(di Massimiliano D’Elia) Gli attacchi hacker del 2017 sembrano essere usciti fuori da un film di azione e spionaggio americano. Se il 2017 è stato notevole per l’escalation e la proliferazione degli attacchi informatici, tutti si chiedono cosa succederà nel 2018?
Il cosiddetto attacco WannaCry a maggio è stato l’inizio della paura di attacchi massivi e su larga scala.
L’idea che potessimo vedere gli hacker – forse legati alla Russia – rubare il codice dell’American’s National Security Agency, pubblicarlo, e poi fare in modo che gli hacker nordcoreani lo riutilizzassero prima di usarlo per eliminare una parte significativa del database del National Health Service britannico, sembrerebbe fantascienza, invece è successo.
L’ipotesi più accreditata del WannaCry è che l’attacco sia stato in realtà uno schema per far soldi andato male, che si è diffuso molto più rapidamente del previsto e che ha fatto scuola tra gli hacker.
Ha dimostrato come il ransomware – bloccando una macchina – potrebbe essere usato come un’arma, e a pensare bene, quanto vulnerabili siano molte parti della nostra società per questo tipo di minaccia.
La paura per il futuro è che l’esempio di WannaCry possa essere replicato su larga scala verso organizzazioni sempre più sofisticate con inevitabile commercio di dati con finalità criminali.
Dopo WannaCry l’altro attacco di alto profilo è arrivato il mese successivo.
Il “NotPetya”, ha dirottato il servizio di aggiornamento di una società di software fiscale ucraina che doveva essere utilizzata da chiunque facesse affari nel paese, per poi diffondersi attraverso le reti aziendali, bloccando di nuovo i computer con il ransomware. L’obiettivo qui era di interrompere, piuttosto che fare soldi, dal momento che la chiave per decifrare i file non era nemmeno accessibile.
Conseguenze del mondo reale
Divenne presto chiaro che qualsiasi azienda con una filiale o un ufficio collegato all’Ucraina poteva essere colpita, e l’attacco si diffuse in lungo e in largo, con stime di perdite aziendali che ammontavano a centinaia di milioni di dollari.
Questo attacco è stato attribuito ai russi che precedentemente avevano preso di mira anche una centrale elettrica poi messa offline.
Sean Kanuck esperto di cybersecurity, sottolinea inoltre che l’hacking della Commissione per la sicurezza e gli scambi americani è stato un altro grande evento, a causa della possibilità di utilizzare le informazioni per l’insider trading e la manipolazione del mercato.
Proliferazione di capacità
Le intrusioni informatiche cinesi contro gli Stati Uniti sono diminuite dopo un accordo fatto dall’amministrazione Obama, anche se un attacco contro i fornitori di servizi tecnologici chiamato Cloud Hopper e collegato alla Cina è stato sottostimato, dato il modo in cui è stato in grado di sfruttare l’accesso a molte altre società.
Le agenzie di intelligence che fanno monitoring delle minacce affermano di aver visto un aumento di attività dall’Iran e avvertono che potrebbe essere il paese da tenere d’occhio nel 2018. È stato accusato per un attacco del Parlamento britannico quest’anno, che aveva compromesso i sistemi off-line per manutenzione dei sistemi, e ci sono state preoccupazioni anche per attacchi distruttivi più gravi.
La geopolitica si lega strettamente al cyber-comportamento
Il peggioramento delle tensioni con la Corea del Nord potrebbe portare a scatenare più attività cyber.
“Il settore finanziario – in particolare i mercati azionari, le grandi aziende – e le infrastrutture energetiche saranno possibili target, afferma Cameron Colquhoun, dell’Intelligence Neon Century, in n articolo della BBC.
La Corea del Nord ha “hackerato la criptovaluta della Corea del Sud. Il deterioramento della situazione regionale in Medio Oriente e la potenziale fine dell’accordo nucleare iraniano potrebbero anche portare Teheran a fare di più, e gli analisti hanno visto attori collegati all’Iran che esploravano infrastrutture critiche.
FireEye afferma di aver visto aumentare l’attività di recente da due diversi gruppi di hacker collegati all’Iran (noti come APT 33 e 34) con possibili ricognizioni nei settori della finanza, dell’energia e delle telecomunicazioni.
Più in generale, un certo numero di paesi in Medio Oriente, tra cui il Qatar, gli Emirati Arabi Uniti e l’Arabia Saudita, potrebbero essere più disposti a impegnarsi in diversi livelli di attacco informatico man mano che sviluppano le proprie capacità.
Anche l’uso del cyber-hacking per interferenze politiche ha avuto uno sviluppo significativo
Usa: le informazioni sono state violate presso la sede del Partito Democratico degli Stati Uniti e di alcuni funzionari di Hillary Clinton nel 2016.
Russia: come se fosse un “cloud” sulla Casa Bianca di Trump, indagine denominata Rissiagate, sulle possibili ingerenze sulle elezioni presidenziali.
Francia: la campagna Macron in Francia ha visto un’attività simile nel 2017.
Inghilterra: nel suo discorso alla Mansion House di novembre, il primo ministro britannico Theresa May ha anche avvertito che la Russia stava “cercando di armare le informazioni”, anche se finora le prove dell’interferenza russa nel Regno Unito sono più limitate e la Russia ha negato tutte le accuse di interferenze e cyber-hacking.
E a dicembre il segretario agli Esteri Boris Johnson e il suo omologo russo Sergei Lavrov si sono scontrati a Mosca per presunti attacchi informatici russi contro i paesi occidentali.
La questione delle interferenze politiche ha anche segnato un cambiamento nella comprensione che il cyber non riguarda solo il cyber.
Nel caso dell’America, le informazioni provenienti dal DNC – l’organo di governo del partito democratico – sono state violate e poi diffuse attraverso una serie di canali e diffuse attraverso i social media.
In altre parole, l’elemento di hacking era solo una parte di un’operazione più ampia.
L’avvicinamento alla sicurezza cibernetica rischia in modo limitato di perdere la misura in cui la Russia, in particolare, l’ha integrata in una gamma più ampia di attività, che spesso rientrano nella categoria “guerra ibrida”.
Questo fa parte di una tendenza più ampia all’uso delle informazioni come arma. E non sono solo Stati.
Infrastruttura a rischio
Le aziende e gli attori non statali cercano sempre più di rubare i dati e rilasciarli o modellare i flussi di informazioni per adattarli ai loro programmi (o, talvolta, solo per fare soldi spostando le attenzioni dei mercati finaziari).
Il problema qui è la manipolazione del flusso di informazioni, di cui la “cyber-sicurezza” è solo un aspetto.
Il timore è che la tendenza all’escalation di attacchi distruttivi – e una proliferazione di coloro che sono in grado di eseguirli – potrebbero creare problemi seri alla sicurezza di interi paesi e continenti. In particolare, potrebbe esserci un maggiore targeting dell’infrastruttura critica.
In passato, gran parte degli attacchi era concentrato nel pre-posizionamento del codice malevolo in modo da poter effettuare un attacco in futuro, ma ora invece possiamo subire attacchi in real time verso centri strategici tipo telecomunicazioni, aeroporti e centrali elettriche.
Gli attacchi informatici stanno diventando argomento da parte della politica estera e della difesa e sono sempre più utilizzati in modo aggressivo e concreto. Senza alcun segnale di voler stabilire norme concordate su ciò che è – o non è – un comportamento accettabile nel cyber-spazio, preparatevi ad altre sorprese ancora più eclatanti nell’anno 2018.