FireEye, azienda specializzata nella cybersecurity che opera anche sugli aspetti di intelligence, ha messo in guardia le istituzioni europee relativamente a possibili attacchi di hacker in vista delle prossime elezioni europee. La società ha infatti rilevato attività di spionaggio informatico da parte di due gruppi di hacker russi, attività che stanno crescendo dalla metà del 2018 e che hanno come obiettivo gli Stati membri della Nato.
FireEye ritiene che i due gruppi a capo di questa attività, APT28 e Sandworm Team, siano entrambi sponsorizzati dalla Russia. Oltre a rivolgere le proprie attenzioni ai governi europei, hanno preso di mira i media in Francia e Germania, i gruppi di opposizione in Russia e le organizzazioni LGBT che hanno legami con la Russia.
Gli attacchi tipicamente iniziano con l’impiego di tecniche di spear phishing, ovvero con l’invio di email ai potenziali bersagli, con l’obiettivo di indurli a cliccare su link e allegati malevoli, che li portano a siti Web costruiti in modo da simulare siti ufficiali di organizzazioni governative.
“Questi attaccanti cercano poi di avere accesso alle reti delle vittime per raccogliere informazioni, che possano così permettere alla Russia di prendere decisioni politiche più ponderate, oppure prepararsi per diffondere dati e danneggiare un particolare partito o candidato politico prima delle elezioni europee”, ha dichiarato Benjamin Read, Senior Manager of Cyber Espionage Analysis di FireEye. “Il legame tra questa attività e le Elezioni Europee deve essere confermato, ma i molteplici sistemi di voto e i partiti politici coinvolti nelle elezioni creano un’ampia superficie di attacco per gli hacker”.
Se i due gruppi di hacker individuati condividono gli stessi obiettivi, essi differiscono per gli strumenti utilizzati: Sandworm Team tende a usare strumenti di attacco pubblicamente noti e disponibili, mentre APT28 usa strumenti costosi ed è stato in grado di sviluppare exploit zero-day, estremamente difficili da individuare.
L’industria sotto mira
Contestualmente al grido d’allarme, FireEye ha anche presentato l’edizione 2019 dell’M-Trends Report, il documento che raccoglie i dati globali emersi dalle investigazioni condotte nel 2018 da Mandiant, il “braccio consulenziale” di FireEye. Il documento, che potete trovare qui, analizza le tendenze emerse nel mondo della cybersecurity e rivela i maggiori trend che ci troveremo ad affrontare quest’anno.
Fra le più interessanti tendenze rilevate, il lieve accorciamento dei tempi necessari per “accorgersi” di un attacco (da 57,5 a 50,5 giorni); la maggiore determinazione degli attaccanti (che li porta sempre più spesso ad attaccare nuovamente organizzazioni che avevano già colpito in precedenza); l’arrivo sulla scena del nuovo gruppo APT40, noto anche come Periscope, focalizzato sull’attacco di organizzazioni operanti nei Paesi strategicamente importanti per l’iniziativa cinese Belt&Road – parliamo di aziende dei settori navale, difesa, aviazione, chimica, ma anche enti di ricerca, governi e altre aziende tecnologiche. Secondo FireEye, questo gruppo è sponsorizzato a livello del governo di Pechino. Altri trend confermano la preferenza degli hacker per gli attacchi al settore finanziario, (24% delle investigazioni condotte da Mandiant, contro il 17% per i servizi di business e il 12% del settore retail e hospitality), e indicano un aumento degli attacchi di phishing mirati alle attività di fusione e acquisizione di aziende.
Infine, un trend che comincia a delinearsi è un incremento degli attacchi mirati in modo specifico alle criticità degli ambienti OT. E non stiamo parlando solo delle grandi aziende, bersaglio “tradizionale” degli hacker. Alcuni gruppi in particolare hanno iniziato ad attaccare aziende medio piccole, tipicamente poco o male difese, per sfruttarle come “cavalli di troia” per entrare nei sistemi informativi di grandi aziende delle quali esse sono fornitrici. Ne parla Gabriele Zanoni, Systems Engineer di FireEye, nella breve intervista che trovate qui sotto e che vi consigliamo di guardare.
“I dati relativi al 2018 dimostrano che le organizzazioni hanno risposto più rapidamente alle compromissioni. Nello stesso tempo, però, gli aggressori sono diventati più sofisticati, adottando nuovi metodi di attacco”, ha dichiarato Marco Riboli, Vice President, Southern Europe di FireEye. “Il nostro report M-Trends 2019 mostra che nessun settore è al sicuro da queste minacce, motivo per il quale è positivo vedere un miglioramento nei tempi di risposta alle violazioni. Tuttavia, alla maggior parte degli attaccanti bastano pochi giorni di permanenza all’interno di un’organizzazione per causare danni ingenti, ed è per questo che continueremo a essere in prima linea nel combattere i criminali informatici”.
