Perché i conflitti globali aumentano i livelli di minaccia per la cybersecurity

Quando le tensioni geopolitiche si acuiscono, la maggior parte dell'attenzione è rivolta ai conflitti fisici, alle perturbazioni economiche e alle ricadute politiche. Ciò che spesso è meno visibile, ma che si sta già svolgendo in parallelo, è un'impennata dell'attività informatica.

In questo blog, Richard Ford, CTO di Integrity360, spiega come i conflitti globali stiano determinando un aumento del rischio informatico, perché l'hacktivismo stia guadagnando terreno e cosa devono capire le organizzazioni per ridurre la loro esposizione.

Cos'è l'hacktivismo e perché è importante oggi?

L'hacktivismo è diventato una caratteristica distintiva dei moderni conflitti informatici, in particolare nei periodi di instabilità geopolitica. A differenza della criminalità informatica tradizionale, questi gruppi non hanno una motivazione principalmente finanziaria. I loro obiettivi sono ideologici.

Richard Ford spiega che:

Il termine Hacktivism si riferisce a gruppi di hacker con motivazioni politiche o sociali, guidati dall'ideologia o dal desiderio di giustizia sociale o di cambiamento politico, piuttosto che da motivazioni finanziarie.

A seconda del gruppo e/o della motivazione, gli obiettivi sono solitamente governi o grandi aziende. In questo caso specifico si tratta di gruppi di hacktivisti legati o simpatizzanti dell'Iran, scatenati dagli eventi delle ultime settimane. In questo caso, gli hacktivisti iraniani mirano a disturbare le organizzazioni governative, i servizi e la popolazione di qualsiasi Paese bersaglio, in parte per esercitare pressione su di loro, ma soprattutto per ritorsione".

Questo segna un cambiamento nel modo in cui l'attività informatica viene utilizzata durante i conflitti. Piuttosto che incidenti isolati, gli attacchi sono sempre più coordinati e progettati per creare un impatto sociale più ampio".

Richard prosegue:

Attualmente si teme che gli obiettivi probabili di qualsiasi attacco, per massimizzare l'impatto, siano le infrastrutture nazionali critiche (CNI). L'attenzione per la sicurezza delle CNI è stata molto alta, con l'adozione della direttiva NIS2 nell'UE e l'imminente legge sulla sicurezza e la resilienza informatica nel Regno Unito che stabilisce i requisiti di sicurezza per i fornitori e gli operatori di CNI.

Questa attenzione è dettata in primo luogo dall'enorme impatto che le violazioni possono avere, compresa la perdita di vite umane in casi estremi, ma anche dal fatto che questi ambienti sono stati tradizionalmente molto insicuri e gestiti concentrandosi sulle operazioni e sulla disponibilità piuttosto che sulla sicurezza".

I metodi utilizzati dai gruppi hacktivisti

Nel panorama attuale, i gruppi simpatizzanti di cause geopolitiche lanciano a ritmo serrato operazioni informatiche dirompenti. Il loro obiettivo non è solo la visibilità. È la pressione. Prendendo di mira organizzazioni che sono alla base della vita quotidiana, mirano a influenzare indirettamente i governi attraverso il disturbo della popolazione.

Richard Ford descrive il modo in cui questi attacchi vengono tipicamente condotti:

Gli aggressori in genere utilizzano una serie di metodi per attaccare i loro obiettivi. Una tecnica di attacco comune all'hacktivismo, e relativamente facile ed economica da realizzare attraverso i servizi del dark web, è l'attacco DDoS (Distributed Denial of Service).

Il dark web è una parte di Internet nascosta, anonima e criptata, nota per i mercati illegali, alcuni dei quali offrono strumenti e servizi per gli aggressori come parte di una catena di approvvigionamento.

Questi servizi hanno abbassato notevolmente la barriera d'ingresso per gli aggressori.

I servizi DDoS forniscono l'accesso alle botnet esistenti, che sono macchine compromesse su larga scala, e consentono agli aggressori di colpire siti web e servizi con quantità di traffico estremamente elevate a un prezzo relativamente basso, mettendoli offline, anche se temporaneamente".

Tuttavia, sebbene gli attacchi DDoS siano molto visibili, raramente sono i più dannosi.

Sebbene gli attacchi DDoS siano più semplici e facili da implementare, gli attacchi veramente impattanti sono quelli in cui un'organizzazione viene compromessa e i suoi sistemi vengono presi di mira per un'interruzione a lungo termine. Si tratta di un attacco più tradizionale, spesso iniziato con una semplice e-mail di phishing o con lo sfruttamento di una vulnerabilità, prima di arrivare ai sistemi critici per lanciare attacchi di tipo ransomware, crittografando, disabilitando o alterando i sistemi".

L'impatto di questi attacchi sulle organizzazioni e sulle popolazioni

L'impatto reale di questi attacchi dipende sia dal metodo utilizzato sia dal tipo di organizzazione presa di mira. Mentre alcuni attacchi possono causare interruzioni temporanee, altri possono avere conseguenze di vasta portata.

Richard Ford spiega che:

L'obiettivo e il tipo di attacco determinano l'impatto che potrebbe essere avvertito da persone e organizzazioni. Data la relativa facilità di esecuzione, essendo una tattica tipica degli hacktivisti e delle attività viste finora, gli attacchi DDoS sono i più probabili e potrebbero mettere fuori uso i servizi web pubblici. Anche se la maggior parte di essi avrà una qualche forma di protezione e l'impatto sarà solo temporaneo".

All'estremità più grave dello spettro, le conseguenze diventano molto più serie.

Il caso peggiore, meno banale da lanciare e da orchestrare con successo, sarebbe una violazione delle infrastrutture nazionali critiche come l'elettricità, l'approvvigionamento idrico, i servizi sanitari e l'approvvigionamento alimentare. Questo potrebbe avere una miriade di effetti e costituire l'impatto maggiore per le popolazioni".

I recenti incidenti informatici nel settore commerciale forniscono un'utile indicazione di come l'interruzione possa aggravarsi.

L'attacco di Marks & Spencer nel Regno Unito è un ottimo esempio di attacco informatico, soprattutto in termini di gravità e impatto, in cui gli scaffali sono rimasti scoperti e i clienti non hanno potuto effettuare ordini. Sebbene si tratti di un attacco ransomware a sfondo finanziario, l'approccio potrebbe essere molto simile negli attacchi contro i fornitori di CNI.

Inoltre, l'attacco JLR che ha fatto seguito a quello di M&S, collegato agli stessi aggressori, è stato citato come un impatto sulla crescita economica del trimestre. Quindi non è necessario che si tratti di CNI per avere un impatto significativo".

Il quadro generale: l'opportunismo informatico nel conflitto globale

Sebbene l'attività degli hacktivisti possa dominare i titoli dei giornali, è solo una parte di una tendenza più ampia. I conflitti globali creano opportunità nell'intero panorama delle minacce.

Mentre l'attenzione si concentra su attori o regioni specifiche, altri gruppi operano in parallelo. Attori schierati a livello nazionale, criminali informatici e aggressori opportunisti approfittano della maggiore distrazione e complessità. Questo porta a una sovrapposizione di minacce, a un aumento del volume degli attacchi e a una maggiore probabilità di successo della compromissione.

Per le organizzazioni, questo significa che i livelli di minaccia cambiano rapidamente in risposta agli eventi globali, spesso senza preavviso.

Cosa devono fare le organizzazioni

In questo ambiente, un approccio reattivo non è più sufficiente. Le organizzazioni devono partire dal presupposto che le minacce informatiche aumenteranno durante i periodi di instabilità geopolitica e prepararsi di conseguenza.

Ciò richiede

Forti capacità di rilevamento e risposta
Monitoraggio continuo dei sistemi e delle catene di fornitura
Valutazione regolare delle esposizioni negli ambienti tecnologici IT e operativi.
La capacità di rispondere rapidamente a minacce multiple e simultanee.

Soprattutto, le organizzazioni devono andare oltre la sola prevenzione e concentrarsi sulla resilienza. La capacità di rilevare, rispondere e recuperare rapidamente è ciò che determina in ultima analisi l'impatto di un attacco.

I conflitti globali di oggi non sono solo limitati a domini fisici o politici. Si estendono e spesso iniziano nel cyberspazio, dove più attori operano simultaneamente con motivazioni diverse ma spesso con obiettivi sovrapposti.

L'opportunismo informatico prospera nell'incertezza e i periodi di tensione geopolitica creano le condizioni ideali per un aumento degli attacchi. Come la sicurezza fisica viene aumentata in questi periodi, anche la sicurezza informatica deve essere rafforzata.

Le organizzazioni che riconoscono questo modello e si preparano ad affrontare un panorama di minacce più complesso e in rapida evoluzione saranno di gran lunga meglio posizionate per resistere all'impatto. Quelle che non lo fanno rischiano di essere colte alla sprovvista, dato che i conflitti informatici continuano a evolversi insieme agli eventi sulla scena globale.

Se siete preoccupati per una delle minacce descritte in questo blog o avete bisogno di aiuto per determinare le misure da adottare per proteggervi dalle minacce più concrete che incombono sulla vostra organizzazione, contattateci per scoprire come potete proteggere la vostra organizzazione.