{"id":22093,"date":"2020-06-25T13:37:11","date_gmt":"2020-06-25T11:37:11","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=22093"},"modified":"2020-06-25T15:13:37","modified_gmt":"2020-06-25T13:13:37","slug":"kaspersky-threat-attribution-engine","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/kaspersky-threat-attribution-engine\/22093\/","title":{"rendered":"Quale gruppo di hacker sta attaccando la vostra rete aziendale? Non tirate ad indovinare… verificate!"},"content":{"rendered":"

Circa quattro anni fa, la cybersicurezza \u00e8 diventata una pedina geopolitica. I politici di tutti i partiti e di tutte le nazionalit\u00e0 ora si incolpano a vicenda per ostili operazioni di spionaggio informatico e, allo stesso tempo (sembra ironico ma non lo \u00e8) gli strumenti informatici (armi)<\/span> in loro possesso per attaccare altri paesi diventano ogni giorno pi\u00f9 potenti. Nel fuoco incrociato<\/a> delle baruffe geopolitiche<\/a> ci sono le compagnie indipendenti di sicurezza informatica<\/a>, che hanno le capacit\u00e0 e il coraggio di smascherare questa pericolosissima buffonata.<\/p>\n

Perch\u00e9 tutto ci\u00f2? \u00c8 molto semplice\u2026<\/p>\n

In primo luogo, utilizziamo ancora il termine fresco\/romantico\/sci-fi\/hollywoodiano\/glamour \u201ccyber'\u201d, coniato quando \u00e8 sorto questo fenomeno. Un aggettivo che fa vendere, non solo prodotti ma anche notizie. Ed \u00e8 popolare, anche tra i politici: una comoda distrazione, data la sua popolarit\u00e0 e il suo essere di moda, quando c\u2019\u00e8 bisogno di un elemento per sviare l\u2019attenzione su altro, il che pu\u00f2 accadere spesso.<\/p>\n

In secondo luogo, il mondo \u201ccyber\u201d \u00e8 molto tecnico, la maggior parte delle persone non lo capisce. Di conseguenza i media, quando affrontano argomenti di questo tipo, pubblicano di tutto, anche notizie non del tutto vere (o completamente false), perch\u00e9 pochi lettori se ne accorgono. Quindi, quello che si ottiene sono un sacco di storie sui giornali che affermano che questo o quel gruppo di hacker di questo o quel paese \u00e8 responsabile di questo o quel cyber attacco imbarazzante, costoso, dannoso e scandaloso. Ma si pu\u00f2 credere a tutto?<\/p>\n

Noi ci atteniamo all\u2019attribuzione tecnica, \u00e8 nostro dovere ed \u00e8 ci\u00f2 che facciamo come azienda.<\/p><\/blockquote>\n

In generale, \u00e8 difficile capire in cosa credere. Alla luce di quanto detto, \u00e8 davvero possibile attribuire con precisione la responsabilit\u00e0 di un attacco informatico?<\/p>\n

La risposta va divisa in due parti.<\/p>\n

Dal punto di vista tecnico, i cyberattacchi possiedono una serie di caratteristiche particolari ma un\u2019analisi imparziale del sistema pu\u00f2 stabilire solamente quanto un attacco sembri opera di questo o quel gruppo hacker<\/em>.<\/p>\n

Tuttavia, che il gruppo hacker possa appartenere alla sotto-unit\u00e0 di intelligence militare 233, al National Advanced Defense Research Projects Group, o alla Joint Strategic Capabilities and Threat Reduction Taskforce (nessuno di questi nomi esiste, potete evitare di cercare su Google), \u00e8 un aspetto politico, e qui la probabilit\u00e0 di manipolazione dei fatti \u00e8 vicina al 100%. Si passa da conclusioni tecniche, basate su prove accurate a.\u2026 predire il futuro. Ed \u00e8 un compito che lasciamo alla stampa, ne stiamo alla larga. Nel frattempo, curiosamente, la percentuale di \u201capi politiche\u201d che si immergono nel miele della sicurezza informatica pi\u00f9 pura e che si basa sui fatti cresce a dismisura con l\u2019avvicinarsi di importanti eventi politici, proprio come quello che si terr\u00e0 tra cinque mesi!<\/p>\n

Conoscere l\u2019identit\u00e0 del gruppo hacker responsabile di un attacco rende la lotta molto pi\u00f9 facile: si pu\u00f2 attuare una risposta agli incidenti adeguata e con dei rischi minimi per il business.<\/p><\/blockquote>\n

Quindi s\u00ec, l\u2019attribuzione politica \u00e8 qualcosa che noi evitiamo. Ci atteniamo all\u2019aspetto tecnico: \u00e8 nostro dovere ed \u00e8 ci\u00f2 che facciamo come azienda. E lo facciamo meglio di chiunque altro, oserei aggiungere modestamente. Teniamo d'occhio<\/a> tutti i grandi gruppi di cybercriminali e le loro operazioni (pi\u00f9 di 600), e non prestiamo alcuna attenzione a quale potrebbe essere la loro affiliazione politica. Un ladro \u00e8 un ladro, e dovrebbe andare in carcere sempre. Ora, finalmente, a pi\u00f9 di 30 anni da quando mi sono avventurato in questo \u201cgioco\u201d, dopo aver raccolto senza sosta cos\u00ec tanti dati sui crimini digitali, ci sentiamo pronti a condividere quello che abbiamo in mano, a fin di bene.<\/p>\n

Abbiamo lanciato un nuovo fantastico servizio rivolto agli esperti di sicurezza informatica. Si chiama Kaspersky Threat Attribution Engine<\/a>, analizza i file sospetti e determina da quale gruppo di cybercriminali proviene un determinato attacco informatico. Conoscerne l\u2019identit\u00e0 rende molto pi\u00f9 facile la lotta: \u00e8 possibile prendere decisioni informate sulle contromisure, elaborare un piano d\u2019azione, definire le priorit\u00e0 e, nel complesso, \u00e8 possibile dare una risposta adeguata all\u2019incidente con un rischio minimo per l\u2019azienda.<\/p>\n

\"Interfaccia<\/p>\n

Come lo facciamo?<\/p>\n

Come ho detto precedentemente, i cyberattacchi hanno molte caratteristiche puramente tecniche, o flag<\/em>: data e ora di compilazione dei file, indirizzi IP, metadati, exploit<\/a>, frammenti di codice, password, linguaggio, convenzioni di nomenclatura dei file, percorsi di debug, strumenti di offuscamento e di cifratura e molto altro ancora. Prese singolarmente, queste caratteristiche sono utili<\/a> solamente: (a) ai politici per puntare il dito contro i loro avversari sulla scena internazionale per svelare fantomatici segreti, o (b) ai cattivi giornalisti alla ricerca di scoop sensazionalistici. In realt\u00e0, solo se presi tutti insieme questi fattori possono indicare il gruppo cybercriminale responsabile.<\/p>\n

Inoltre, i flag possono essere facilmente falsificati o emulati.<\/p>\n

Ad esempio, sembra che gli hacker del gruppo Lazarus<\/a> abbiano usato parole russe trascritte in lettere latine nel proprio codice binario; tuttavia, il modo in cui le frasi sono state composte \u00e8 innaturale in russo e sono piene di errori grammaticali\/sintattici, sembrerebbe una traduzione fatta con Google Translate, forse per sviare gli esperti di sicurezza:<\/p>\n

\"Alt:<\/p>\n

Tuttavia, qualsiasi gruppo di hacker pu\u00f2 utilizzare Google Translate, anche con la propria lingua madre, rendendo il \u201clinguaggio\u201d difficilmente comprensibile.<\/p>\n

Ecco un altro caso che evidenzia questo aspetto ma in modo leggermente diverso: il gruppo Hades<\/a> (autore del famigerato worm OlympicDestroyer<\/em> che ha attaccato l\u2019infrastruttura dei Giochi Olimpici del 2018 in Corea del Sud), ha aggiunto alcuni flag seguendo lo \u201cstile\u201d sintattico del gruppo Lazarus, portando molti ricercatori a credere che gli hacker di Hades fossero gli stessi di Lazarus (altre differenze nello \u201cstile\u201d dei due gruppi hanno portato alla conclusione che non si trattasse di Lazarus).<\/p>\n

Tuttavia, l\u2019analisi manuale di centinaia di caratteristiche da parte di esperti e il loro confronto con gli stili delle firme di altri gruppi di hacker, \u00e8 praticamente impossibile in tempi brevi, con risorse limitate e con una qualit\u00e0 dei risultati accettabile; eppure tali risultati sono davvero necessari. Le aziende vogliono catturare rapidamente il cyber-\u201cpolipo\u201d che le sta attaccando e bloccare tutti i tentacoli in modo che non strisci da qualche altra parte per poi poter dire<\/a> a tutti cosa fare per difendersi.<\/p>\n

I \u201cgenotipi\u201d dei malware aiutano a trovare similitudini nei codici per individuare gli autori delle minacce APT con una percentuale di precisione di quasi il 100%.<\/p><\/blockquote>\n

Era questo di cui si aveva un disperato bisogno? Effettivamente s\u00ec, ed \u00e8 proprio quello che abbiamo trovato\u2026<\/p>\n

Alcuni anni fa, per uso interno, abbiamo sviluppato un sistema per l\u2019analisi automatizzata dei file. Funziona in questo modo: estraiamo da un file sospetto una sorta di genotipo<\/em>, brevi frammenti di codice selezionati con il nostro algoritmo, e lo confrontiamo con pi\u00f9 di 60.000 oggetti di attacchi mirati provenienti dal nostro database considerando un intero spettro di caratteristiche. Ci\u00f2 ci permette di determinare gli scenari pi\u00f9 probabili sull\u2019origine di un attacco informatico e di fornire descrizioni dei probabili gruppi di hacker responsabili e link a risorse gratuite e a pagamento<\/a> per ottenere informazioni pi\u00f9 dettagliate e per sviluppare una strategia di risposta agli incidenti.<\/p>\n

Potreste chiedervi quanto sia affidabile questo metodo. Beh, diciamo solo che in tre anni il sistema non ha commesso un solo errore nel condurre le indagini verso la direzione giusta!<\/p>\n

Tra le indagini pi\u00f9 conosciute dove \u00e8 stato applicato questo sistema ci sono LightSpy iOS<\/a>, TajMahal<\/a>, Shadowhammer<\/a>, ShadowPad<\/a> e Dtrack.<\/a> In tutti questi casi, il risultato finale coincideva perfettamente con la valutazione dei nostri esperti. Ora questo strumento \u00e8 a disposizione anche dei nostri clienti!<\/p>\n

\"Kaspersky<\/p>\n

Kaspersky Threat Attribution Engine \u00e8 un kit di distribuzione basato su Linux da installare sul computer air gapped del cliente, per la massima riservatezza. Gli aggiornamenti sono forniti su una USB. Inoltre, i campioni di malware trovati dagli analisti interni del cliente possono essere aggiunti al database KTAE ed esiste anche un\u2019interfaccia API per collegare il motore ad altri sistemi, incluso un SOC (Security Operations Center) di terze parti.<\/p>\n

In chiusura, voglio precisare una cosa: come con qualsiasi strumento per l\u2019analisi automatizzata di attivit\u00e0 informatiche dannose, KTAE non offre un risultato garantito al 100% per quanto riguarda l\u2019attribuzione di un attacco. Tutto pu\u00f2 essere falsificato e manipolato, comprese le soluzioni pi\u00f9 avanzate. Il nostro obiettivo principale \u00e8 quello di fornire un\u2019indicazione accurata per capire verso quale direzione guardare per testare diversi scenari probabili. Inoltre, nonostante gli onnipresenti e risuonanti cori sull\u2019efficacia dell\u2019IA<\/a> (che in realt\u00e0 non esiste ancora<\/a>), i sistemi di \u201cIA\u201d esistenti, anche i pi\u00f9 intelligenti, non sono attualmente in grado di fare il proprio lavoro senza l\u2019assistenza dell\u2019Homo sapiens. \u00c8 proprio questa sinergia di macchine, dati ed esperti, \u201cHuMachine<\/a>\u201c, che oggi ci aiuta a combattere efficacemente anche le minacce informatiche pi\u00f9 complesse.<\/p>\n

Questo \u00e8 tutto per oggi. Per maggiori informazioni, potete consultare la pagina del prodotto<\/a>, la scheda tecnica<\/a> del prodotto e il white paper<\/a>.<\/p>\n

PS: Vi consiglio vivamente di leggere questo post<\/a> scritto da uno dei \u201ccreatori\u201d di questo prodotto, Costin Raiu, dove si parla della storia di Kaspersky Threat Attribution Engine, come \u00e8 stato sviluppato e altri aspetti importanti che lo rendono cos\u00ec unico.<\/p>\n","protected":false},"excerpt":{"rendered":"

Abbiamo lanciato una nuova soluzione che offre alle aziende un\u2019analisi delle somiglianze tra codici e prove tecniche per determinare il gruppo APT autore di un attacco.<\/p>\n","protected":false},"author":13,"featured_media":22095,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955],"tags":[592,3363,3312],"class_list":{"0":"post-22093","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-apt","10":"tag-attribuzione","11":"tag-soluzioni"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/kaspersky-threat-attribution-engine\/22093\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/kaspersky-threat-attribution-engine\/21437\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/kaspersky-threat-attribution-engine\/16901\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/kaspersky-threat-attribution-engine\/22540\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/kaspersky-threat-attribution-engine\/20688\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/kaspersky-threat-attribution-engine\/23005\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/kaspersky-threat-attribution-engine\/28574\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/kaspersky-threat-attribution-engine\/35852\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/kaspersky-threat-attribution-engine\/15103\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/kaspersky-threat-attribution-engine\/13569\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/kaspersky-threat-attribution-engine\/28717\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/kaspersky-threat-attribution-engine\/22475\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/kaspersky-threat-attribution-engine\/27719\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/kaspersky-threat-attribution-engine\/27561\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/22093","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=22093"}],"version-history":[{"count":8,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/22093\/revisions"}],"predecessor-version":[{"id":22109,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/22093\/revisions\/22109"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/22095"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=22093"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=22093"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=22093"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}