Da tutte le direzioni

geografia cybercrimeAnalizzando i diversi tipi di attacchi Internet provenienti da diversi Paesi, gli esperti di sicurezza intravedono dei modelli emergenti. “Tutti i tipi di attacchi provengono da tutto il mondo”, afferma Ben Johnson, chief security strategist e co-fondatore di Carbon Black. Ma “particolari attacchi sono più comuni in certi luoghi (o almeno sono più evidenti), e ci sono ragioni per questo. Spesso dipendono dalla cultura della popolazione, dalla storia che l’attaccante sta cercando di costruire e dagli obiettivi del team che conduce gli attacchi”. Uno sguardo alla “geografia delle minacce” può evidenziare alcuni fatti importanti riguardo alla politica e all’economia mondiale.

“I chop your dollar”

https://www.youtube.com/watch?v=kJOuvEcarNs

Purtroppo, per molti occidentali, la Nigeria è sinonimo di “419 scam”, una forma di fishing che prende il nome da un articolo del codice penale della Nigeria. La povertà della regione rispetto all’Occidente crea incentivi a perseguire truffe informatiche. “L’Africa non offre grandi prospettive di lavoro, quindi investire qualche minuto qua e là inviando messaggi di posta elettronica da un Internet café può fruttare l’equivalente di uno stipendio annuo, se anche poche persone cadono nella trappola”, dice Johnson di Carbon Black. Erka Koivunen, Adviser di F-Secure Security, spiega che molti nigeriani vedono le loro vittime come “ricchi occidentali che buttano via i loro soldi”, come dimostra questo incredibile video musicale che esalta la pratica della truffa.

Una truffa a bassa larghezza di banda

phishing truffa nigerianaNick Espinosa, CIO e capo della sicurezza di BSSi2, ritiene che la prevalenza di questi tipi di truffe in Africa rifletta la situazione tecnologica della regione. “Se certi attacchi sembrano provenire da alcune aree è a causa di due fattori critici: larghezza di banda e capacità di calcolo della regione, e accesso al talento e genio hacker nella zona”, spiega Espinosa. “La Nigeria ha sviluppato una infrastruttura Internet affidabile, ma molte zone non hanno sufficiente larghezza di banda o potenza di calcolo per creare e sostenere un attacco pesante, che richiede una connessione stabile e grande potenza di elaborazione”. In altre parole, le truffe “419” sono l’attacco d’elezione per un cybercafé del Terzo Mondo con PC obsoleti.

Nessuna legge, nessuna punizione

cybercrime: pochi leggi nei paesi dell'estL’Europa Orientale è responsabile di ciò che Sean Sullivan di F-Secure definisce un “crimeware commodizzato”. In parte, ciò è dovuto alle leggi che regolano il crimine informatico. “La legge permette lo sviluppo di codice maligno in certi Paesi, dove non ci sono sanzioni forti”, dice Sullivan.

Barry Shteiman, direttore dei laboratori di Exabeam, aggiunge: “in Romania e Ucraina, dove non c’è nessuna nessuna legge in materia di hosting e monitoraggio di Internet, chiunque può fare qualsiasi cosa senza sorveglianza in un data center pubblico o da casa propria. Per questo, e per la loro posizione relativamente centrale in Europa, questi Paesi sono ideali per la collocazione di server di comando e controllo malware”.

Alta preparazione, poche opportunità

cybercrime: nei paesi dell'est alta formazione, poche opportunitàMaxim Kovalsky, director of intelligence production — cybercrime di Flashpoint, sottolinea che i paesi dell’Europa orientale vantano “avanzati sistemi di istruzione superiore (in particolare in matematica), ma limitate possibilità d’impiego”. Ciò è in parte dovuto alla diffusa corruzione.

La corruzione dei processi di governo interferisce con il legittimo sviluppo dell’economia”, spiega Sullivan di F-Secure. “Chi ha talento per lo sviluppo del software si trova in questa posizione: può avviare una legittima attività di sviluppo software, con il rischio che un concorrente (tramite tangenti ai funzionari di governo) lo costringa a chiudere, oppure sviluppare kit di malware per l’uso nei paesi occidentali e, se scoperto, scontare una pena minima. E’ economicamente razionale perseguire l’opzione criminale. Il risultato finale è che kit exploit, cripto-ransomware e trojan bancari trovano un enorme spazio di sviluppo nei Paesi di lingua russa”.

Dall’avidità alla gloria

cybercrime russiaIn particolare in Russia, il cybercrime ha assunto implicazioni nazionaliste. Kovalsky di Flashpoint dice che “la generazione degli attuali 30-40enni fu coinvolta nel crimine informatico alla fine degli anni ’90 e nei primi anni 2000, quando la Russia stava cercando di integrarsi nell’economia globale. Essi vedono le loro attività in termini del tutto realistici: come un reato”. Ma le giovani generazioni sono “assetate per la propaganda del Cremlino e sembrano aver interiorizzato i suoi principi fondamentali: la Russia sta risorgendo nonostante sia circondata da nemici, e ha bisogno di tagliare la dipendenza economica dall’Occidente. Nelle loro menti, l’Occidente è diventato un nemico indiscutibile. Questi hacker sono incoraggiati dal tacito sostegno dello stato nella loro missione di ledere gli interessi occidentali”.

Sullivan di F-Secure osserva che “una variante di cripto-ransomware recentemente analizzata non infetta i computer in cui è abilitato il supporto per la lingua russa”.

Bruciare le tappe

cybercrime esercito cineseLa Cina è famosa per i suoi attacchi informatici sponsorizzati dal governo. “E’ noto da anni che il governo cinese per il suo coinvolgimento nel cyber-spionaggio”, dice Curt Wilson, senior threat intelligence analyst di Arbor Networks. “L’attività in nome degli interessi nazionali e in difesa contro le minacce percepite assume molte forme, ed è stato ipotizzato che vari hacker patriottici siano impegnati in operazioni contro altri stati”.

Le attività di hacking della Cina hanno obiettivi abbastanza specifici. “La Cina ha deciso che lo spionaggio informatico è un modo per accelerare la sua crescita sulla scena mondiale”, dice Johnson di Carbon Black. “Non è che gli altri Paesi non lo facciano, ma la Cina, per volume e portata degli attacchi, è in cima alla lista quando si pensa alla spionaggio informatico”.

Secondo Jon Condra, direttore dell’East Asian Research and Analysis presso Flashpoint, “si è a lungo ritenuto che la Cina stesse seguendo uno stile di sviluppo simile al ‘gioco della cavallina’, in cui il governo cerca di acquisire tecnologie straniere per saltare le fasi intermedie di sviluppo economico e raggiungere l’Occidente in tempi più brevi”.

Confini sfocati

cybercrime cinaLe campagne di hacking cinesi contro l’occidente mostrano che le linee di demarcazione tra aziende private, governo ed esercito non sono così nette come si potrebbe pensare. “E’ difficile tracciare una linea di distinzione tra vero ‘spionaggio economico’ e spionaggio tradizionale condotto per scopi militari o politici”, sostiene Condra di Flashpoint. “Poiché la produzione di armi e avanzati sistemi di guerra è stata affidata a industrie private (tra le quali BAE, Boeing, Lockheed, Skunkworks), è sempre più difficile, anche da un punto di vista giuridico, separare i due aspetti”.

Guardarsi alle spalle

cybercrime usaGli occidentali non devono comunque pensare che gli attacchi su Internet provengono da “altri”. “Gli Stati Uniti di solito sono al primo posto dei Paesi con il più alto tasso di crimine informatico”, dice Damian Caracciolo, vice presidente e practice leader della CBIZ Management and Professional Risk. “Se si esclude lo spionaggio, le più comuni forme di crimine informatico sono hacking, phishing, spyware/malware ed estorsioni, che hanno origine a livello nazionale”.

E se noi non si esclude lo spionaggio? “Tutti sappiamo che gli Stati Uniti sono in cima alla maggior parte delle liste per le attività malevole”, dice Daniel Smith, ricercatore dell’Emergency Response Team di Radware. “Gli Stati Uniti sono un focolaio di spionaggio e sorveglianza, e hanno anche una grande percentuale di giovani adulti attivisti che si battono per il cambiamento sociale e politico”.

Ognuno è ovunque

attacchi informatici: il pericolo è ovunqueIn sintesi, se è importante conoscere queste tendenze generali, è altrettanto importante considerare le diverse minacce provenienti da tutte le direzioni. “E’ pericoloso cadere nella categorizzazione delle minacce, in quanto non tutti i bot provengono dalla Russia, e non tutti i cinesi cercano di carpire i segreti militari degli USA”, dice Jayson Street, InfoSec Ranger di Pwnie Express. “I professionisti della sicurezza si rendono vulnerabili agli attacchi se non valutano la possibilità che una truffa ‘419’ provenga dal Kansas o dal Paraguay. Internet non ha confini, limiti o categorie. Gli aggressori sono individui globali guidati dal profitto. Si possono conoscere i Paesi vicini e i confine geografici, ma su Internet si è solo un numero. Gli attaccanti non vedono regione o nazionalità: vedono indirizzi IP e possibilità di guadagno”.