Di Marco Rottigni, Chief Technical Security Officer area EMEA di Qualys
Viviamo tempi davvero interessanti: esattamente dieci anni fa il Dipartimento della Difesa U.S. ha definito il dominio cyber come quinto dominio di arte bellica, ma è stato soltanto pochi anni fa che le peculiarità di questa catalogazione sono emerse in tutta la loro evidenza.
Le tecniche di guerra digitale a livello strategico, operativo e tattico, si sono combinate con caratteristiche uniche di questo dominio – come ad esempio l’asimmetria tra attaccante e difensore oppure la velocità di propagazione – contaminandosi con altri ambiti economici e criminali, fino a rappresentare oggi un unicum che premia questa catalogazione elevandola quasi a singolarità tecnologica.
Prendiamo in esame un threat actor particolare, chiamato Lazarus. Innanzitutto per “Threat actor” si intende una denominazione specifica, riservata normalmente agli attori organizzati che sono emersi per l’utilizzo di strategie, procedure e tecniche di attacco ben definite e particolari. Lazarus, nello specifico, è un gruppo sponsorizzato dallo Stato Nord-Coreano e attivo dal 2009; secondo altre classificazioni, questo gruppo può essere conosciuto con l’acronimo APT38, Hidden Cobra, ZINC. La campagna di attacco lanciata dal gruppo era basata su una versione del software IDA Pro armata con un malware trojan e mirata alla compromissione di ricercatori di cybersecurity. Analizzando alcuni aspetti di questi cyberattacchi emergono alcune importanti connotazioni.
IDA Pro è un potente software che permette agli analisti di security di disassemblare qualunque eseguibile, per esempio per capire in che modo sia possibile infettare i sistemi attraverso un malware. Questa operazione è chiamata reverse engineering. Il motivo per cui IDA Pro è diventato popolare tra i ricercatori di sicurezza è dovuto alla potenza della soluzione, che esiste in una versione gratuita con funzionalità decisamente di livello. Per avvantaggiarsi della potenza della versione completa, però, è necessario acquistare la versione Professional, che ha un costo importante. Questo ha portato diversi ricercatori a cercare versioni piratate o comunque non ufficiali della soluzione, creando l’utenza target per l’attacco di Lazarus Group.
Riflettendo su questo aspetto, è incomprensibile la scelta di cercare una versione craccata di un software per reverse engineering da parte di chi dovrebbe conoscere molto meglio di altri i rischi a cui va incontro: è infatti certo che una versione di software piratata sia infetta con forme di malware più o meno subdolamente celante, ma spesso dagli effetti devastanti. Non che la mossa di Lazarus Group sia in alcun modo giustificabile, ma la scelta del target da parte dell’attaccante potrebbe non essere per nulla casuale. Da un punto di vista strategico, infatti, un ricercatore di cybersecurity occupa un posto di estremo rilievo nella “catena del valore”: potrebbe essere infatti un consulente, infettato il quale si avrebbe accesso a più clienti; oppure colpire un’analista potrebbe aiutare a violare il sancta sanctorum della cybersecurity di un’impresa, la parte più specialistica della filiera di difesa. Ecco perché questa notizia dovrebbe far riflettere su questo strano conflitto tra due fronti che solo in apparenza sono opposti, ma che in realtà rappresentano elementi dannosi per le aziende e per la security in generale.
Per ulteriori informazioni consultare www.qualys.com.