Advance Persistent Threat: i nuovi Cyber criminali
Nelle ultime settimane Evil Corp è emersa all’attenzione del grande pubblico per l’attacco a Garmin e il (probabile) riscatto di 10 milioni di dollari che ha intascato. Si tratta di un gruppo di Cyber criminali, presumibilmente operanti dal territorio russo, che si districa tra attacchi informatici e attività di intelligence. L’intreccio che queste due attività assumono ha creato una nuova categoria di soggetti.
Le Cyber Defense Agency occidentali definiscono questi gruppi con una sigla, APT - Advance Persistent Threat, che indica tre caratteristiche: hanno capacità avanzate, risorse finanziarie per perpetuare nel tempo le minacce e sono pericolosi. Si tratta degli attori che non seguono il copione di «Avarage Security», ma operano con obiettivi specifici, preferendo le grandi organizzazioni e con un orizzonte geopolitico globale.
Solitamente hanno un duplice obiettivo: fare soldi e ottenere informazioni. I due scopi si intrecciano in continuazione e, a seconda delle necessità, uno ottiene priorità sull’altro. Esiste però uno schema comune: prima si esfiltrano le informazioni e poi si cerca di monetizzare con la loro vendita o la richiesta di un riscatto. Esiste anche l’ipotesi che, a volte, lavorino su mandato di enti governativi, in tal caso si può supporre che le informazioni le vendano a loro. Si differenziano dai “Cyber criminali comuni” in quanto non utilizzano risorse già disponibili ma sono in grado di crearne di proprie,come potrebbe fare una grande organizzazione.
MITRE ATT&CK: comprendere il fenomeno per combatterlo
Per una comprensione più tecnica del fenomeno, il framework di riferimento è il MITRE ATT&CK, sviluppato sulla base dell’osservazione delle tattiche e delle tecniche di attacco. Il MITRE è una associazione no-profit che si occupa di valutazione delle tecnologie; solo per caso ha due sedi: una all’interno di uno dei più importanti centri scolastici per la formazione tecnologica e una a fianco della National Security Agency. Uno degli obiettivi è mappare le attività dei diversi gruppi operanti nell’ombra del Cybercrime per il loro comportamento, classificando l’uso di tecniche omogenee e mappandone l’evoluzione nel tempo.
In egual modo le diverse Agenzie di Intelligence cercano di creare connessioni tra questi gruppi e i vari stati. Un esempio interessante è quanto fatto dagli Israeliani nel caso di un programma Iraniano di sorveglianza della popolazione: prima sono riusciti a ricostruire l’intero programma e ad entrare in possesso dei dati e poi lo hanno associato ad un gruppo operante in collaborazione con i russi. Il programma in questione è «Domestic Kitten».
Le attività di sorveglianza attraverso malware di diverso tipo sono le microspie del terzo millennio: nel caso di “NetTraveler is Running!” l’obiettivo era monitorare le attività di circa 400 persone di alto profilo, prevalentemente ufficiali governativi e diplomatici, in 40 paesi. Tutto ebbe inizio con ATP 1 e gli attacchi TitanRain che colpirono il Ministero della Difesa degli Stati Uniti e GhostNet, una rete di macchine compromesse distribuite tra America, Europa e Asia. Fu probabilmente una delle prime iniziative di questo tipo collegabili alla Cina.
Le organizzazioni APT in attività
Esistono diverse liste che hanno l’obiettivo di mantenere aggiornate le informazioni su queste organizzazioni, ecco alcune attualmente in attività:
- APT 39 - attribuibile all’Iran, agisce prevalentemente in medio oriente;
- APT 33 - attribuibile all’Iran, è presentemente attiva nello spionaggio nei confronti delle industri aerospaziali ed energetiche;
- APT 34 - attribuibile all’Iran, è presentemente attiva nei confronti di istituzioni governative e finanziarie;
- APT 41 «Double Dragon» - attribuibile alla Cina e specializzata nelle intrusioni nell’industria del gaming;
- APT 40 - attribuibile alla Cina e storicamente attiva nel sudest asiatico, ha come obiettivi preferiti energia e difesa;
- APT 38 - attribuibile alla Corea del Nord e attivo nei confronti di organizzazioni finanziarie occidentali;
- APT 37 - attribuibile alla Corea del Nord e principalmente attivo nei confronti della Corea del Sud;
- APT 32 «OceanLotus Group» - attribuibile al Vietnam;
- APT 30 - attribuibile alla Cina, molto attiva nella diffusione di malware per attacchi sul lungo periodo;
- APT 29 - attribuibile alla Russia e specializzato nello spionaggio verso i governi dell’Europa Occidentale;
- APT 28 «Tsar Team» - attribuibile alla Russia, attivo nel Caucaso e nei confronti delle installazioni NATO;
- APT 19 «Codoso Team» - attribuibile alla Cina e ha come obiettivi il settore legale e quello degli investimenti.
- APT 18 «Wekby» - attribuibile alla Cina, sono i creatori di Gh0st Rat;
- APT 17 «Deputy Dog» - attribuibile alla Cina; famosi alcuni attacchi contro istituzioni governative statunitensi condotti con il malware «Blackcoffe»;
- APT 16 - attribuibile alla Cina e molto attivo nei confronti di Taiwan e Giappone;
- APT 12 «Calc Team» - attribuibile alla Cina e attivo contro la stampa occidentale;
- APT 1 - direttamente attribuibile all’Esercito Popolare di Liberazione Cinese;