Dal film Skyfall agli APT: quando il nemico non dorme mai, la sicurezza è la tua migliore arma.

.... Correva l'anno 2012 quando con l'uscita di Skyfall, il villain Raoul Silva attaccava i sistemi informatici di tutto il mondo (a pagamento) da una sua base segreta a largo del Giappone, l'isola di Hashima, completamente resa di calcestruzzo.

In una famosa scena si vede il nostro eroe e Silva che lo interrogava in una sala piena di circuiti elettronici, ed di un portatile da cui partivano gli attacchi informatici verso tutto il globo terrestre. E' stata la prima volta che ho considerato il fatto che la guerra stava cambiando i propri connotati: da una guerra di grosse navi, portaerei, ad una guerra ibrida, in cui i grandi "assi" da giocare (navi, bombardieri, etc...) sfocano "vs" soluzioni più economiche (ciber attacchi, droni, danni a infrastrutture, attacco alla supply chain) ma ugualmente potente, efficaci, ed incisive (si capisce anche dal plot del film)...

Insomma, il movie introduceva un nuovo paradigma della guerra: quello degli APT.

Gli APT (Advanced Persistent Threats) sono gruppi o attori organizzati e sofisticati, spesso associati a governi o grandi organizzazioni, che conducono operazioni di spionaggio cibernetico o cyber warfare. Gli APT si distinguono da altri tipi di attacchi informatici per il loro livello di sofisticazione, persistenza e obiettivi strategici.

La motivazione è dovuta al fatto che la guerra ormai è diventata ibrida e si sta giocando sempre più sul piano cibernetico, dove gli APT sono strumenti chiave per:

• Influenze geopolitiche: ad esempio, con la disinformazione e il furto di segreti strategici.

• Controllo delle infrastrutture critiche: gli attacchi possono compromettere infrastrutture vitali come centrali elettriche, reti idriche e sistemi di trasporto.

• Preparazione a conflitti militari tradizionali: gli APT possono preludere a interventi militari, destabilizzando un avversario prima di un conflitto.

Ma quali sono le caratteristiche principali degli APT che li contraddistingue da un'attacco RaaS (Ransomware as a service) o MaaS (Malaware as a service):

• La sofisticazione tecnica: utilizzano tecniche avanzate, exploit di vulnerabilità zero-day, e combinano vari metodi di attacco, come phishing, malware personalizzato e attacchi a catena di approvvigionamento.

• Gli obiettivi a lungo termine: non cercano un guadagno immediato, ma puntano a infiltrarsi in sistemi critici e rimanervi il più a lungo possibile per raccogliere dati sensibili o sabotare infrastrutture.

• La persistenza: Una volta che hanno ottenuto accesso, mettono in atto tattiche per garantire la permanenza nella rete, come l’installazione di backdoor o l’uso di credenziali compromesse.

Ma, soprattutto, gli obiettivi strategici, infatti gli APT tipicamente mirano a:

• Spionaggio politico: raccogliere informazioni da governi, diplomatici o entità internazionali.

• Spionaggio economico: sottrarre proprietà intellettuale o segreti industriali da aziende strategiche.

• Sabotaggio: compromettere infrastrutture critiche come energia, telecomunicazioni e sistemi finanziari.

Molti APT sono associati a nazioni specifiche, e spesso agiscono per conto di governi o con il loro supporto implicito. Alcuni esempi noti includono:

• APT28 (Fancy Bear): Associato alla Russia, coinvolto in operazioni di spionaggio politico.

• APT29 (Cozy Bear): Anche esso collegato alla Russia, noto per attacchi a governi occidentali.

• APT1: Associato alla Cina, specializzato in furti di proprietà intellettuale.

• Lazarus Group: Presumibilmente collegato alla Corea del Nord, coinvolto in cyber-attacchi finanziari e operazioni di sabotaggio.

• Charming Kitten: Legato all'Iran, noto per spionaggio e attacchi a dissidenti e istituzioni accademiche.

#divulgatoreinformatico #sicurezza