Cyber-spionaggio: cos’è, e come prevenirlo?

Lo spionaggio informatico, o cyber-spionaggio, è una grossa minaccia. Si tratta di attacchi informatici in cui un utente non autorizzato acquisisce dati classificati. I motivi sono svariati, e tutti molto sensibili. Guadagno economico, vantaggi competitivi o motivi politici.  Come si attua lo spionaggio informatico? Quali sono i suoi obiettivi? Che tecniche di attacco utilizza? Vediamolo insieme in questo articolo.

Perché viene utilizzato il cyber-spionaggio?

Lo spionaggio informatico viene utilizzato principalmente come mezzo per raccogliere dati sensibili o classificati. Ma anche segreti commerciali o altre forme di proprietà intellettuale. Questi dati vengono utilizzati dai ladri come vantaggio competitivo. Spesso i dati vengono venduti, e anche a grosse cifre. In alcuni casi, la violazione serve a fare un danno reputazionale alla vittima esponendo informazioni private o pratiche commerciali discutibili.

Gli attacchi di cyber-spionaggio possono essere impiegati in concomitanza con operazioni militari o come atti di cyber terrorismo o cyber warfare. L’impatto dello spionaggio informatico, in particolare quando fa parte di una più ampia campagna militare o politica, può portare all’interruzione dei servizi pubblici e delle infrastrutture. Nei casi più estremi possono esserci anche vittime.

I target dello spionaggio informatico

I target più comuni dello spionaggio informatico sono grandi aziende, agenzie governative, istituzioni accademiche, e così via. Spesso vengono attaccate aziende che possiedono dati tecnici di valore che possono creare un vantaggio competitivo per un’altra azienda o un ente governativo. Le campagne mirate possono essere condotte anche contro individui, come leader politici di spicco e funzionari governativi, dirigenti aziendali e persino celebrità.

Le spie informatiche tentano più comunemente di accedere alle seguenti risorse:

• Dati e attività di ricerca e sviluppo;
• Dati di ricerca accademica;
• IP, formule di prodotti o progetti;
• Dati su stipendi, bonus e altre informazioni sensibili relative alle finanze di un’azienda;
• Elenchi clienti o fornitori;
• Obiettivi aziendali, piani strategici e tattiche di marketing;
• Strategie politiche, affiliazioni e comunicazioni;
• Dati di servizi segreti e militari.

Tattiche comuni di cyber-spionaggio

La maggior parte delle attività di spionaggio informatico è classificata come minaccia persistente avanzata (APT). Un APT è un attacco informatico sofisticato e prolungato. Si struttura così: un intruso entra senza farsi percepire in una rete per rubare dati sensibili per un periodo di tempo prolungato. Un attacco APT è accuratamente pianificato e progettato per infiltrarsi in un’azienda specifica ed eludere le misure di sicurezza esistenti per lunghi periodi di tempo.

L’esecuzione di un attacco APT richiede un grado di personalizzazione e sofisticazione più elevato rispetto a un attacco tradizionale.

Ma chi li porta a termine? In genere team di criminali informatici esperti e ben finanziati.

Le fasi di preparazione di un attacco simile sono delicate. Si dedica molto tempo e risorse alla ricerca e all’identificazione delle vulnerabilità del target.

La maggior parte degli attacchi di cyber-spionaggio coinvolge anche una qualche forma di ingegneria sociale. Queste semplificano la raccolta di informazioni necessarie per portare a termine l’attacco. Questi metodi spesso sfruttano le emozioni umane per far trapelare info. Minacciando, convincendo e ingannando, i criminali informatici portano le vittime a cliccare su link dannosi, scaricare malware o a pagare un riscatto.

Tecniche di attacco comuni

• Watering hole: gli attori malintenzionati sono in grado di infettare con malware i siti Web comunemente visitati dalla vittima o da persone associate al bersaglio. Questo ha lo scopo esplicito di compromettere l’utente.
• Spear-phishing: un hacker prende di mira individui specifici con e-mail, messaggi di testo e telefonate fraudolente al fine di rubare credenziali di accesso o altre informazioni sensibili.
• Exploit zero-day: i criminali informatici sfruttano una vulnerabilità di sicurezza nascosta o un difetto del software prima che venga scoperta; prima cioè che il team IT corregga le falle nei software.
• Minacce interne: i criminali convincono un dipendente o un appaltatore a condividere o vendere informazioni, oppure a far accedere al sistema utenti non autorizzati.

Rilevare, prevenire e risolvere il cyber-spionaggio

La crescente sofisticatezza dei mezzi delle spie informatiche ha consentito loro di aggirare molti prodotti standard di sicurezza informatica e sistemi legacy. Sebbene sia difficile, difendersi da questi attacchi non è impossibile. Sono disponibili molte soluzioni di sicurezza informatica e intelligence per aiutare le aziende a comprendere meglio le minacce.

• Copertura dei sensori. Non puoi fermare ciò che non vedi. Le aziende dovrebbero implementare funzionalità che forniscano una visibilità completa, per evitare punti ciechi che possono diventare un rifugio sicuro per gli avversari.
• Conoscenza tecnica e delle minacce. Conoscere i mezzi degli hacker, e redigere report di intelligence sulle minacce è di grande aiuto. Serve a dipingere un’immagine molto vivida del comportamento degli hacker, dei loro strumenti e obiettivi. Al giorno d’oggi, è più importante comprendere il contesto di un attacco piuttosto che limitarsi a sapere che l’attacco stesso è avvenuto.
• Caccia alle minacce. Avviare una caccia agli indicatori di minacce che sia attiva 24 ore su 24, 7 giorni su 7, dà un notevole vantaggio.
• Fornitore di servizi. La collaborazione con un’azienda di sicurezza informatica all’avanguardia è una necessità. Se dovesse accadere l’impensabile, le aziende potrebbero aver bisogno di assistenza per rispondere a una sofisticata minaccia informatica.