Per Kaspersky gli hacker di stato attaccano altre APT per sottrarre informazioni o strumenti. Obiettivo, sviare gli investigatori
Le cyber spie che operano per attori nazionali adottano una nuova strategia di attacco contro le vittime. Usano strumenti, TTP e infrastrutture provenienti da altre formazioni di hacker che fanno lo stesso lavoro. Lo ha scoperto il Kaspersky Lab Global Research and Analysis Team (GReAT). Questo ha trovato prove che gruppi come le APT (Advanced Persistent Threats) attacchino altri del “circolo” per rubare informazioni su prossime vittime, acquisire tools e tecniche, riusare exploit e compromettere le stesse infrastrutture. L’obiettivo è semplice: sviare le indagini, creando confusione negli investigatori informatici, che troveranno più difficile attribuire con un grado di certezza il cybercrime a un gruppo piuttosto che a un altro. Soprattutto a seguito del fatto che non progredisce solo la tecnologia degli aggressori. Ma anche quella dei difensori e dei detective cibernetici.
Le indagini in caso di aggressione informatica seguono un pattern specifico
Le indagini sui cybercrime e sulle azioni di spionaggio nell’ambito cyber, infatti, seguono un iter ben preciso. Inoltre, si basano su alcuni elementi fissi. Dall’ecosistema di come l’aggressore ha lanciato il cyber attacco, con lo studio del malware usato, alla digital forensics su tutta la killchain. Per finire poi allo studio del modus operandi dell’attaccante. Lo aveva spiegato recentemente a Difesa & Sicurezza Daniele Nicita, Consulting System Engineer di FireEye, una delle più grandi aziende che si occupa – tra le altre cose – di cyber intelligence. L’obiettivo è scoprire le TTP dell’APT, le quali “permettono di dare un’indicazione su chi potrebbe essere dietro all’azione. Ogni gruppo ne ha di proprie caratteristiche”. Almeno finora.
Alcuni pensano che le APT si rubino tra loro tools, TTP e informazioni. Altri, invece, che si alleino all’occorrenza
Un’altra teoria legata alle cyber spie che operano per conto di nazioni, invece, vede formarsi alleanze temporanee o permanenti tra i gruppi hacker. Questi non si rubano tra loro tools, TTP, codici e informazioni sulle vittime. Se li scambiano e a volte attaccano insieme o in sequenza un bersaglio. In questo modo si confonde l’avversario e ci sono maggiori probabilità di ottenere un risultato. Di certo, che si tratti di un’ipotesi o di un altra, c’è che il pericolo è aumentato. E che servono nuove tecniche e strategie per contrastare questa evoluzione del cybercrime.