La pandemia di COVID 19 è una sfida sanitaria per l'umanità, ma ciò non impedisce il suo utilizzo per svolgere attività criminali, spionistiche o di influenza.
Il rapporto della Thales "COVID-19: Cyber Threat Assessment" è un ottimo riassunto di cosa accade nel cyberspace in conseguenza del COVID 19.
Il rapporto, datato 24 marzo 2020, è scaricabile dal sito della Thales.
Ma diamo uno sguardo assieme allo studio.
In primo luogo dobbiamo segnalare che secondo gli analisti in tutto il mondo si registra un incremento di campagne cyber legate alla diffusione di notizie sul COVID 19 e diffusione di software impiegati per visualizzazione e tracciamento della situazione COVID 19 (sia su PC sia su dispositivi mobili).
Il vettore di attacco è quindi legato direttamente alla diffusione del virus biologico.
Gli analisti indicano che è la paura a spingere alla ricerca di sempre maggiori informazioni, facendo dimenticare la necessaria attenzione alla sicurezza, causando sia una maggiore diffusione di malware (ransomware, spyware ecc...) sia una maggiore diffusione di fake news.
Diversi gruppi hacker hanno comunque dichiarato di non aver intenzione di attaccare gli ospedali anche se sembra che siano stati notati degli attacchi contro gli ospedali di Parigi, il Brno University Hospital (laboratorio Ceco di test sul COVID 19) e il US Department of Healt.
I gruppi segnalati per aver preso parte a queste campagne mondiali sono: Vicius Panda, Mustang Panda, Kimsuky, APT 36, Hades group, TA542.
Di sicuro interesse, le raccomandazioni dell'ANSSI sul telelavoro (1) che riassumiamo brevemente di seguito e pensiamo possano essere valide anche da noi:
- non esporre su internet, per nessun motivo, le interfacce web dei server Microsoft Exchange non aggiornati all'ultima patch di sicurezza;
- non dare accesso ai server di file-sharing attraverso il protocollo SMB;
- se si espongono o se è necessario esporre nuovi servizi su Internet, aggiornate al più presto le patch di sicurezza (sia ai software che all'hardware) e abilitate meccanismi di log-in. Se possibile usate autenticazione a due fattori;
- eseguire i backup offline;
- usare accessi attraverso VPN (IPSEC o TLS) per evitare esposizione diretta su Internet;
- controllare regolarmente i log di accesso dei servizi esposti su Internet o che mostrano comportamenti sospetti.
Seguite inoltre le indicazioni aggiuntive di Thales, anch'esse riassunte di seguito:
- impiegate canali informativi di fiducia (governativi, nazionali...);
- fare attenzione al sensazionalismo di certi media;
- controllo incrociato delle informazioni;
- richiamare alla mente dei "telelavoratori" l'attenzione alla sicurezza informatica;
- a livello statale, dare priorità alla Cyber Threat Intelligence;
- combinare IDS e Cyber Threat Intelligence, quando si hanno capacità e disponibilità.
Aggiungiamo di fare attenzione alla gestione dei servizi, evitiamo gli autogol !
Alcune mie brevi considerazioni.
Il Report è sicuramente interessante e pone l'accento, oltre che sui malware, sull'impiego della cyber per la diffusione di notizie, messaggi e informazioni che potrebbero essere considerate delle campagne informative. Ciò significa che il caso di pandemia di COVID 19 è impiegato (o per meglio dire si sospetta sia impiegato) da potenze straniere per coprire delle operazioni di Influence.
Niente di strano, a mio parere, ma è bene segnalarlo perché non sempre viene detto così chiaramente.
Credo sia chiaro a tutti che in questo periodo sono stati in tanti a effettuare operazioni di Influence, sia per mezzo di messaggi pubblici sia per mezzo di atti, diretti alla "pancia" dell'opinione pubblica, italiana e non. Operazioni compiute purtroppo da tutti gli Stati, sia quelli considerati "amici" sia quelli considerati "nemici".
Ultima raccomandazione ai manager: in tempo di emergenza ci vuole poco a sovrastimare o sottostimare le esigenze di un settore. Il settore informatico non gode di buona salute già da prima della crisi COVID 19, sottoalimentarlo ulteriormente non sarebbe saggio, neppure di fronte alla pandemia!
A buon intenditor poche parole.
Alessandro Rugolo
Per approfondire:
- https://www.thalesgroup.com/en/market-specific/critical-information-systems-and-cybersecurity/news/covid-19-new-weapon-cyber;
- https://blog.malwarebytes.com/101/2018/12/how-threat-actors-are-using-smb-vulnerabilities/;
- https://www.ssi.gouv.fr/uploads/2018/10/guide_nomadisme_anssi_pa_054_v1.pdf;
-
Nessun commento:
Posta un commento