’arresto del ransomware. La gestione del ransomware richiede migliori difese e una migliore risposta. Sebbene si possa avere la percezione che trattare questi attacchi come una minaccia alla sicurezza nazionale significhi che ci saranno azioni più offensive, come attaccare gli operatori di ransomware, l’impatto più importante è che vengono sbloccate risorse che altrimenti non sarebbero state disponibili. Insieme all’aumento dei finanziamenti, il governo può istituire task force e altre strutture di supporto per assegnare più persone ad affrontare i problemi. Elevare la sicurezza informatica a un problema di sicurezza nazionale rende anche più facile lavorare con partner internazionali, il che è fondamentale, perché gli attacchi spesso trascendono i confini, con aggressori, vittime e infrastrutture spesso in paesi diversi. La minaccia alla sicurezza nazionale deve tradursi in una migliore definizione delle priorità difensive, con l’ottica di perseguire un vantaggio cyber strategico. In mezzo all’attuale ondata di attacchi ransomware, il fatto che il dibattito nazionale e internazionale ora includa la sicurezza informatica e la difesa, paradossalmente, considerando ciò di cui si sta disquisendo, è certamente una prospettiva di valore. C’era una certa preoccupazione tra gli esperti di sicurezza informatica che sarebbe stata necessaria una grave interruzione informatica distruttiva di più giorni prima che la difesa avesse la priorità appropriata.
Per intaccare il volume degli attacchi ransomware si rende dunque necessaria una combinazione di questo tipo di campagna di pressione e investimenti continui da parte delle aziende in difesa, risposta e ripristino. 8. I problemi di sicurezza: una cassa di risonanza globale In risposta alle crescenti preoccupazioni relative al recente aumento degli attacchi ransomware su larga scala sostenuti dallo stato nazionale alle infrastrutture critiche, l’amministrazione Biden sta intraprendendo nuove azioni per affrontare le sfide in evoluzione poste dal rischio cyber. Quando si considera la triade della sicurezza informatica della CIA di riservatezza, integrità e disponibilità, ogni componente è essenziale per il funzionamento sicuro di ogni organizzazione. Tuttavia, quando la disponibilità coerente e affidabile dei dati necessari viene persa a causa di un incidente ransomware, tale componente è forse il valore più invalidante dei tre. La negazione dell’accesso ai dati può paralizzare le operazioni e portare tutto a un brusco arresto. Per aggiungere la beffa al danno, l’urgenza assoluta e il panico che la negazione del sistema crea nelle vittime non fa che esacerbare la sfida di rispondere a un attacco ransomware. Gli avversari ora usano comunemente il ransomware per rubare in modo rapido ed efficiente l’accesso delle vittime a dati preziosi. L’“industria” del ransomware è maturata in diversi modi: attraverso l’anonimato garantito tramite Internet e la valuta digitale, combinato con i meccanismi a basso rischio/alto rendimento coinvolti nel riscatto dei file di una vittima, oltre all’evoluzione e alla crescente monetizzazione di ransomware-as-a-service. Tutte le “fattezze” dei toolkit ransomware personalizzabili possono essere trovati in vendita sul Dark web. Sebbene siano già un concetto preoccupante da considerare, tali offerte ne hanno facilitato la rapida e massiccia proliferazione globale. La task force adotta un approccio completo come risultato della crescita e dello sviluppo di gruppi di ransomware sofisticati, tecnicamente informati, ben finanziati e spesso sostenuti dallo stato nazionale. Lo sviluppo e l’implementazione di contromisure durature e complete richiederà uno sforzo erculeo. Data la maggiore frequenza degli attacchi, combinata con la gravità delle conseguenze che derivano da un attacco riuscito, nessuna singola entità può sperare di coordinare da sola un’interruzione su larga scala di queste campagne di ransomware. Un requisito di risposta veramente ampio richiederà la cooperazione internazionale da parte di organizzazioni governative, enti privati ??e agenzie di difesa in tutto il mondo. Alla luce delle significative implicazioni per la sicurezza nazionale che circondano i ripetuti attacchi di ransomware contro infrastrutture critiche, l’amministrazione Biden ha recentemente annunciato piani per l’implementazione di una task force di ransomware intergovernativa. Questa task force, composta da un gruppo interagenzia di alti funzionari della sicurezza, aiuterà a facilitare ulteriormente le capacità difensive per proteggersi dagli attacchi promuovendo la resilienza alla sicurezza dei dati tra le entità dell’infrastruttura critica. La task force cercherà di coordinarsi con gli alleati degli Stati Uniti per indirizzare eventuali risposte offensive contro l’evoluzione delle campagne di attacco, lavorando contemporaneamente per interrompere i pagamenti di riscatto offerti su varie piattaforme di criptovaluta. Inoltre, il Dipartimento di Giustizia degli Stati Uniti ha annunciato l’intenzione di elevare le indagini sui ransomware allo stesso livello di priorità degli attacchi terroristici, garantendo un maggiore accesso alle risorse governative per aiutare negli sforzi di mitigazione. I funzionari dell’amministrazione sono sempre più preoccupati ora che gli attacchi ransomware sfruttino spesso varie vulnerabilità della catena di approvvigionamento come metodo di compromissione preferito.
Attacchi come questi prendono di mira soluzioni software popolari per raggiungere un pool più ampio di potenziali vittime. Le sfide che circondano questi attacchi alla catena di approvvigionamento affliggono allo stesso modo le agenzie governative e le aziende del settore privato. Mentre molte organizzazioni si stanno ancora riprendendo dalla violazione di SolarWinds10 avvenuta alla fine del 2020, il recente attacco ransomware contro il famoso fornitore Kaseya mostra che è probabile che tali minacce continuino in assenza di una risposta coordinata. Si ritiene che molti recenti attacchi ransomware abbiano avuto origine in paesi ostili agli Stati Uniti, e ciò pone ulteriori sfide. La natura clandestina degli attacchi, oltre all’anonimato che circonda il pagamento, rende difficile imporre qualsiasi tipo di responsabilità. Come accennato in precedenza, l’FBI ha affermato che i colpevoli dell’attacco alla Colonial Pipeline, la rete ransomware nota come DarkSide, hanno sede in Russia e operano con la piena conoscenza del presidente russo Vladimir Putin. Come previsto, Putin ha respinto le accuse contro Mosca definendole infondate. Tuttavia, diversi funzionari del governo degli Stati Uniti hanno commentato che, anche se Putin è molto probabilmente pienamente consapevole dell’attività criminale proveniente dall’interno dei confini del suo paese, queste bande sono così autonome che lo stesso Putin potrebbe essere impotente rispetto ad una loro dissoluzione. Inoltre, l’amministrazione Biden ha anche accusato il governo cinese di aver contribuito a facilitare vari attacchi informatici, tra cui ransomware, estorsioni, furti e persino crypto-jacking11. L’amministrazione sostiene che il Ministero della sicurezza dello Stato cinese (MSS) sia stato responsabile di un attacco al server di posta elettronica Exchange di Microsoft all’inizio di quest’anno che ha compromesso più di 30.000 organizzazioni che si affidano a questo servizio per facilitare le operazioni quotidiane. Il Dipartimento di Giustizia ha fatto un ulteriore passo avanti con la Cina e ha ufficialmente accusato quattro cittadini cinesi di attività illecite di sfruttamento della rete informatica, come parte di un gruppo cinese di minacce persistenti avanzate (APT) noto come APT40. Tuttavia, ci sono crescenti preoccupazioni riguardo a qualsiasi tipo di ritorsione ufficiale degli Stati Uniti contro la Russia o la Cina. I funzionari hanno espresso notevole preoccupazione per qualsiasi forma di stallo informatico che potrebbe manifestarsi tra gli Stati Uniti e un leader o una nazione avversaria. Ci sono notevoli timori che qualsiasi tipo di azione di ritorsione da parte degli Stati Uniti possa ulteriormente degenerare in attacchi ancora più orchestrati contro gli americani, i suoi interessi e i suoi alleati. Solo il tempo dirà se l’atteggiamento geopolitico tra queste superpotenze si tradurrà in una distensione digitale. 9. Geopolitica, intelligence e minacce informatiche: tentativi di approccio A differenza del mondo analogico, dove può essere più facile comprendere un dato contesto e attribuire determinati fatti su un crimine e l’autore del reato, può essere estremamente difficile fare lo stesso nel cyberspazio, dove il problema dell’attribuzione è inerente all’ambiente digitale. Nonostante il miglioramento delle prestazioni, dei metodi e degli strumenti di tracciamento, il cyberspazio fornisce agli aggressori livelli aggiuntivi di invisibilità che non esistono nel mondo analogico. Per questo motivo è potenzialmente più difficile identificare gli aggressori e comprenderne le motivazioni, le capacità e le intenzioni a prima vista. Va da sé, però, che nessuna attività criminosa è un atto isolato, ma si svolge in un certo tempo, in un
ambiente specifico, ed è sempre motivato da qualcosa che porta all’atto criminoso stesso. Insomma, non c’è attacco senza contesto. Questa circostanza è fondamentale per l’analisi di qualsiasi attacco e per individuare modelli e tendenze che aiutano a identificare potenziali obiettivi futuri. Sebbene la valutazione degli aspetti tecnici di un attacco sia essenziale, se si ignora il contesto più ampio, questa analisi può fornire solo una comprensione parziale dell’attacco. Naturalmente, una disamina tecnica e raccomandazioni di mitigazione possono portare a migliori e specifiche strumenti di tutela. Tuttavia, ignorando influenze più estese e diffuse, come le circostanze geopolitiche o economiche, si potrebbero perdere tendenze e modelli volti a fornire indicatori per potenziali obiettivi futuri. Comprendere esattamente il contesto di un attacco rafforza qualsiasi raccomandazione tattica e strategica che sia fondamentale per le difese future e il successo organizzativo. Pertanto, è nella natura delle cose convincersi che un approccio olistico alle buone pratiche di contrasto e di gestione del rischio sia essenziale per condurre analisi approfondite. Un approccio olistico include l’analisi di come altre discipline, come la geopolitica, hanno un impatto sugli attori delle minacce, le loro motivazioni, intenzioni e capacità. Inoltre, l’osservazione degli sviluppi geopolitici può dare un’idea delle minacce emergenti. Internet si è affermato come un’alternativa all’interazione e alle operazioni fisiche per diverse ragioni. Innanzitutto, le campagne informatiche sono relativamente convenienti rispetto alle forze armate convenzionali. Ad esempio, gli attacchi Distributed Denial of Service (DDoS)12, che sono un metodo di attacco comune per gli stati-nazione, costano in media 350€ ($416) al giorno ma possono potenzialmente causare impatti devastanti per l’entità bersaglio, come il costo di perdita di attività e interruzione dei servizi essenziali. Inoltre, le campagne cyber possono essere lanciate rapidamente e quasi in tempo reale, a differenza delle operazioni fisiche che possono richiedere lunghe fasi di preparazione. I governi possono operare nel cyberspazio per prendere di mira gli avversari pur mantenendo una certa negabilità allo stesso tempo. I gruppi Advanced Persistent Threat (APT)13 sponsorizzati dallo stato sono, per definizione, altamente qualificati, quindi rilevare le loro operazioni e attribuirle a determinati stati può essere difficile. Inoltre, i governi possono anche utilizzare il cyberspazio per condurre operazioni che sembrano condotte da altri attori o siano in realtà nell’interesse di un altro stato, le cosiddette operazioni “ false flag”. Le operazioni sotto falsa bandiera possono consentire ai governi di spostare la colpa o punire altri stati per le presunte operazioni. Ad esempio, nel 2018, una campagna di cyber sabotaggio ha preso di mira le Olimpiadi invernali di PyeongChang con un malware chiamato OlympicDestroyer. Gli operatori dietro la campagna hanno mascherato l’attacco in modo che apparisse come se il gruppo nordcoreano Lazarus lo avesse lanciato impiegando tattiche usate frequentemente da Lazarus stesso. Diversi ricercatori hanno inizialmente attribuito l’attacco alla Corea del Nord e solo dopo ulteriori analisi è diventato chiaro che gli attacchi erano un’operazione sotto falsa bandiera. Le agenzie di intelligence statunitensi hanno successivamente attribuito l’attacco a un gruppo sponsorizzato dallo stato russo, Sandworm14. Il cyberspazio permette anche agli stati-nazione di condurre attacchi più sfumati contro gli avversari, a seconda della gravità della situazione. Gli Stati possono condurre attacchi che rimangono sotto la soglia del conflitto armato, quindi non abbastanza gravi da giustificare una ritorsione fisica, come definito dal diritto internazionale. La legalità di quando gli stati-nazione possono usare le forze armate come ritorsione alla provocazione è definita dallo jus ad bellum. Secondo la legge, la ritorsione è giustificata quando uno stato minaccia l’integrità territoriale o la sovranità politica di un altro stato, mentre esistono quadri di riferimento sul comportamento accettabile delle nazioni nel cyberspazio, il più comunemente noto è il Manuale di
Tallinn 2.0, non riconosciuti però a livello internazionale o legalmente vincolanti. Allo stesso tempo, gli stati-nazione stanno usando il cyberspazio per perseguire i propri obiettivi. Poiché Internet è utilizzato per trasferire e memorizzare informazioni altamente sensibili, trasmettere comunicazioni essenziali, operare infrastrutture critiche e molto altro, è un obiettivo attraente per promuovere vari mezzi, tra cui: 9.1 Target specifici Nel peggiore dei casi, i cyberattacchi possono provocare distruzione e morte, ad esempio, quando gli attori prendono di mira le infrastrutture critiche. Nel 2020, un attacco ransomware su un ospedale tedesco ha contribuito indirettamente alla morte di una donna. La morte è avvenuta durante il trasferimento della paziente in un altro ospedale dopo che l’ospedale compromesso non era in grado di ammettere nuovi pazienti. I cyberattacchi ritorsivi e limitati accompagnano spesso le tensioni geopolitiche. Ci sono diversi esempi per questo, come le operazioni attribuite ad attori informatici russi che prendono di mira obiettivi ucraini o gruppi hacktivisti turchi e greci che rivendicano cyberattacchi sull’altro paese durante l’apice delle tensioni tra loro nel 2020. 9.2 Spionaggio Le nazioni stanno spesso utilizzando il cyberspazio per consentire lo spionaggio, compreso lo spionaggio governativo, militare e industriale. La Germania, per esempio, ha sanzionato la Russia nel 2020 per un presunto attacco di spionaggio informatico contro il parlamento tedesco nel 2015, che è stato attribuito ad attori russi. In termini di spionaggio industriale, l’UE e gli Stati Uniti accusano continuamente la Cina di utilizzare attori informatici sponsorizzati dallo stato per colpire le organizzazioni per ottenere illegalmente la proprietà intellettuale, in particolare le organizzazioni che operano in settori industriali di interesse cinese. 9.3 Ingenti ricavi Il cyberspazio può anche rimanere l’unica opzione praticabile per gli stati per condurre operazioni se economicamente e diplomaticamente isolati a causa di sanzioni. Per esempio, si ritiene che la Corea del Nord utilizzi frequentemente gruppi informatici sponsorizzati dallo stato per condurre operazioni a scopo di lucro, come prendere di mira gli scambi di criptovalute per finanziare le espansioni militari della Corea del Nord. Inoltre, gli attori nordcoreani hanno riferito di condurre lo spionaggio industriale per promuovere i propri obiettivi, così come per necessità, dato che sono ampiamente esclusi dalla cooperazione internazionale. Recentemente, attori informatici collegati alla Corea del Nord hanno preso di mira i produttori di vaccini COVID-19. 10. Buone pratiche di osservazione e prevenzione
Puoi anche leggere
