Cinque anni di osservazione, dove sono stati monitorate le diverse attività di tre gruppi di attacco cyber governativi di origine cinese tra loro coordinati e individuata una struttura di ricerca e sviluppo di malware in ambienti universitari.

Un lavoro molto vasto, che Sophos ha condotto in collaborazione con le forze dell’ordine e altri vendor di cyber security e che – questo è forse una degli aspetti più notevoli– ha poi documentato in modo dettagliato nel report pubblico Pacific Rim.

“La portata delle minacce che arrivano da attori governativi e dai gruppi che sostengono è più vasta che mai, e questo dovrebbe mandare all’industria della cybersecurity un segnale molto chiaro: questa non è una minaccia che ciascuno di noi possa affrontare da solo”, dice il CISO di Sophos Ross McKerchar, con cui abbiamo di recente discusso i contenuti del report e la sua visione sullo stato globale della cybersecurity.

“Servono trasparenza e collaborazione tra i vari vendor di sicurezza e con i governi amici. [Con il report Pacific Rim] abbiamo voluto fare il primo passo e condividere le nostre informazioni di threat intelligence, con una scala e un livello di dettaglio inusuale nel settore, in modo che chiunque alleato potesse contribuire”.

Un inseguimento durato cinque anni

Ross McKerchar CISO di Sophos

Ross McKerchar CISO di Sophos

Partita con il rilevamento di traffico anomalo da parte di un pc senza privilegi che comandava un display, l’indagine di Sophos ha svelato come nel corso del tempo gli attaccanti abbiano modificato le proprie tecniche e strumenti per adattarsi alle contromisure che di mano in mano venivano adottate, anche ricorrendo ad altri gruppi sempre più competenti e in grado di operare in modo più silenzioso.

Il tutto per riuscire a violare le difese dei firewall Sophos e cercare di arrivare – ripetiamo, con una campagna che ha richiesto anni – a infiltrarsi nelle infrastrutture critiche nei paesi occidentali.

E proprio un firewall Sophos, usato dagli attaccanti per testare i propri exploit, è stato il cavallo di Troia con cui l’azienda è riuscita – attraverso la distribuzione di un kernel modificato – a ricavare informazioni sul malware quando ancora era in fase di sviluppo, permettendo di distribuire ai clienti le patch prima ancora del suo effettivo utilizzo.

Piccole aziende e dispositivi abbandonati

Un altro insegnamento che la campagna Pacific Rim può impartire è che non sono solo le grandi organizzazioni e le loro moderne infrastrutture a essere bersaglio di attori governativi. Anzi. “Abbiamo visto come, mentre l’industria diventa sempre più efficace nell’offrire soluzioni di difesa moderne e sofisticate, i criminali si focalizzano su software e hardware obsoleti che spesso rimangono collegati alle reti, quasi dimenticati ma ancora operativi per svolgere qualche funzione specifica nella periferia della rete”, come nel caso del pc che comandava il display di una sede distaccata a cui abbiamo accennato, apparati di rete o dispositivi IoT.

“Si tratta spesso di dispositivi troppo vecchi per ricevere aggiornamenti, ma che vengono sfruttati come punto di intrusione o per la costruzione di reti di ORB (Operational Relay Boxes) che vengono usati per portare attacchi ad altre organizzazioni mascherandone la provenienza”.

Cybersecurity e IA generativa

È impossibile parlare di qualsiasi argomento di questi tempi senza nominare la IA generativa e il suo impatto in ogni settore. Sicuramente questa tecnologia ha fatto la sua comparsa sui due lati del fronte: gli attaccanti la stanno usando per costruire messaggi di phishing più sofisticati e per lo sviluppo di malware, e i vendor di cybersecurity la hanno inserita nei propri software per aumentare la produttività dei security analyst.

Detto ciò, la sensazione è che siamo ancora agli albori di un utilizzo su vasta scala, almeno da parte dei cybercriminali. “Oltre all’utilizzo occasionale per la produzione di contenuti di phishing, al momento non abbiamo visto molti altri casi d’uso. Si è molto speculato sulla possibilità che gli attaccanti realizzino sistemi AI sofisticati in grado di testare le difese e lanciare automaticamente attacchi, ma non è una cosa che abbiamo riscontrato sul campo”, afferma McKerchar.

In campo difensivo, invece, secondo il CISO “la IA generativa può essere utile per analizzare il funzionamento di script e comandi offuscati utilizzati dai criminali o per offrire maggiore contesto nell’interpretazione di serie di eventi, permettendo di creare query avanzate per interrogare i data lake che raccolgono i log di sicurezza o come interfaccia ad alto livello per interpretare i dati dei modelli di IA tradizionale, non generativa, che le aziende come Sophos impiegano da molti anni per la detection”.

Modelli che permettono di parlare con altri modelli, quindi. “Sophos sta seguendo molto da vicino questo filone di sviluppo, ma per il momento siamo focalizzati sull’utilizzo degli LLM per potenziare le capacità degli analisti cyber”, ha concluso.