Gli attacchi di cyberspionaggio sponsorizzati dai governi stanno diventando sempre più sofisticati: prendono di mira utenti specifici con strumenti complessi e modulari e sono in grado di sfuggire a sistemi di rilevamento sempre più efficaci.
“I governi coinvolti hanno come obiettivo quello di creare strumenti di cyberspionaggio che siano sempre più stabili, affidabili, universali e irrintracciabili. Si stanno concentrando sulla creazione di framework che nascondano questi codici in qualcosa che possa essere personalizzato su sistemi live e che fornisca un modo affidabile per archiviare tutti i componenti e le informazioni in modo criptato, inaccessibile da utenti meno esperti – ha commentato Costin Raiu, Director of Global Research and Analysis Team di Kaspersky Lab – La sofisticatezza del framework distingue questo genere di cybercriminali da tutti gli altri, che preferiscono concentrarsi sulle funzionalità di payload e su malware progettati per ottenere guadagni finanziari in modo diretto”.
Sono state evidenziate altre caratteristiche che contraddistinguono la strategia di questo tipo di attacchi:
- La scala. I cybercriminali tradizionali solitamente distribuiscono email di massa con allegati nocivi o infettano siti online su larga scala. La strategia utilizzata dai governi invece è quella di organizzare attacchi mirati condotti con precisione chirurgica che puntano ad infettare solo un numero selezionato di utenti.
- L’approccio individuale. Mentre i criminali tradizionali usano codici sorgente già disponibili come quelli dei famigerati Trojan Zeus o Carberb, i governi creano malware unici e personalizzati e implementano persino le restrizioni che ne impediscono la decriptazione e l’esecuzione al di fuori del computer preso di mira.
- L’estrazione di informazioni di valore. I cybercriminali puntano solitamente ad infettare il maggior numero di utenti possibile. Tuttavia, non hanno né il tempo e né la capacità di archiviazione sufficiente per controllare manualmente tutti i dispositivi infettati e di analizzare gli utenti, i dati archiviati e i software eseguiti per poi trasferire e registrare i dati che possono risultare utili. Coloro che agiscono invece per conto dei governi hanno le risorse per archiviare tutti i dati che desiderano. Per sfuggire ai software di sicurezza, non infettano utenti casuali ma si affidano a un generico tool di gestione del sistema da remoto in grado di copiare le informazioni necessarie, indipendentemente dalla loro dimensione. Tuttavia, questo sistema potrebbe essere controproducente, in quanto, trasferire grandi quantità di dati potrebbe rallentare la connessione al network e far sorgere dei sospetti
A questo punto è lecito domandarsi: i governi sono diventati anche loro cybercriminali?
