La domanda che ci si pone più spesso dopo un attacco hacker è orientata a capire le motivazioni alla base dell’azione offensiva; si cercano ragioni politiche piuttosto che quelle economiche ma spesso però la realtà è un’altra e non viene conosciuta a dovere.
L’era dei ransomware e delle mediazioni
I ransomware hanno cambiato radicalmente la dinamiche di un’offensiva cyber, portando l’azione alla stregua di una transazione o, per meglio definirla, di una mediazione in cui le parti sono:
- gli attaccanti;
- le vittime;
- il mediatore;
- l’oggetto della mediazione (la pubblicazione dei dati trafugati);
- la contropartita (il riscatto).
Questo modello si ripete costantemente caso dopo caso, attacco dopo attacco, vittima dopo vittima. La confusione nasce quando si ritiene che l’entità con cui si contratta il riscatto coincida con l’hacker che ha confezionato il virus che ha infettato la vittima. In realtà non è sempre così e per spiegare questa casistica ci riferiamo a RansomHouse.
Chi è RansomHouse
RansomHouse si definisce “a professional mediators community“, ossia una comunità di mediatori professionisti. Questi mediatori hanno l’incarico di gestire i rapporti tra gli attaccanti (gli hacker) e le vittime; apparentemente, quindi, RansomHouse non è direttamente responsabile della produzione e diffusione dei ransomware.
Non abbiamo nulla a che fare con eventuali violazioni e non produciamo né utilizziamo alcun ransomware. Il nostro obiettivo primario è ridurre al minimo i danni che potrebbero essere subiti dalle parti correlate. I membri di RansomHouse preferiscono il buon senso, una buona gestione dei conflitti e negoziazioni intelligenti nel tentativo di ottenere l’adempimento degli obblighi di ciascuna parte invece di avere argomenti non costruttivi. Questi sono principi necessari e sufficienti che portano ad accordi amichevoli e talvolta anche a successive collaborazioni produttive e amichevoli.
Le ragioni delle offensive
Alle affermazioni di cui sopra, seguono delle motivazioni tutt’altro che logiche che prova a spiegare (o giustificare) l’azione di questo gruppo.
RansomHouse condivide l’opinione di entrambi i team rosso e blu in merito alle minacce di fughe di dati. La stessa possibilità che si verifichino tali incidenti è un forte incentivo a sensibilizzare il settore privato, le aziende e il pubblico sui problemi di sicurezza e privacy dei dati e dovrebbe rendere responsabili e rispettosi delle proprie responsabilità coloro che sono coinvolti nella raccolta e archiviazione di informazioni personali di terze parti. Sfortunatamente, il più delle volte i CEO preferiscono chiudere gli occhi sulla sicurezza informatica risparmiando budget sul proprio personale o spendendo enormi quantità di denaro senza pensare, il che porta inevitabilmente a vulnerabilità.
Non è possibile condividere contemporaneamente le opinioni del team rosso (gli attaccanti) e del team blu (i difensori), si può comprendere la logica sottesa di entrambe le parti ma alla fine si effettua una scelta che pone gli attaccanti in un contesto di illiceità e gli affiliati (ad es. RansomHouse) in una condizione di collaborazione e quindi di concorso nel reato. Le esfiltrazioni dei dati compiute dagli hacker in questi anni non hanno protetto alcuna categoria particolare: una volta esfiltrati, i dati sono stati integralmente pubblicati al mancato pagamento del riscatto. Non è stata fatta alcuna selezione in merito alle informazioni da pubblicare e a dimostrazione di ciò si invita a ricordare quanto accaduto per l’Ospedale Macedonio Melloni in cui, dati di minori, furono tranquillamente esposti su internet dopo il mancato pagamento del riscatto.
L’illogicità del ragionamento di RansomHouse, tuttavia, emerge in una frase molto specifica del loro manifesto.
Crediamo che i colpevoli non siano quelli che hanno trovato la vulnerabilità o effettuato l’hacking, ma coloro che non si sono presi cura della sicurezza. I colpevoli sono coloro che non hanno chiuso la porta lasciandola spalancata invitando tutti ad entrare.
Per sintetizzare questo concetto, secondo RansomHouse la colpa non è dei ladri che rubano ma di chi ha lasciato la porta aperta dando per scontato, tra l’altro, che tale azione possa essere di natura intenzionale o frutto di negligenza. È bene ricordare che la logica del Blue Team (i difensore delle informazioni) è quella di proteggere i dati da violazioni di natura colposa e/o dolosa. Senza dubbio vi sono casi di gestione negligente ma in altri casi si tratta di incidenti che fanno parte della gestione ordinaria del ciclo di vita del dato. In sostanza la perfezione, intesa come l’invulnerabilità dagli attacchi, non esiste.
Il rapporto attacco-profitto
Indubbiamente il motivo principale degli attacchi ransomware è chiedere un riscatto: è insito nella parola perchè ransom vuol dire per l’appunto riscatto. Il profitto richiesto deve essere certamente oggetto di contrattazione ma non viene mai sostituito da altre richieste. Il denaro è al centro dell’intera azione offensiva, della successiva trattativa e dell’eventuale pubblicazione dei dati. Alla fine del manifesto di RansomHouse si legge qualcosa in merito:
Siamo rigorosamente contrari alla sofferenza di qualsiasi individuo che sia diventato vittima dell’irresponsabilità e delle fughe di notizie di altre persone. Al meglio delle nostre capacità, li aiutiamo dando loro l’opportunità di fare una richiesta attraverso il nostro canale ufficiale di Telegram e di far rimuovere il loro pacchetto di dati dal set condiviso prima che venga pubblicato. Il diritto alla gestione dei dati personali è soddisfatto qui nella misura possibile nelle circostanze attuali.Si apprende
Si tratta di una frase sostanzialmente ingiustificabile: considerando che, come si affermava precedentemente, dall’inizio degli attacchi ransomware le informazioni sulle vittime sono state pubblicate senza alcun riguardo.
Il rapporto attacco-politica
Molti collettivi hacker si definiscono indipendenti dalla Russia benché siano ospitati dal regime e si avvalgano di particolari condizioni che gli garantiscono l’immunità o, quantomeno, l’invisibilità da parte delle autorità russe. Negli anni la Russia ha concesso ben poco ad autorità come Eurojust, l’unità di cooperazione giudiziaria dell’Unione Europea. Si pensi ad un fatto: il collettivo NoName57 (che in Italia abbiamo imparato a conoscere per gli attacchi DDoS), effettua offensive in relazione alle visite che i capi di stato effettuano a favore dell’Ucraina.
L’attacco alla Canadian Pacific Railways è stato condotto successivamente all’incontro politico tra il Primo Ministro del Canada Justin Trudeau e il Presidente dell’Ucraina Volodymyr Zelens’kyj; casi analoghi sono documentati e molto frequenti. Il 22 marzo 2023 alle 12:24, la Presidente Giorgia Meloni ha tenuto una replica in Camera dei Deputati (link ufficiale) contro l’azione offensiva di Putin, il 26 marzo 2023 l’Italia subisce attacchi DDoS su vari portali web tra cui mit.gov.it.
Il rapporto con Anonymous
Qualche giorno fa è stato arrestato il fondatore di Anonymous Russia (il suo nickname era Rati); le autorità ritengono che vi sia stata una sua collaborazione con il collettivo Killnet. Si tratterebbe di un ragazzo di 18 anni, studente del liceo, di nome Arseniy Eliseev.
I parallelismi tra gli hacker di Anonymous e quelli appartenenti ai collettivi ransomware sono da fare con estrema cautela. Negli anni in cui Anonymous Italia ha operato offensive su portali pubblici e privati, non è mai stato richiesto alcun riscatto, nè altra forma di remunerazione per impedire pubblicazione dei dati. In alcuni casi (ad onor del vero non sempre) si è anche evitata la pubblicazione di dati appartenenti a soggetti fragili. L’attività illecita condotta da Anonymous rientrava in una rivendicazione non ascrivibile ad alcun partito politico; nonostante nel tempo alcuni abbiano provato ad associare il movimento a partiti di destra e sinistra, non vi è mai stata un’aderenza del gruppo ad un particolare schieramento. Forse alcuni lettori ricorderanno la celebre immagine natalizia del 2018 riportata di seguito.
Non solo sconfitte ma anche casi di success: il caso Insiel
Se da una parte le offensive si fanno più frequenti e più intense, dall’altra bisogna dare evidenza anche dei successi ottenuti nel tentativo di difendere i dati di organizzazioni pubbliche e private. Qualche giorno fa, Insiel S.p.A. è riuscita a sventare un attacco hacker contro la Regione Autonoma Friuli Venezia Giulia con tempestività ed efficienza e la notizia (rimbalzata su internet) è passata un po’ troppo sotto silenzio. Per una questione di completezza si riporta l’intero comunicato pubblicato proprio sul sito di Insiel S.p.A.
“Alcuni applicativi informatici della Regione e delle Aziende sanitarie hanno subito un pesante attacco hacker che è stato immediatamente bloccato dai tecnici dell’Insiel. Il nostro sistema di difesa ha retto alla perfezione e non abbiamo registrato danni. L’unico problema concreto è stato un rallentamento nell’operatività”: queste le parole dell’Assessore regionale ai Sistemi Informativi Sebastiano Callari, a commento dell’assalto informatico che nella giornata di ieri ha riguardato alcuni applicativi facenti riferimento a domini web della Regione FVG e della Sanità regionale. L’analisi effettuata ha evidenziato che i rallentamenti sono da ricondurre a un traffico anomalo generato con l’intento di inibire la fruizione dei servizi online, andando a saturare la disponibilità dei sistemi deputati alla corretta identificazione dei “nomi” dei domini internet (DNS – Domain Name System).Insiel ha provveduto all’identificazione e al blocco puntuale degli indirizzi IP responsabili di questo attacco hacker e alle segnalazioni all’autorità giudiziaria: la tipologia di attacco che al momento si ipotizza è quella denominata “flood DNS”. Sono stati attivati tutti gli accertamenti necessari i cui esiti saranno condivisi anche con il personale del Centro Operativo per la Sicurezza Cibernetica di Trieste della Polizia di Stato.
Fonte: Insiel S.p.A. (Link)
Il caso Insiel, così come il caso dell’Eurovision Song Contest, sono da studiare e da esaminare con attenzione. Indubbiamente gli attacchi suscitano un maggior clamore ma non restituiscono il quadro intero della situazione: ci sono casi virtuosi di strategie difensive ben studiate che non possono e non devono passare sotto silenzio.
Conclusioni
L’analisi delle offensive cyber richiede un certo distacco dalle opinioni politiche e sociali; richiede una buona dose di osservazione e lo studio di fenomeni apparentemente collaterali. Il periodo storico che stiamo vivendo e che potremmo certamente definire datacentrico espone a minacce differenti sia per ragioni tecnologiche, che geopolitiche. Questo dovrebbe far riflettere sul futuro, sulle minacce più complesse che potranno arrivare e che faranno uso di soluzioni tecnologiche più temibili: la stessa intelligenza artificiale potrebbe essere adottata per condurre offensive cyber. Tuttavia questo non deve spaventare perché in ogni epoca c’è sempre stato un processo di reazione e difesa che, seppur più lento, ha ristabilito l’equilibrio necessario. Ci vuole più competenza, ci vogliono investimenti, ci vuole accountability ma alla fine si riesce sempre a proteggere i dati se lo si vuole veramente.
