Il cyberspazio sta diventando sempre più anonimo e il monitoraggio con regole e firme ha poco valore perché l’infrastruttura può essere modificata con facilità. Secondo Justin Fier, Director of Cyber Intelligence & Analytics di Darktrace, il modo più efficace per prevenire questo è avere la capacità di fermare l’attacco ancor prima che si verifichi. Le capacità difensive sono quindi la chiave dei conflitti che ormai vengono sempre più combattuti nel cyberspazio.
Fier cita il caso della rete televisiva francese TV5Monde che nell’aprile 2015 ha subito un attacco informatico che ha bloccato il canale. Un gruppo di hacker denominato Cyber Caliphate, legato allo Stato Islamico, ha rivendicato la responsabilità, ma un’analisi ha rivelato che non si trattava di un attacco terroristico islamico. Presumibilmente, dietro l’intera faccenda, che viene comunemente definita operazione “false flag”, si celava la Russia.
Secondo esempio di Fier: le email di phishing che impersonificavano il gruppo di estrema destra Proud Boys, che ha disturbato le elezioni statunitensi del 2020 e pareva formato da hacker al servizio della nazione iraniana.
Ma Fier riocorda che nel 2019 era emerso che il gruppo russo Turla aveva violato l’agenzia di intelligence iraniana per lanciare campagne contro il Medio Oriente e l’Occidente utilizzando le infrastrutture iraniane.
L’attribuzione dell’attacco diventa un’arma
Il caso illustra come l‘attribuzione dell’attacco venga trasformata in un’arma, circostanza che rende estremamente difficile per le vittime promuovere un’azione di risposta proporzionata.
Quindi come si può affrontare una guerra cyber alla luce del caso SolarWinds quando la Russia nega qualsiasi coinvolgimento?
Come è possibile punire la Cina per gli attacchi a Microsoft Exchange quando le autorità cinesi affermano che l’accusa è e diffamazione?
Fier spiega che si ha che fare con la tattica della negazione e dell’inganno, che fino a oggi si è rivelata estremamente efficace.
Gli attacchi possono sembrare provenire da un luogo quando in realtà provengono da un altro luogo e il malware stesso può essere camuffato.
Questo è significativo perché diversi tipi di malware hanno obiettivi diversi e vengono sfruttati da gruppi diversi.
Ad esempio, il ransomware tende a essere motivato finanziariamente e quindi viene spesso utilizzato dalla criminalità organizzata.
Quindi, se un modulo di disk wiper proveniente dall’Iran finge di essere un ransomware e distrugge i sistemi israeliani, è probabile che l’attacco di natura finanziaria sia solamenteo un pretesto per nascondere un atto politico da parte dell’Iran stesso, che, in definitiva, potrebbe essere interpretato come un atto di guerra.
Anonimizzazione del cyberspazio
Il cyberspazio sta diventando ogni giorno più anonimo, osserva Fier, e il monitoraggio di tattiche, tecniche e procedure con regole e firme è di scarso valore perché l’infrastruttura può essere modificata con grande facilità.
I sistemi di sicurezza fondamentalmente non sono in grado di rispondere alla domanda sull’attribuzione.
Non è così semplice come dire “abbiamo seguito questi indirizzi IP e quell’attacco è stato fatto da APT27” perché potrebbe trattarsi di un’imitazione.
A loro volta, sono proprio gli stati nazionali a sfruttare questo anonimato per lanciare campagne sotto false identità e con armi mascherate.
Secondo Fier gli Stati Uniti hanno forse le capacità informatiche offensive più avanzate al mondo. Se le nazioni del Five Eyes (Australia, Canada, Nuova Zelanda, Regno Unito e Usa) volessero mandare in crash Internet o spegnere le luci in una grande città, potrebbero farlo.
Ma questa potenza di fuoco aumenta il rischio di errata attribuzione. Un’operazione “false flag” in una regione instabile potrebbe innescare una catena di eventi altamente distruttiva e, secondo Fier, l’ultima cosa che il governo americano desidera è intensificare un conflitto coinvolgendo con una terza parte innocente.
La HUMan INTelligence (HUMINT), ovvero l’attività di intelligence consistente nella raccolta di informazioni per mezzo di contatti interpersonali, è l’unico metodo di attribuzione affidabile, anche se non infallibile.
È difficile trovare un agente sul campo con accesso a informazioni privilegiate e, anche se un governo potesse attribuire un attacco con certezza, potrebbe non desiderare rivelare come ha ottenuto tale conoscenza.
Quindi, dato che questa è la situazione, come si puòreagire correttamente?
Le cosiddette linee rosse indicate dal presidente americano Joe Biden durante l’incontro con quello russo Vladimir Putin rappresentano un passo nella giusta direzione.
Per Fier occorre maggiore trasparenza su quali azioni portano a quali conseguenze.
E potrà sembrare semplicistico, ma il modo più efficace per prevenire questi scenari è fermare l’attacco ancor prima che si verifichi.
Le capacità difensive sono quindi la chiave del cyber conflitto, perché secondo Fier la pax informatica non arriverà presto, mentre la resilienza informatica è già fondamentale per ottenere un vantaggio.
