Quando l’hacking è iniziato molti decenni fa, era principalmente il lavoro di appassionati alimentati dalla loro passione per l’apprendimento di tutto ciò che potevano fare su computer e reti. Oggi, i gruppi di cybercrimine più importanti e pericolosi stanno sviluppando strumenti di spionaggio informatico sempre più sofisticati, mentre i criminali informatici stanno incassando milioni di dollari prendendo di mira qualsiasi cosa, dalle aziende Fortune 500 agli ospedali.

Gli attacchi informatici non sono mai stati più complessi, più redditizi e forse anche più sconcertanti. A volte, tracciare linee chiare tra i diversi tipi di attività è un compito impegnativo. Gli stati-nazione a volte collaborano tra loro per un obiettivo comune e talvolta sembrano persino lavorare in tandem con bande di criminali informatici. Inoltre, una volta rilasciato, uno strumento dannoso viene spesso riciclato e riutilizzato da chi attacca sfruttando minacce concorrenti.

Di seguito riportiamo alcuni dei gruppi di cyberspionaggio e cybercriminali più creativi e pericolosi, elencati senza un ordine particolare:

Lazarus (alias Hidden Cobra, Guardians of Peace, APT38, Whois Team, Zinc)

Gruppo associato alla Corea del Nord, Lazarus è noto forse per la più grande rapina cibernetica di tutti i tempi: l’attacco alla Bangladesh Bank, che ha portato al furto di oltre 100 milioni di dollari nel febbraio 2016. Tuttavia, il gruppo ha fatto molto di più.

Lazarus è stato infatti alla base di numerose operazioni nell’ultimo decennio, a partire dagli attacchi DDoS contro i siti Web sudcoreani, passando poi a prendere di mira organizzazioni e infrastrutture finanziarie e continuando con l’attacco a Sony Pictures nel 2014 e il lancio del ransomware WannaCry nel 2017.

Negli ultimi anni, Lazarus ha iniziato a utilizzare strumenti come ransomware e criptovalute e ha anche preso di mira i ricercatori della sicurezza per ottenere informazioni sulle vulnerabilità. Questo gruppo ha “risorse illimitate e ottime capacità di ingegneria sociale” afferma Dmitry Galov, ricercatore di sicurezza presso Kaspersky.

Queste abilità di ingegneria sociale sono state messe al lavoro durante l’attuale crisi sanitaria causata dal COVID-19, quando le aziende farmaceutiche, compresi i produttori di vaccini, sono diventate alcuni degli obiettivi preferiti di Lazarus. Secondo Microsoft, gli hacker hanno inviato e-mail di spear-phishing che includevano “descrizioni di lavoro inventate”, inducendo i loro bersagli a fare clic su collegamenti dannosi.

“Questo gruppo è diverso dagli altri perché, sebbene sia sponsorizzato da uno stato, i loro obiettivi non sono i governi statali, ma le imprese e talvolta gli individui che possono avere informazioni o accesso su cui le spie nordcoreane potrebbero voler mettere le mani” ha detto Adam Kujawa, direttore di Malwarebytes Labs.

Lazarus utilizza una varietà di famiglie di malware personalizzate, tra cui backdoor, tunneler, data miner e malware distruttivo, a volte sviluppato internamente. “Questo gruppo è attento e ha dimostrato il desiderio di mantenere l’accesso agli ambienti delle vittime per tutto il tempo necessario a comprendere il layout della rete, le autorizzazioni richieste e le tecnologie di sistema per raggiungere i propri obiettivi”, continua Kujama.

UNC2452 (alias Dark Halo, Nobelium, SilverFish, StellarParticle)

Nel 2020, migliaia di organizzazioni hanno scaricato un aggiornamento software corrotto del software SolarWinds Orion, fornendo all’attaccante un punto di ingresso nei loro sistemi. Il Pentagono, il governo del Regno Unito, il Parlamento europeo e diverse agenzie governative e aziende in tutto il mondo sono state vittime di questo attacco alla supply chain.

L’operazione di spionaggio informatico era passata inosservata per almeno nove mesi prima di essere scoperta l’8 dicembre 2020, quando la società di sicurezza FireEye ha annunciato di essere stata vittima di un aggressore sponsorizzato dallo stato che ha rubato molti dei suoi strumenti Questo hack si è rivelato più esteso di quanto inizialmente si pensasse. L’attacco alla supply chain del software SolarWinds Orion era solo un canale di ingresso utilizzato dall’attaccante. I ricercatori hanno scoperto un altro attacco alla supply chain, questa volta con l’obiettivo di colpire i servizi cloud di Microsoft.

“UNC2452 è uno degli attori di minacce più avanzati, disciplinati ed elusivi che monitoriamo”, afferma Charles Carmakal, SVP e CTO di Mandiant Threat Intelligence (FireEye). “Hanno una padronanza delle abilità sia offensive che difensive e hanno usato quella conoscenza per perfezionare le loro tecniche di intrusione per nascondersi in bella vista.” Carmakal aggiunge che UNC2452 ha dimostrato “un livello di sicurezza operativa che si vede raramente”, essendo in grado di trascorrere così tanto tempo all’interno di agenzie governative e aziende senza essere scoperto.

ciso

La NSA, l’FBI e alcune altre agenzie statunitensi hanno affermato che l’operazione è stata sponsorizzata dalla Russia e che gli Stati Uniti hanno imposto sanzioni. Hanno sostenuto che l’hacking è stato probabilmente opera del Foreign Intelligence Service della Federazione Russa (SVR). Altri indizi puntano al gruppo Cozy Bear/APT29.

Tuttavia, la storia sembra essere più intricata. I ricercatori di Kaspersky hanno notato diversi frammenti di codice che collegano questo attacco al gruppo russo Turla (Snake, Uroburos), che ha preso di mira governi e diplomatici in Europa e negli Stati Uniti. Un altro rapporto, pubblicato da Secureworks, afferma che anche un gruppo di hacker con sede in Cina, Spiral, ha preso di mira i clienti di SolarWinds in un’operazione separata.

Equation Group (alias EQGRP, Housefly, Remsec)

Un altro attore di primo piano quando si parla di hacking nel v2021, tra l’altro con capacità e risorse eccezionali, è Equation Group, che ha iniziato a operare nei primi anni 2000. Tuttavia, ha fatto notizia solo nel 2015, dopo che i ricercatori della sicurezza di Kaspersky hanno pubblicato un rapporto che descriveva in dettaglio alcuni degli strumenti all’avanguardia del gruppo. Uno dei titoli del rapporto recitava: “Un appuntamento con il Dio del cyberspionaggio”.

Equation Group si chiama così perché utilizza una crittografia avanzata e metodi di offuscamento avanzati. I suoi strumenti sono altamente sofisticati e sono stati collegati all’unità Tailored Access Operations (TAO) della NSA. Il gruppo ha preso di mira organizzazioni governative, militari e diplomatiche, istituzioni finanziarie e società operanti nei settori delle telecomunicazioni, aerospaziale, energia, petrolio e gas, media e trasporti. Molte delle vittime risiedevano in Iran, Russia, Pakistan, Afghanistan, India, Siria e Mali.

Uno degli strumenti più potenti di Equation Group è un modulo in grado di riprogrammare il firmware del disco rigido di vari produttori, tra cui Seagate, Western Digital, Toshiba e IBM, per creare un “deposito” segreto che sopravvive alla cancellazione e alla riformattazione. Il gruppo ha anche creato un meccanismo di comando e controllo basato su USB che ha permesso la mappatura delle reti air gap. Lo ha fatto prima che una funzionalità simile fosse integrata in Stuxnet.

Queste tecnologie all’avanguardia sono state poi acquisite e riproposte dal gruppo cinese di spionaggio informatico Buckeye (Gothic Panda, APT3, UPS Team), che li ha utilizzati nel 2016 per attaccare aziende in Europa e in Asia, secondo Symantec. I ricercatori di CheckPoint hanno scoperto che Zirconium (APT31), un altro gruppo sponsorizzato dalla Cina, ha clonato l’exploit EpMe di Equation Group per l’escalation dei privilegi di Windows, creando uno strumento chiamato Jian. Tutto questo è successo prima del clamoroso leak di Shadow Brokers nel 2017, quando diversi strumenti di hacking creati da Equation Group, incluso il famigerato exploit EternalBlue utilizzato nell’attacco WannaCry, sono apparsi online.

“Le armi informatiche sono digitali e volatili per natura”, hanno scritto i ricercatori di CheckPoint Eyal Itkin e Itay Cohen. “Rubarli e trasferirli da un continente all’altro può essere semplice come inviare un’e-mail”.

Carbanak (alias Anunak, Cobalt e FIN7)

Nel 2013, diverse istituzioni finanziarie sono state hackerate seguendo lo stesso schema. L’autore dell’attacco ha inviato e-mail di spear-phishing cercando di penetrare nelle organizzazioni. Quindi ha utilizzato vari strumenti per raggiungere PC o server che potrebbero essere utilizzati per estrarre dati o denaro. La banda di criminali informatici responsabile di questi attacchi, Carbanak, ha condotto le sue campagne meticolosamente, proprio come gli APT, spesso trascorrendo mesi all’interno dei sistemi di una vittima senza essere notata.

Il gruppo Carbanak ha probabilmente sede in Ucraina e tra i suoi obiettivi ci sono società finanziarie con sede principalmente in Russia, Stati Uniti, Germania e Cina. Una vittima ha perso 7,3 milioni di dollari a causa di frodi bancomat, mentre un’altra ha perso 10 milioni di dollari dopo che la sua piattaforma di online banking era stata presa di mira. A volte, il gruppo ha ordinato agli sportelli automatici di erogare contanti a orari prestabiliti senza interazione umana in loco.

Diverse società di sicurezza hanno indagato su Carbanak nel 2014 e tutte hanno tratto conclusioni diverse. “Carbanak è un’entità formata da due gruppi diversi che utilizzavano lo stesso malware”, afferma Ariel Jungheit, ricercatore senior sulla sicurezza di Kaspersky. “Un gruppo si è concentrato principalmente sulle istituzioni finanziarie, mentre l’altro gruppo si è concentrato maggiormente sulle organizzazioni retail. Sebbene ciò sia contestato da altri, la teoria principale è che c’era un gruppo iniziale che in seguito si è diviso in diversi sottogruppi”.

Nel marzo 2018, l’Europol ha annunciato di aver arrestato la mente del gruppo Carbanak dopo una “indagine complessa”. Eppure, oggi, molti criminali informatici che facevano parte della banda sono ancora attivi, forse parte di gruppi diversi, afferma Jungheit. La banda di criminali informatici FIN7 è interessata principalmente al retail e al settore dell’ospitalità, mentre Cobalt si concentra sulle istituzioni finanziarie.

hacker anonymous

“L’impatto dell’azione delle forze dell’ordine nei confronti di individui associati a gruppi criminali grandi e dotati di risorse adeguate come FIN7 può essere difficile da valutare, poiché le responsabilità principali possono spesso essere condivise tra molte persone o team”, afferma Jeremy Kennelly, senior manager of analysis presso Mandiant Threat Intelligence (FireEye). “Questo arresto non è stato seguito da un cambiamento significativo nelle tattiche, nelle tecniche e nelle procedure di FIN7”, aggiunge.

Sandworm (alias Telebot, Electrum, Voodoo Bear, Iron Viking)

Il gruppo russo di spionaggio informatico Sandworm è stato collegato ad alcuni degli incidenti più distruttivi dell’ultimo decennio, tra cui le interruzioni di corrente in Ucraina nel 2015 e nel 2016, l’attacco NotPetya del 2017, gli attacchi nel 2018 contro le Olimpiadi invernali di Pyeongchang dopo che gli atleti russi sono stati banditi per doping e operazioni relative alle elezioni in diversi Paesi, inclusi gli Stati Uniti nel 2016, la Francia nel 2017 e la Georgia nel 2019.

Negli ultimi anni, le tattiche, le tecniche e le procedure del gruppo sono cambiate per integrare il ransomware, cosa che i ricercatori non trovano necessariamente sorprendente. “Il ransomware basato sulla crittografia comunemente associato a campagne di criminalità informatica ampiamente mirate potrebbe facilmente essere riproposto da gruppi di spionaggio informatico per un tipo di attacco distruttivo” afferma Ben Read, direttore dell’analisi presso Mandiant Threat Intelligence.

Evil Corp (alias Indrik Spider)

Evil Corp prende il nome dalla serie TV Mr. Robot. Si tratta di un gruppo russo creatore di uno dei Trojan bancari più pericolosi mai realizzati, Dridex, noto anche come Cridex o Bugat. Il gruppo ha attaccato Garmin nel 2020 e dozzine di altre società.

I documenti mostrano che Evil Corp utilizza un modello di business in franchising, dando accesso a Dridex in cambio di 100.000 dollari e del 50% delle entrate. L’FBI stima che il gruppo abbia rubato non meno di 100 milioni di dollari nell’ultimo decennio.

I ricercatori della sicurezza affermano che, oltre a Dridex, Evil Corp ha anche creato la famiglia di ransomware WastedLocker e il ransomware Hades. ESET ha anche scoperto che il ransomware BitPaymer era probabilmente opera dello stesso gruppo. Nel 2019, il Dipartimento di Giustizia degli Stati Uniti ha accusato due importanti membri del gruppo, Maksim Yakubets e Igor Turashev, di diverse accuse penali, tra cui cospirazione per commettere frode e frode telematica, ma ciò non ha impedito alla banda di continuare la sua attività.

“Nell’ultimo anno, Evil Corp ha adottato nuovi strumenti e ha rinominato diversi strumenti per evitare le sanzioni introdotte dal Dipartimento del Tesoro degli Stati Uniti che impedirebbero alle vittime di pagare le richieste di riscatto” afferma Adam Meyers, SVP di CrowdStrike Intelligence. “Questo gruppo continua a prosperare nonostante le accuse attive contro le persone associate a esso e le sanzioni contro le loro operazioni”.

Fancy Bear (alias APT28, Sofacy, Sednit, Strontium)

Questo gruppo di lingua russa esiste dalla metà degli anni 2000 e prende di mira organizzazioni governative e militari, nonché società energetiche e dei media negli Stati Uniti, nell’Europa occidentale e nel Caucaso meridionale. Le sue vittime probabilmente includono i parlamenti tedesco e norvegese, la Casa Bianca, la NATO e la stazione televisiva francese TV5.

Fancy Bear è meglio conosciuto per aver fatto irruzione nel Comitato nazionale democratico e nella campagna di Hillary Clinton nel 2016, presumibilmente influenzando l’esito delle elezioni presidenziali. Secondo CrowdStrike, anche un altro gruppo di lingua russa, il Cozy Bear, era all’interno delle reti informatiche del Partito Democratico, rubando in modo indipendente le password. Eppure, a quanto pare, i “due orsi” non erano a conoscenza l’uno dell’altro.

hackerato

Fancy Bear prende di mira le sue vittime principalmente attraverso messaggi di spear-phishing generalmente inviati il lunedì e il venerdì. In diverse occasioni, ha registrato domini che sembravano simili a quelli legittimi, costruendo siti Web falsi per raccogliere credenziali.

LuckyMouse (alias Emissary Panda, Iron Tiger, APT27)

Questo gruppo di lingua cinese è attivo da oltre un decennio e ha preso di mira ambasciate e organizzazioni straniere in diversi settori, tra cui aerospaziale, difesa, tecnologia, energia, sanità, istruzione e governo. Ha condotto operazioni in Nord e Sud America, Europa, Asia e Medio Oriente.

Il gruppo ha elevate competenze nei test di penetrazione, di solito utilizzando strumenti disponibili pubblicamente come il framework Metasploit, afferma Jungheit di Kaspersky. “Oltre allo spear-phishing come metodo di attacco, il gruppo utilizza anche SWC (strategic web compromise) nelle sue operazioni per colpire una serie di vittime con notevole successo”. I ricercatori di Trend Micro hanno notato che il gruppo può aggiornare e modificare i suoi strumenti rapidamente, rendendo difficile per i ricercatori rilevarli.

REvil (alias Sodinokibi, Pinchy Spider e GandCrab)

Il gruppo REvil, che prende il nome dalla serie di film e videogiochi Resident Evil, gestisce alcune delle più prolifiche operazioni di ransomware-as-a-service (RaaS) e ha sede in Russia. Il gruppo è stato visto all’opera per la prima volta nell’aprile 2019, subito dopo la chiusura del famigerato GandCrab, e da allora la sua attività sembra fiorire. Tra le sue vittime ci sono Acer, Honda, Travelex e i produttori del whisky Jack Daniels, Brown-Forman.

“Gli operatori di REvil hanno chiesto i riscatti più alti del 2021”, afferma Jungheit. “Per la distribuzione di ransomware, REvil collabora con affiliati assunti nei forum dei criminali informatici. Gli affiliati guadagnano tra il 60% e il 75% del riscatto.”

Gli sviluppatori aggiornano regolarmente il ransomware REvil per evitare il rilevamento di attacchi in corso. “Il gruppo informa su tutti i principali aggiornamenti e le nuove posizioni disponibili nel programma partner nei propri thread sui forum dei criminali informatici”, afferma Jungheit.

REvil si differenzia dagli altri gruppi per il modo in cui i suoi sviluppatori sono focalizzati sul business, afferma Kujawa di Malwarebytes Labs. “Uno dei membri di questo gruppo ha rilasciato un’intervista l’anno scorso, descrivendo di aver ricevuto 100 milioni di dollari come risultato di pagamenti di riscatto e minacce per il rilascio di dati, e ha in programma di espandere le proprie capacità di estorsione in futuro utilizzando attacchi DDoS”.

collection

Wizard Spider e Winnti

Il gruppo di lingua russa Wizard Spider è stato individuato per la prima volta nel 2016, ma negli ultimi anni è diventato sempre più sofisticato, costruendo diversi strumenti utilizzati per il crimine informatico. Inizialmente, Wizard Spider era noto per il suo malware bancario TrickBot, ma in seguito ha ampliato il suo set di strumenti per includere Ryuk, Conti e BazarLoader. Il gruppo perfeziona continuamente il suo arsenale per renderlo più redditizio.

“Il corpus di malware di Wizard Spider non viene pubblicizzato apertamente sui forum criminali; segno che probabilmente vendono solo l’accesso a, o lavorano insieme, a gruppi criminali fidati”, afferma Meyers di CrowdStrike Intelligence. Il gruppo ha eseguito diversi tipi di operazioni, incluse alcune molto specifiche, con una propensione per le campagne di ransomware molto mirate e ad alto rendimento note come “caccia grossa”.

Wizard Spider calcola il riscatto che richiede in base al valore dei suoi obiettivi e nessun settore sembra off-limits. Durante la crisi del COVID-19, ha attaccato dozzine di organizzazioni sanitarie negli Stati Uniti con Ryuk e Conti. Sono stati colpiti anche ospedali di diverse parti del mondo.

Winnti (alias Barium, Double Dragon, Wicked Panda, APT41, Lead, Bronze Atlas) è probabilmente un insieme di sottogruppi collegati con sede in Cina che hanno eseguito sia attività criminali informatiche, sia attacchi sponsorizzati dallo stato. Le sue campagne di spionaggio informatico hanno preso di mira le aziende sanitarie e tecnologiche, spesso rubandone le proprietà intellettuali. Nel frattempo, il suo braccio di criminalità informatica ha attaccato l’industria dei videogiochi, ha manipolato valute virtuali e ha tentato di distribuire ransomware.

“La difficoltà nella definizione di questo gruppo deriva principalmente dalle sovrapposizioni che vediamo tra le campagne attribuite a Winnti e altri gruppi APT di lingua cinese, ad esempio un insieme di strumenti e malware condivisi tra più attori di lingua cinese”, afferma Jungheit.

Winnti è stato osservato utilizzare dozzine di diverse famiglie di codici e strumenti e spesso si affida a e-mail di spear-phishing per penetrare in un’organizzazione. “In una campagna durata quasi un anno, APT41 ha compromesso centinaia di sistemi e utilizzato quasi 150 malware unici tra cui backdoor, ladri di credenziali, keylogger e rootkit”, secondo Mandiant Threat Intelligence. “APT41 ha anche distribuito rootkit e bootkit Master Boot Record (MBR) su base limitata per nascondere il proprio malware e mantenere la propria persistenza su determinati sistemi vittime”.