Gli attacchi informatici sponsorizzati dagli Stati non assomigliano quasi mai agli incidenti più visibili del cybercrime tradizionale. Non puntano necessariamente a bloccare i sistemi, cifrare i dati o mostrare subito una richiesta di riscatto. Molto più spesso, cercano l’opposto: restare invisibili, muoversi con pazienza all’interno dell’organizzazione e usare gli stessi strumenti che l’azienda considera affidabili.
È il punto centrale dell’analisi di Cisco Talos firmata da Elio Biasiotto e Jerzy “Yuri” Kramarz, che mette a fuoco una differenza cruciale nella risposta agli incidenti: gestire una compromissione attribuibile a gruppi state-sponsored non è come gestire un attacco ransomware. Cambiano gli obiettivi, i tempi, il livello di disciplina operativa dell’avversario e, soprattutto, cambia il modo in cui l’attaccante tenta di rimanere dentro l’ambiente colpito.
La premessa è scomoda ma realistica. Molte organizzazioni continuano a operare con l’idea che ciò che si trova dentro il proprio perimetro di fiducia sia, per definizione, affidabile. I software arrivano da fornitori verificati, i dipendenti sono sottoposti a controlli, i cloud provider espongono certificazioni di conformità e le pipeline di sviluppo producono artefatti firmati. In teoria, questo dovrebbe ridurre il rischio. In pratica, è proprio su questa fiducia implicita che gli attori sponsorizzati dagli Stati costruiscono buona parte delle proprie operazioni.
Questi gruppi non hanno sempre bisogno di “sfondare” le difese. Possono accedere con credenziali valide, usare strumenti amministrativi già presenti, sfruttare fornitori compromessi o muoversi attraverso processi che appaiono autorizzati. È per questo che Cisco Talos sintetizza il problema in modo netto: gli attori state-sponsored non fanno irruzione, fanno login.
La fiducia implicita diventa una superficie d’attacco
Il modello di sicurezza tradizionale tende a separare ciò che è esterno, e quindi potenzialmente ostile, da ciò che è interno, e quindi considerato legittimo. Questa distinzione, però, è sempre meno adeguata. Gli attaccanti sponsorizzati dagli Stati lavorano proprio per collocarsi dentro il perimetro di fiducia e agire come se fossero utenti, amministratori, strumenti di gestione o processi autorizzati.
Il problema non è solo tecnico. È architetturale e organizzativo. Se un account legittimo interroga Active Directory tramite PowerShell, il sistema di sicurezza può registrare un’attività amministrativa ordinaria. Se un tool come SCCM, Puppet, WMI o PsExec viene usato per distribuire attività su più host, l’evento può sembrare coerente con le normali operazioni IT. Se un fornitore ha accesso remoto a un ambiente critico, quel canale può diventare una porta d’ingresso difficile da distinguere da un uso legittimo.
È qui che il concetto di zero trust torna centrale, ma non nella sua versione sloganistica. Cisco Talos non parla di un modello in cui non ci si fida mai di nulla, perché nessuna organizzazione potrebbe davvero operare così. Il principio operativo è diverso: verificare continuamente e progettare i sistemi assumendo che la verifica possa fallire.
Questa impostazione richiede un cambio profondo. Non basta più autorizzare un utente o un processo una volta sola. Occorre controllare costantemente identità, comportamento, contesto, privilegi, movimenti laterali e uso degli strumenti amministrativi. In altre parole, la fiducia non deve essere uno stato permanente, ma una condizione da rivalutare nel tempo.
Stessa Cyber Kill Chain, ma obiettivi radicalmente diversi
Gli attacchi sponsorizzati dagli Stati seguono la stessa sequenza di base descritta dalla Cyber Kill Chain: ricognizione, preparazione, consegna, sfruttamento, installazione, comando e controllo, azione sugli obiettivi. La differenza non è nella struttura, ma nel modo in cui ogni fase viene condotta.
Un gruppo criminale motivato dal profitto ha bisogno che la vittima sappia di essere stata colpita. La nota di riscatto, il sito di leak e il canale di negoziazione fanno parte del modello economico dell’estorsione. Un attore sponsorizzato da uno Stato, al contrario, punta a non farsi vedere. Se l’obiettivo è lo spionaggio, il furto di proprietà intellettuale o il posizionamento preventivo per una futura operazione di sabotaggio, il successo dipende dalla permanenza silenziosa dentro l’ambiente compromesso.
La ricognizione può durare settimane o mesi, spesso sfruttando fonti aperte, social engineering e informazioni ottenute attraverso organizzazioni adiacenti. In alcuni casi, può non lasciare alcuna traccia nei log della vittima. L’accesso iniziale può avvenire tramite vulnerabilità zero-day o supply chain compromise, ma spesso passa da credenziali legittime ottenute con spear phishing o compromissioni indirette.
Il movimento laterale è la fase in cui la differenza diventa più evidente. Gli attori avanzati tendono a evitare malware personalizzati quando possono usare strumenti già disponibili nell’ambiente. Questa tattica, nota come living off the land, riduce la superficie di rilevamento perché le attività malevole si confondono con quelle amministrative. Il risultato è un dwell time prolungato, non perché l’attaccante si muova lentamente, ma perché si muove con disciplina.
Anche la persistenza viene progettata su più livelli. Attività pianificate, account dormienti, configurazioni di servizio modificate, meccanismi firmware-level e accessi distribuiti su più punti dell’infrastruttura permettono all’attore di mantenere una presenza anche se una singola via d’accesso viene scoperta. L’obiettivo non è solo entrare, ma poter rientrare.
Perché la risposta agli incidenti non può essere quella del ransomware
Un piano di incident response pensato soprattutto per malware e ransomware rischia di essere insufficiente contro un attore sponsorizzato da uno Stato. Nel ransomware la priorità è spesso contenere rapidamente, isolare i sistemi, bloccare la propagazione e avviare il ripristino. In una compromissione state-sponsored, la decisione è più complessa.
Un contenimento immediato può essere necessario, ma può anche far perdere l’occasione di capire quanto sia esteso l’accesso dell’avversario, quali sistemi siano stati compromessi, quali meccanismi di persistenza siano stati installati e quali obiettivi l’attore stesse perseguendo. Peggio ancora, può segnalare all’attaccante che è stato scoperto e spingerlo ad accelerare l’esfiltrazione, distruggere prove o attivare capacità dormienti.
Per questo la risposta non può essere delegata solo al SOC. La scelta tra monitoraggio silenzioso e contenimento attivo deve coinvolgere il management, il team legale e, nei casi più gravi, le autorità nazionali competenti. Deve essere una decisione prevista prima dell’incidente, non improvvisata durante la crisi.
Il piano di incident response dovrebbe quindi definire in anticipo chi ha l’autorità per decidere il momento del contenimento, quali criteri determinano il passaggio dal monitoraggio all’azione, quali prove devono essere raccolte prima di intervenire e quali canali di comunicazione usare se si presume che l’attaccante possa leggere email o piattaforme collaborative interne.
Questo punto è essenziale. In una compromissione avanzata, bisogna assumere che l’avversario possa osservare almeno una parte della risposta. Se ha ottenuto privilegi elevati o accesso a piattaforme di collaborazione, potrebbe vedere le discussioni interne sull’indagine. Di conseguenza, servono comunicazioni out-of-band, dispositivi separati, compartimentazione delle informazioni e contatti già stabiliti con CERT, autorità nazionali e organismi di settore.
L’attribuzione serve, ma non deve bloccare la risposta
L’attribuzione è uno degli aspetti più fraintesi negli incidenti state-sponsored. Dal punto di vista tecnico, associare un’intrusione a un gruppo noto sulla base di tattiche, tecniche, procedure, infrastrutture o malware può essere utile. Aiuta a capire quali obiettivi siano probabili, quali sistemi vadano prioritizzati e quali meccanismi di persistenza cercare.
Ma l’attribuzione politica o legale, cioè l’assegnazione pubblica della responsabilità a uno Stato, non è compito del team di sicurezza aziendale. È una funzione governativa e richiede fonti di intelligence, contesto geopolitico e capacità che normalmente non appartengono a un’organizzazione privata.
Per le aziende, la priorità resta operativa: contenere, determinare l’estensione della compromissione, raccogliere prove, ripristinare i sistemi e condividere gli indicatori rilevanti con autorità nazionali, CERT e ISAC. Sapere con certezza chi ci sia dietro può aiutare, ma non deve diventare una condizione per agire.
Logging, baseline e identità sono il punto di partenza
Il problema principale, in molti ambienti, è che quando emerge un sospetto di compromissione avanzata l’organizzazione scopre di non avere log sufficienti, baseline aggiornate o visibilità sugli strumenti critici. A quel punto è troppo tardi. La preparazione deve avvenire prima.
Cisco Talos richiama alcune aree fondamentali. In ambiente Windows, il logging della creazione dei processi con Event ID 4688 deve includere gli argomenti completi della riga di comando, perché sapere che un processo è stato eseguito non basta: bisogna sapere come è stato eseguito. Il PowerShell script block logging, con Event ID 4104, deve catturare il codice realmente eseguito. Sysmon può aiutare a identificare relazioni sospette tra processi padre e figli e l’abuso di binari legittimi come proxy per attività malevole.
La raccolta centralizzata dei log è altrettanto importante. Un attore avanzato può cancellare gli eventi locali, alterare timestamp e ridurre gli artefatti. Se i log non vengono inoltrati a una posizione centralizzata e resistente alla manomissione, le prove possono sparire insieme alla possibilità di ricostruire l’attacco.
Ma la telemetria endpoint non basta. Gli attori state-sponsored possono operare attraverso strumenti legittimi, generando eventi difficili da distinguere da quelli ordinari. Per questo serve anche visibilità di rete: analisi NetFlow, logging DNS, rilevamento di pattern anomali nel traffico cifrato e monitoraggio delle comunicazioni tra sistemi che normalmente non dovrebbero parlarsi.
Le baseline comportamentali sono un altro elemento critico. Una baseline statica, definita una volta e poi abbandonata, rischia di produrre rumore o falsa sicurezza. L’organizzazione cambia, gli amministratori cambiano ruolo, le applicazioni vengono aggiornate, i pattern di traffico evolvono. Se il modello di normalità non viene aggiornato, le anomalie vere si confondono con l’ordinario.
In parallelo, la sicurezza delle identità deve diventare una priorità. Gli attori sponsorizzati dagli Stati si muovono spesso attraverso credenziali, non attraverso malware facilmente riconoscibili. Attacchi come pass-the-hash, pass-the-ticket e Kerberoasting sfruttano protocolli legittimi e possono non attivare antivirus o controlli basati su firme. Servono quindi MFA per gli account amministrativi, modelli di amministrazione a livelli, privilegi minimi per gli account di servizio e monitoraggio delle autenticazioni anomale.
OT, supply chain e insider threat allargano il perimetro della risposta
Per le organizzazioni con ambienti OT e sistemi industriali, la situazione è ancora più delicata. Il confine tra IT e OT che appare nei diagrammi di rete è spesso più logico che reale. Gli attori sponsorizzati dagli Stati lo trattano come un percorso di movimento laterale, non come una barriera.
In contesti come energia, acqua, manifattura o trasporti, la disponibilità dei sistemi è anche un vincolo di sicurezza fisica. Non sempre è possibile spegnere un impianto per acquisire immagini forensi. Molti sistemi legacy non possono essere aggiornati rapidamente, o richiedono l’intervento del vendor. In questi casi, la segmentazione, il monitoraggio, il virtual patching e, dove necessario, soluzioni hardware come gateway unidirezionali diventano parte della strategia di resilienza.
Anche la supply chain deve essere trattata come estensione del perimetro di fiducia. Vendor, dipendenze software, strumenti di accesso remoto e dispositivi di rete possono diventare punti d’ingresso. Servono inventari aggiornati, Software Bill of Materials, mappatura degli accessi dei fornitori, clausole contrattuali di notifica rapida degli incidenti e procedure già autorizzate per revocare accessi, isolare integrazioni o intervenire su componenti compromessi.
C’è poi il tema dell’insider threat, che nel contesto state-sponsored non coincide solo con il dipendente scontento. Può trattarsi di un’operazione strutturata di intelligence, in cui il processo di assunzione diventa esso stesso un vettore d’attacco. Cisco Talos richiama il caso dei lavoratori IT legati alla Corea del Nord come esempio documentato. Per questo, verifiche sull’identità, controlli sulla coerenza delle informazioni, analisi dei footprint digitali e collaborazione tra security, HR, legal e finance diventano parte della postura difensiva.
La preparazione state-sponsored parte dalle priorità realistiche
Il rischio, davanti a una lista così ampia di controlli, è produrre una raccomandazione ingestibile: fare tutto, subito. Nella realtà, molte organizzazioni lavorano con budget limitati, team ridotti e priorità concorrenti. La sequenza conta.
La prima priorità è la visibilità. Prima di acquistare nuovi strumenti, bisogna attivare e sfruttare ciò che spesso è già disponibile: logging della riga di comando, PowerShell script block logging, inoltro centralizzato dei log, raccolta degli eventi dai sistemi critici. Senza dati osservabili e conservati, ogni capacità di detection e risposta arriva zoppa.
La seconda priorità è l’identità. Poiché gli attori sponsorizzati dagli Stati si muovono spesso tramite credenziali valide, proteggere gli account amministrativi, applicare MFA, ridurre i privilegi degli account di servizio e separare i livelli amministrativi offre un ritorno di sicurezza spesso superiore a molte iniziative endpoint più costose.
La terza priorità è concentrare il monitoraggio dove l’attaccante dovrà inevitabilmente passare: domain controller, infrastrutture di identità, sistemi esposti su Internet, server critici, ambienti cloud e componenti che collegano IT, OT e fornitori. Una visibilità profonda sui punti nevralgici è più utile di una visibilità superficiale distribuita ovunque.
La difesa contro gli attori di Stato è una disciplina di lungo periodo
Le minacce sponsorizzate dagli Stati obbligano le organizzazioni a ripensare il concetto stesso di incidente. Non sempre c’è un’esplosione, un fermo operativo o una richiesta di riscatto. A volte l’incidente è un accesso silenzioso che dura mesi, un account valido usato in modo anomalo, un flusso DNS insolito, una query amministrativa fuori contesto o una presenza dormiente in un ambiente OT.
Per questo la risposta deve essere continua. Dopo il contenimento e il ripristino, il lavoro non finisce. Gli indicatori raccolti vanno condivisi con i canali appropriati, le evidenze vanno mappate su framework come MITRE ATT&CK, le regole di detection devono essere aggiornate, i privilegi rivisti e il threat hunting deve proseguire. Un attore sponsorizzato da uno Stato, se espulso, può tentare di rientrare con infrastrutture diverse o tecniche modificate.
La lezione di Cisco Talos è netta: la readiness contro le minacce state-sponsored non è un singolo progetto né un investimento una tantum. È una sequenza di scelte strutturali. Visibilità, identità, segmentazione, supply chain, piani di risposta, comunicazioni sicure e rapporti con le autorità devono essere predisposti prima dell’incidente.
Il punto più difficile da accettare è anche il più importante: contro questi avversari, il problema non è solo bloccare ciò che appare malevolo. È riconoscere quando qualcosa di apparentemente legittimo non lo è più.
