Quanto è facile essere un hacker

Da tempo si parla sempre più spesso di attacchi cyber di "alto livello". Qualsiasi organizzazione venga colpita, l'aggressione è come minimo "sofisticata", e in alcuni casi si ventila l'ipotesi che il mandante sia qualche governo (anche se il più delle volte la vittima viene raggiunta da una richiesta di riscatto). In realtà ritengo che sia più corretto parlare di organizzazione e strutturazione, perché le capacità tecniche e gli strumenti hardware e software per portare a termine un attacco sono facilmente disponibili e neppure tanto difficili da utilizzare. Quello che sta cambiando è il livello di maturità delle organizzazioni criminali che sfortunatamente si sta livellando verso l'alto. In altre parole i delinquenti studiano e imparano.

A titolo esemplificativo possiamo osservare come si è evoluta la minaccia del ransomware negli ultimi anni. In passato i click di un utente su un allegato o un link malevoli bastavano a scatenare il malware. Poi i criminali hanno capito che la modalità andava bene giusto per colpire i privati cittadini e ricavare qualche centinaio di dollari. Le organizzazioni non si scomponevano perché di solito riuscivano a limitare il danno a qualche Pc e a pochi sistemi che potevano essere facilmente ripristinati.

Allora ecco che gli attacchi di phishing non puntavano più al semplice click, ma ad ingannare la vittima spingendola a fornire la sua utenza grazie alla quale i criminali avrebbero potuto infiltrarsi nei sistemi. A quel punto sarebbe stato possibile installare direttamente il ransomware dove poteva fare il maggior danno, ivi compresi i sistemi che gestiscono i back up on line. Tuttavia si poteva fare ancora meglio, per esempio esfiltrare i dati prima di crittografarli e quindi minacciare la vittima di renderli di pubblico dominio; peraltro il ransomware avrebbe funzionato anche come sistema per cancellare gran parte delle proprie tracce.

Questa forma di aggressione si è dimostrata efficace, ma poteva essere meglio strutturata. In primo luogo facendo una selezione degli obiettivi, da un lato per meglio quantificare il riscatto, dall'altro per valutare l'effettiva capacità di pagarlo. Questo ha richiesto l'organizzazione di un'attività di OSINT, cioè la raccolta di informazione da fonti aperte e pubbliche (siti internet, mass media, profili e pagine sui social). Un altro significativo miglioramento si è avuto quando hanno compreso che poteva essere utile mantenere un accesso nascosto ai sistemi violati tramite backdoor. Esse potevano risultare un'ulteriore fonte di ricavi rivendendole ad altri gruppi criminali interessati a quel preciso target.

Allo stesso modo la compra-vendita di credenziali di autenticazione a diversi sistemi si è via via rivelata un affare piuttosto redditizio. Diventando progressivamente più complesso il lavoro, si sono andate creando organizzazioni sempre più specializzate (per esempio c'è chi i malware li realizza, chi li distribuisce all'ingrosso e anche qualcuno che li vende al dettaglio).

Quello a cui stiamo assistendo è il sorgere di una nuova economia criminale sempre più organizzata e strutturata. Certo non mancano i cani sciolti e i piccoli truffatori, ma quello che preoccupa è il livello di professionalità che la criminalità informatica sta raggiungendo applicando modalità di attacco note da oltre vent'anni a chi si occupa di sicurezza. Ancora nel 2002 in uno dei miei libri descrivevo le ben note sequenze di un attacco suddividendole in sei fasi: ricognizione non invasiva, ricognizione invasiva, attacco al sistema, prelievo di dati, mantenimento della possibilità di accesso, cancellazione delle tracce. All'epoca erano tematiche per "iniziati", oggi sembrano essere l'ABC delle organizzazioni di cyber criminali. Lasciatemi dire che questa è la parte più inquietante.