{"id":30444,"date":"2026-02-11T13:45:50","date_gmt":"2026-02-11T11:45:50","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=30444"},"modified":"2026-02-11T13:45:50","modified_gmt":"2026-02-11T11:45:50","slug":"practical-value-of-cyberthreat-attribution","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/practical-value-of-cyberthreat-attribution\/30444\/","title":{"rendered":"Il valore pratico dell’attribuzione delle minacce informatiche"},"content":{"rendered":"

Non tutti i professionisti della sicurezza informatica pensano che valga la pena capire esattamente chi vi sia dietro un attacco malware che li ha colpiti. Il tipico algoritmo di indagine sugli incidenti \u00e8 pi\u00f9 o meno questo: l\u2019analista trova un file sospetto \u2192 se l\u2019antivirus non lo ha rilevato, lo inserisce in una sandbox per test \u2192 conferma le eventuali attivit\u00e0 dannose \u2192 aggiunge l\u2019hash alla blocklist \u2192 va a fare una pausa caff\u00e8. Questi sono i passaggi obbligati per molti professionisti della sicurezza informatica, soprattutto quando sono sommersi da avvisi o non hanno le competenze forensi per sbrogliare un attacco complesso. Tuttavia, quando si ha a che fare con un attacco mirato, questo approccio \u00e8 un biglietto di sola andata verso il disastro, ed ecco perch\u00e9.<\/p>\n

Se l\u2019autore di attacco agisce in un quadro di maggior respiro, raramente si attiene a un singolo vettore d\u2019attacco. \u00c8 probabile che il file dannoso abbia gi\u00e0 agito in un attacco in pi\u00f9 fasi tanto da essere ormai di poca utilit\u00e0 all\u2019utente malintenzionato, il quale avr\u00e0 gi\u00e0 scavato a fondo nell\u2019infrastruttura aziendale e sar\u00e0 pronto a operare con un set di strumenti completamente diverso. Per eliminare definitivamente la minaccia, il team di sicurezza deve scoprire e neutralizzare l\u2019intera catena di attacco.<\/p>\n

Ma come farlo in modo rapido ed efficace prima che gli autori dell\u2019attacco riescano a fare un vero danno? Un modo \u00e8 immergersi nel contesto. Analizzando un singolo file, un esperto pu\u00f2 identificare esattamente chi sta attaccando la sua azienda, scoprire rapidamente quali altri strumenti e tattiche sono impiegate da quel gruppo specifico e quindi esaminare l\u2019infrastruttura alla ricerca di eventuali minacce correlate. A tale scopo esistono molti strumenti di intelligence, ma qui mostrer\u00f2 un esempio con il nostro Kaspersky Threat Intelligence Portal<\/a>.<\/p>\n

Un esempio pratico dell\u2019importanza dell\u2019attribuzione<\/h2>\n

Supponiamo di caricare in un apposito portale di threat intelligence un malware da noi scoperto e di apprendere che in genere viene utilizzato, ad esempio, dal gruppo MysterySnail<\/em>. Cosa ne ricaviamo? Esaminiamo le informazioni disponibili:<\/p>\n

\"Informazioni

Informazioni sul gruppo MysterySnail<\/p><\/div>\n

Prima di tutto, gli autori di questi attacchiprendono di mira le istituzioni governative di Russia e Mongolia. \u00c8 un gruppo di lingua cinese che in genere si concentra sullo spionaggio. Stando al dossier su di loro, stabiliscono un punto d\u2019appoggio nelle infrastrutture e tengono un basso profilo finch\u00e9 non trovano qualcosa che valga la pena rubare. Sappiamo inoltre che in genere sfruttano la vulnerabilit\u00e0 CVE-2021-40449<\/em>. Di cosa si tratta?<\/p>\n

\"Dettagli

Dettagli sulla vulnerabilit\u00e0 CVE-2021-40449<\/p><\/div>\n

Come possiamo vedere, si tratta di una vulnerabilit\u00e0 legata all\u2019escalation dei privilegi, il che significa che viene utilizzata dopo che gli hacker si sono gi\u00e0 infiltrati nell\u2019infrastruttura. Questa vulnerabilit\u00e0 ha un punteggio di gravit\u00e0 elevato ed \u00e8 ampiamente sfruttata. Quale software \u00e8 vulnerabile?<\/p>\n

\"Software

Software vulnerabile<\/p><\/div>\n

Per farla breve: Microsoft Windows. \u00c8 ora di ricontrollare se la patch che corregge questa falla \u00e8 stata effettivamente installata. Oltre alla vulnerabilit\u00e0, cos\u2019altro sappiamo degli hacker? Si d\u00e0 il caso che hanno un modo particolare di controllare le configurazioni di rete: si connettono al sito pubblico 2ip.ru:\"Dettagli<\/p>\n

Ha quindi senso aggiungere una regola di correlazione a SIEM per segnalare questo tipo di comportamento.<\/p>\n

Quindi \u00e8 il momento di documentarsi su questo gruppo in modo pi\u00f9 dettagliato e raccogliere indicatori di compromissione (IoC) aggiuntivi per il monitoraggio SIEM, nonch\u00e9 regole YARA pronte per l\u2019uso (descrizioni in testo strutturato utilizzate per identificare il malware). Questo ci aiuter\u00e0 a rintracciare tutti i tentacoli di questo kraken che potrebbero essersi gi\u00e0 insinuati nell\u2019infrastruttura aziendale e ad assicurarci di poterli intercettare rapidamente se dovessero tentare di reintrodursi.<\/p>\n

\"Rapporti

Rapporti aggiuntivi su MysterySnail<\/p><\/div>\n

Kaspersky Threat Intelligence Portal offre numerosi rapporti aggiuntivi sugli attacchi MysterySnail, ognuno completo di un elenco di IoC e regole YARA. Le regole YARA possono essere utilizzate per eseguire la scansione di tutti gli endpoint e gli IoC possono essere aggiunti in SIEM per un monitoraggio costante. Gi\u00e0 che ci siamo, esaminiamo i rapporti per vedere come questi utenti malintenzionati gestiscono l\u2019esfiltrazione dei dati e che tipo di dati interessa loro. Adesso possiamo effettivamente adottare le misure per respingere l\u2019attacco.<\/p>\n

Quindi, caro MysterySnail, l\u2019infrastruttura ora \u00e8 ottimizzata per trovarti e rispondere immediatamente. Lo spionaggio finisce qui!<\/p>\n

<\/a>Metodi di attribuzione del malware<\/h2>\n

Prima di addentrarci nei metodi specifici, \u00e8 necessario chiarire una cosa: affinch\u00e9 l\u2019attribuzione funzioni, la threat intelligence richiede un\u2019ampia base di conoscenze in fatto di tattiche, tecniche e procedure (TTP) adottate dagli autori degli attacchi. L\u2019ambito e la qualit\u00e0 di questi database possono variare notevolmente a seconda dei fornitori. Nel nostro caso, prima ancora di creare lo strumento, abbiamo passato anni a tenere traccia dei gruppi noti in varie campagne e a registrare i relativi TTP, e oggi il database \u00e8 continuamente aggiornato.<\/p>\n

Con un database TTP attivo \u00e8 possibile attuare i seguenti metodi di attribuzione:<\/p>\n

    \n
  1. Attribuzione dinamica: identificazione delle TTP tramite l\u2019analisi dinamica di file specifici, seguita da un confronto incrociato di tale set di TTP con quelli di gruppi di hacker noti<\/li>\n
  2. Attribuzione tecnica: individuazione delle sovrapposizioni di codice tra file specifici e frammenti di codice noti per essere stati usati da specifici gruppi di hacker nei loro malware<\/li>\n<\/ol>\n

    Attribuzione dinamica<\/h3>\n

    L\u2019identificazione dei TTP durante l\u2019analisi dinamica \u00e8 relativamente semplice da mettere in atto, tanto da avere rappresentato per molto tempo un punto fermo di ogni sandbox moderna. Naturalmente, tutte le nostre sandbox identificano i TTP anche durante l\u2019analisi dinamica di un campione di malware:<\/p>\n

    \"TTP

    TTP di un campione di malware<\/p><\/div>\n

    Il fulcro di questo metodo risiede nella categorizzazione delle attivit\u00e0 del malware utilizzando il framework MITRE ATT&CK. Un rapporto sandbox contiene in genere un elenco dei TTP rilevati. Sebbene molto utili, non sono per\u00f2 sufficienti per la completa attribuzione a un gruppo specifico. Cercare di identificare gli autori di un attacco utilizzando questo metodo \u00e8 come quell\u2019antica parabola indiana dei ciechi e dell\u2019elefante<\/a> in cui persone bendate toccano diverse parti di un elefante e cercano di dedurre ci\u00f2 che hanno di fronte. Chi tocca la proboscide pensa che sia un pitone; chi tocca il fianco \u00e8 sicuro che si tratti di un muro e cos\u00ec via.<\/p>\n

    \"I

    I ciechi e l\u2019elefante<\/p><\/div>\n

    Attribuzione tecnica<\/h3>\n

    Il secondo metodo di attribuzione viene gestito tramite l\u2019analisi del codice statico (tenendo presente per\u00f2 che questo tipo di attribuzione \u00e8 sempre problematico). L\u2019idea di base in questo caso \u00e8 raggruppare anche file malware leggermente sovrapposti in base a determinate caratteristiche univoche. Prima di iniziare l\u2019analisi, il campione di malware deve essere disassemblato. Il problema \u00e8 che oltre ai bit informativi e utili, il codice recuperato contiene molto rumore. Se l\u2019algoritmo di attribuzione tiene conto di questa spazzatura non informativa, qualsiasi campione di malware finir\u00e0 per somigliare a un gran numero di file legittimi, rendendo impossibile un\u2019attribuzione di qualit\u00e0. D\u2019altra parte, provare ad attribuire il malware solo in base ai frammenti utili, ma utilizzando un metodo matematicamente primitivo, far\u00e0 solo salire alle stelle il tasso di falsi positivi. Inoltre, qualsiasi risultato di attribuzione deve essere sottoposto a un controllo incrociato per verificare la presenza di somiglianze con i file legittimi e la qualit\u00e0 di tale controllo di solito dipende fortemente dalle capacit\u00e0 tecniche del fornitore.<\/p>\n

    <\/a>L\u2019approccio di Kaspersky all\u2019attribuzione<\/h3>\n

    I nostri prodotti sfruttano un database esclusivo di malware associato a gruppi di hacker specifici, creato in oltre 25 anni. Inoltre, utilizziamo un algoritmo di attribuzione brevettato<\/a> basato sull\u2019analisi statica del codice disassemblato. Questo consente di determinare, con elevata precisione e persino una specifica percentuale di probabilit\u00e0, quanto simile sia un file analizzato rispetto ai campioni noti di un determinato gruppo. In questo modo \u00e8 possibile formare un verdetto fondato attribuendo il malware a uno specifico attore di minacce. I risultati vengono quindi sottoposti a riferimenti incrociati con un database di miliardi di file legittimi per filtrare i falsi positivi; se viene rilevata una corrispondenza con uno di essi, il verdetto di attribuzione viene adeguato di conseguenza. Questo approccio \u00e8 la spina dorsale di Kaspersky Threat Attribution Engine, che alimenta il servizio di attribuzione delle minacce in Kaspersky Threat Intelligence Portal<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

    Perch\u00e9 \u00e8 utile attribuire il malware a uno specifico gruppo di hacker?<\/p>\n","protected":false},"author":2792,"featured_media":30454,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955],"tags":[3363,638,2289,2274],"class_list":{"0":"post-30444","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-attribuzione","10":"tag-minacce","11":"tag-servizi","12":"tag-threat-intelligence"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/practical-value-of-cyberthreat-attribution\/30444\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/practical-value-of-cyberthreat-attribution\/30133\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/practical-value-of-cyberthreat-attribution\/25194\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/practical-value-of-cyberthreat-attribution\/13167\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/practical-value-of-cyberthreat-attribution\/30010\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/practical-value-of-cyberthreat-attribution\/28957\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/practical-value-of-cyberthreat-attribution\/31823\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/practical-value-of-cyberthreat-attribution\/41238\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/practical-value-of-cyberthreat-attribution\/14248\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/practical-value-of-cyberthreat-attribution\/55217\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/practical-value-of-cyberthreat-attribution\/23591\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/practical-value-of-cyberthreat-attribution\/33159\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/practical-value-of-cyberthreat-attribution\/30222\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/practical-value-of-cyberthreat-attribution\/35894\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/practical-value-of-cyberthreat-attribution\/35550\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/threat-intelligence\/","name":"threat intelligence"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30444","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2792"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=30444"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30444\/revisions"}],"predecessor-version":[{"id":30457,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/30444\/revisions\/30457"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/30454"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=30444"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=30444"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=30444"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}