Che cos'è lo spionaggio informatico?

Lo spionaggio informatico è un tipo di attacco che sottrae proprietà intellettuale o dati classificati e sensibili per ottenere un vantaggio su un'entità statale o un'azienda concorrente.

Definizione di spionaggio informatico

Lo spionaggio, secondo il Merriam-Webster, è "la pratica di spiare o utilizzare spie per ottenere informazioni sui piani e sulle attività, soprattutto di uno Stato straniero o di un'azienda concorrente".

Se si porta il tutto nel mondo informatico, le spie sono eserciti di hacker nefasti di tutto il mondo che utilizzano la guerra informatica per ottenere vantaggi economici, politici o militari. Questi criminali informatici, reclutati deliberatamente e molto apprezzati, hanno il know-how tecnico per bloccare qualsiasi cosa, dalle infrastrutture governative ai sistemi finanziari, fino alle risorse dei servizi pubblici. Hanno influenzato l'esito di elezioni politiche, creato scompiglio in occasione di eventi internazionali e aiutato le aziende ad avere successo o a fallire.

Molti di questi hacker utilizzano le minacce persistenti avanzate (APT) come modus operandi per entrare furtivamente nelle reti o nei sistemi e rimanere inosservati per anni e anni.

I titoli dei giornali sullo spionaggio informatico si concentrano solitamente su Cina, Russia, Corea del Nord e Stati Uniti, sia come Stato che attacca sia come vittima dell'attacco. Tuttavia, la Government Code and Cipher School (GCCS) del Regno Unito stima che ci siano 34 nazioni distinte che hanno team di spionaggio informatico ben finanziati.

Questi team di autori di minacce basati sullo Stato sono composti da programmatori informatici, ingegneri e scienziati che formano cluster di hacking militari e di agenzie di intelligence. Dispongono di un enorme sostegno finanziario e di risorse tecnologiche illimitate che li aiutano a far evolvere rapidamente le loro tecniche.

Eric O'Neill, ex agente dell'FBI sotto copertura e National Security Specialist presso Carbon Black, ha una certa familiarità con lo spionaggio. In un articolo intitolato Hacking is the New Face of Espionage, afferma che "la battaglia contemporanea si combatte con tastiere e software piuttosto che con dead drop e passamontagna". Prosegue dicendo che con la guerra cibernetica combattuta su scala globale, la sicurezza è più importante che mai. "Tantissime organizzazioni non prendono la minaccia sul serio come dovrebbero", osserva O'Neill.

Aggiunge: "Non è più sufficiente difendersi e reagire in caso di violazione. Adottare un approccio da 'cattivo' è un enorme passo avanti nell'affrontare gli hacker nel mondo dello spionaggio informatico".

Cosa hanno fatto di recente i maestri dello spionaggio informatico? Ecco alcuni dei gruppi d'attacco degli Stati-nazione che sono stati ripetutamente citati nel corso degli anni.

Corea del Nord
A quanto si dice, la Corea del Nord ha un esercito di oltre 6.000 hacker che raccolgono denaro per pagare il programma nucleare del Paese. Un recente attacco attribuito alla Corea del Nord è l'APT37, che ha preso di mira la Corea del Sud, il Giappone, il Vietnam e il Medio Oriente. L'attacco è stato presumibilmente condotto da un noto gruppo di hacker chiamato Lazarus, attivo da circa cinque anni. Il gruppo è stato citato per attacchi come quello di Sony Pictures nel 2014, che ha fruttato decine di milioni di dollari, e potrebbe essere responsabile della rapina informatica da 81 milioni di dollari di una banca del Bangladesh nel 2016. È inoltre accusato del diffuso attacco WannaCry del 2017, che ha causato miliardi di dollari di danni ad aziende, banche e ospedali in tutto il mondo.

Vietnam
In Vietnam, c'è OceanLotus, un gruppo di spionaggio informatico che potrebbe potenzialmente essere dietro gli attacchi chiamati APT32 e APT-C-00. Queste minacce sono state rivolte a organizzazioni aziendali e governative in Vietnam, nelle Filippine, nel Laos e in Cambogia e si concentrano su aziende straniere con interessi nei settori manifatturiero, dei prodotti di consumo e dell'ospitalità del Vietnam.

Cina
Uno dei gruppi di attacco cinesi più noti è TEMP.Periscope o Leviathan. Di recente, questo gruppo ha intensificato gli attacchi e ha preso di mira le aziende statunitensi del settore ingegneristico e marittimo, legate al Mar Cinese Meridionale e ad alcune delle rotte commerciali più trafficate del mondo. Un altro gruppo di autori di minacce cinesi, APT10, è accusato di una campagna che forse è iniziata già nel 2009. Essendo una delle minacce alla sicurezza informatica più durature della storia, APT10 ha recentemente attaccato aziende tramite managed service provider in diversi settori in molti paesi, nonché alcune aziende giapponesi, causando una quantità sconosciuta di danni a causa del furto di grandi volumi di dati.

Un altro potenziale attacco da parte di uno Stato-nazione è Slingshot APT, che potrebbe avere collegamenti con il governo degli Stati Uniti. Slingshot APT presenta delle somiglianze con un autore di minacce noto come Grey Lambert o Longhorn, che è stato collegato alla CIA degli Stati Uniti. La campagna potrebbe essere stata attiva per sei anni o più e ha preso di mira il Medio Oriente e l'Africa attraverso sofisticate tattiche evasive e furtive che aiutano gli autori a esfiltrare con successo grandi volumi di dati sensibili.

Lazarus potrebbe essere responsabile di una rapina informatica da 81 milioni di dollari ai danni di una banca del Bangladesh, avvenuta nel 2016.

Nell'articolo qui sopra, Eric O'Neill suggerisce che la miglior difesa è un buon attacco. Ecco alcuni dei passi che Eric consiglia per combattere lo spionaggio informatico:

• Capire da dove provengono le minacce. Quando la criminalità informatica è arrivata sulla scena, inizialmente c'erano criminali isolati che lavoravano per i loro scopi personali. Secondo Eric, quei giorni sono finiti e gli Stati-nazione si sono resi conto dei potenziali vantaggi della guerra digitale e dello spionaggio informatico.
• Scoprire il movente. Capire la fonte può fornire maggiori possibilità di scoprire il movente. Il motivo per cui un attore statale attacca potrebbe essere completamente diverso da quello di chi opera per conto proprio. Questi motivi possono andare dal tentativo di ottenere un vantaggio competitivo all'interruzione di un sistema o di una sede. Spesso il movente di un attacco può dire molto sul metodo e viceversa. Quindi, se il metodo è noto, si può avere una maggiore comprensione dell'obiettivo, il che porta a una migliore comprensione del metodo più probabile da utilizzare per infiltrarsi.
• Pensare come un hacker. Quando si cerca il movente, pensare come un hacker potrebbe aiutare un'azienda a catturare quest'ultimo più velocemente. La cattura dei criminali non avviene per caso e, quando si pensa come un hacker, si può avere un quadro più chiaro dei suoi spostamenti più velocemente. Mettere in pratica tutto questo è fondamentale, non solo in seguito a una violazione, ma anche per proteggere l'azienda dalla possibilità di violazione. Se un team di sicurezza riesce a entrare nella mentalità di un hacker, può cercare attivamente le proprie vulnerabilità, capire quali tattiche possono essere utilizzate per entrare e quali dati possono essere accessibili con questi metodi.
• Identificare le tecniche dell'hacker. Conoscere le potenziali tecniche che un hacker potrebbe utilizzare può essere un'arma preziosa per combattere i criminali informatici. Una raccolta quasi costante di informazioni è la chiave del successo. Eric raccomanda di avere il maggior numero possibile di sensori esterni, nonché di partecipare a una community vocale che condivide le informazioni.
• Adottare un approccio proattivo. Sviluppare un approccio proattivo alla sicurezza è spesso il modo più efficace per proteggersi. Il detto "la miglior difesa è un buon attacco" è assolutamente vero in questo caso, secondo Eric. Combattendo gli hacker, questi possono essere fermati sul nascere e le aziende possono prevenire le violazioni alla fonte. Con l'utilizzo di metodi più sofisticati e un volume maggiore di attacchi, avere una grande forza è mission critical. Come osserva Eric, "è il momento di iniziare a pensare come un cattivo e di reagire".