L’obiettivo, spiega la direttrice del MSTIC (Microsoft Threat Intelligence Center), è quello di individuare tempestivamente le nuove minacce e predisporre le difese di conseguenza. Le fonti utilizzate sono numerose. Alcune sono semplici strumenti tecnici, come i dati rilevati dai sistemi antivirus e dal monitoraggio dei sistemi Microsoft, che comprende 1,5 miliardi di dispositivi.
A questo, si aggiungono informazioni che vengono recuperate online su forum frequentati dai cyber criminali, siti sul Dark Web e nei tanti market in cui vengo acquistati e venduti dati, malware e strumenti di hacking. “Il mio team analizza 84.000 miliardi di segnali in arrivo ogni giorno”, prosegue DeGrippo. “Molti dei membri della squadra sono esperti di linguaggio e cultura, comprendono i diversi slang usati, per esempio, nei commenti all’interno dei codici o nei post sui forum. Specialmente nel settore del crimine finanziario esiste un ecosistema interconnesso di gruppi che collaborano tra loro, acquistano servizi l’uno dall’altro. Abbiamo analisti esperti in questi mercati, ingegneri del malware ed esperti di ingegneria sociale”.
Quando l’attacco arriva da un governo
Nell’ottica di un’azienda come Microsoft, le minacce più insidiose arrivano però dai gruppi che collaborano con governi e servizi segreti. In questo caso, infatti, il modus operandi dei gruppi APT rappresenta una minaccia che ha orizzonti temporali più ampi rispetto al comune cyber crimine. Le azioni degli hacker di stato, essendo rivolte principalmente allo spionaggio e all’intelligence, possono rimanere sotto traccia per settimane, mesi o anni. Allo stesso modo, accade per le vulnerabilità che sfruttano per i loro attacchi.
Quando Wikileaks ha pubblicato i documenti del dossier Vault 7, che raccoglieva informazioni sulle tecniche di attacco della CIA, sono emerse vulnerabilità riguardanti i maggiori sistemi operativi che la Central Intelligence Agency sfruttava da almeno quattro anni. Nel caso dei bug sfruttati dai cyber criminali, normalmente gli exploit utilizzati per gli attacchi emergono molto più rapidamente.
Anche nel settore degli APT, però, le cose stanno cambiando. “Soggetti come Lazarus, un gruppo legato alla Corea del Nord, stanno cambiando strategia”, spiega Sherrod DeGrippo. “Negli ultimi mesi hanno preso di mira startup che lavorano nel settore delle criptovalute, forum e utenti. È un comportamento insolito per un gruppo legato a un governo. Hanno anche sfruttato vulnerabilità zero-day nei browser, cosa che non si vedeva da anni. Recentemente, ne hanno trovate due in Chromium”.
Questa forma di “contaminazione” non è un’esclusiva della Corea del Nord. Anche i gruppi cinesi, negli ultimi mesi, hanno cominciato a differenziare le loro attività. “Tracciamo oltre 700 gruppi legati a governi e 250 che invece hanno esclusivamente obiettivi finanziari. Soprattutto nell’Asia orientale vediamo crescere l’attività criminale degli APT”, conclude DeGrippo.
