I nomi dati ai gruppi di hacker stanno diventando sempre più assurdi e divertenti, ma ciò non frena questa organizzazioni dall’agire in modo compatto e travolgere ogni ostacolo per arrivare ai propri obiettivi.
Pumpkin Sandstorm. Spandex Tempest. Charming Kitten. Questi sono solo alcuni dei nomi presi dai gruppi hacker che stanno strappando qualche sorriso agli osservatori. A discapito però dei nomi particolarmente divertenti, questi gruppi hanno un potere che dovremmo tenere sempre a mente, quando ci aggiriamo tra i meandri del web.
Gli hacker, in particolare quelli sponsorizzati dagli Stati e interessati allo spionaggio e alla guerra informatica. Nonché i criminali informatici organizzati che sfruttano le reti di tutto il mondo a scopo di lucro. Non sono teneri animali domestici, come si direbbe dai nickname di alcuni di loro.
Gli hacker black hat sono responsabili della distruzione di imprese, della semina del disordine, dell’interruzione di infrastrutture essenziali, del sostegno ad alcuni degli eserciti e delle dittature più dannosi del mondo e dell’assistenza fornita a questi governi nei loro sforzi di spiare e perseguitare persone innocenti in tutto il mondo.
Ci capita però spesso di riferirci a loro con nomignoli adorabili come Fancy Bear, Refined Kitten e Sea Turtle. ma perché?
Indice dei contenuti
I nomignoli teneri dei gruppi hacker black hat nascondono una crudeltà senza precedenti
Ad esempio, questa azienda si riferisce a Fancy Bear come Pawn Storm. Mentre l’altra li chiama Iron Twilight. Tutto questo, a dire il vero, è un po’ umiliante per chi deve narrare le gesta di queste schegge impazzite. Conferisce inoltre alla cronaca della guerra informatica la stessa serietà della telecronaca di una partita di carte Magic The Gathering.
Di recente, la divisione di sicurezza informatica di Microsoft ha annunciato che avrebbe cambiato l’intera tassonomia dei nomi utilizzati per le centinaia di organizzazioni di hacker che tiene sotto controllo.
D’ora in poi i gruppi di hacker avranno nomi di due parole. Saranno inclusi nella loro descrizione un termine basato sul tempo che indica per quale Paese si ritiene che gli hacker lavorino. Oltre al fatto che siano o meno sponsorizzati dallo Stato o criminali. Il sistema precedente dell’organizzazione assegnava a tali organizzazioni i nomi degli elementi. Si trattava di un sistema abbastanza neutro e scientifico. Almeno per quanto riguarda queste cose.
I gruppi hacker nel mondo e il problema dei nomi
L’ultima mossa indica che Microsoft ha rivelato che un’organizzazione iraniana nota come Phosphorous ha attaccato importanti infrastrutture negli Stati Uniti. Tra i bersagli figurano porti marittimi, aziende energetiche e reti di transito. Il nuovo nome di Phosphorous è Mint Sandstorm, un nome che suona meno minaccioso.
Iridium, la più aggressiva e pericolosa squadra russa di hackeraggio militare focalizzata sulla guerra informatica, è più ampiamente conosciuta come Sandworm. Iridium è responsabile dei ripetuti blackout in Ucraina ed è accreditato della creazione del malware più dannoso nella storia di Internet. Il nuovo nome di Iridium, Seashell Blizzard, vuole essere scherzoso.
La banda di hacker cinesi nota come Barium, ora conosciuta come Brass Typhoon, è ritenuta responsabile del maggior numero di attacchi contro le catene di fornitura di software rispetto a qualsiasi altro gruppo al mondo.
Molti esperti hanno creduto Microsoft avesse introdotto il nuovo sistema di denominazione il 1° aprile, perché molti dei nuovi nomi sembravano davvero ridicoli. Ma non è così. Periwinkle Tempest. Pumpkin Sandstorm. Spandex Tempest. Gingham Typhoon. “Questi nomi sono davvero sciocchi”, afferma Rob Lee, fondatore e amministratore delegato della società di cybersicurezza Dragos, specializzata nella protezione dei sistemi di controllo industriale.
“Voglio dire, non si può dire che la vostra professione non venga presa sul serio”, ha detto l’oratore.
Il nuovo approccio di Microsoft si rivela inefficace
Nonostante l’apparenza stravagante, il nuovo approccio, secondo Lee, è inefficace per una seria valutazione della cybersicurezza. Secondo Lee, gli analisti e i clienti del settore dovranno modificare i loro database e persino alcuni dei loro prodotti per adeguarsi al nuovo schema di denominazione di Microsoft.
Questo perché le informazioni sulle minacce di Microsoft sono tra le migliori al mondo. Inoltre, Lee spiega che il sistema aggiornato farà ora stime informate sulle affiliazioni nazionali degli hacke. Ma non ci sarà alcuna indicazione del livello di fiducia degli analisti nei loro giudizi su tali fedeltà.
Che cosa succede se si scopre che un’organizzazione di hacker che si credeva essere membro dell’agenzia di intelligence di una nazione è in realtà un appaltatore di hacker a pagamento? O di criminali su Internet che sono stati costretti a lavorare per il governo per un certo periodo di tempo. Lee aggiunge che le valutazioni si evolvono nel corso del tempo.
“Ad esempio: ‘Vi avevamo detto che era Dirty Mustard e ora è Swirling Tempest’. E voi vi chiedete: ‘Ma che diamine?
Il rebranding che ha fatto discutere
la compagnia di Lee, Dragos, è responsabile di fornire ai gruppi di hacker nomi di minerali che spesso sono confusamente simili allo schema precedente di Microsoft. Tuttavia, non risulta che Dragos si sia mai riferito a qualcuno come Gingham Typhoon.
Il direttore del Threat Intelligence Center di Microsoft, John Lambert, ha fornito la seguente spiegazione quando l’ho interrogato sul recente rebranding dell’azienda. I nuovi nomi adottati da Microsoft sono più facilmente riconoscibili, ricercabili e catalogabili“. Lambert afferma che, in contrasto con il suggerimento di Lee di utilizzare nomi neutri, il team di Microsoft ha cercato di fornire ai clienti un contesto più ampio sugli hacker nei nomi, identificandone immediatamente la nazionalità e le motivazioni.
Ciò è stato fatto in risposta al suggerimento di Lee di utilizzare nomi neutri. L’autore fa notare che un classificatore provvisorio viene assegnato alle occorrenze che non possono ancora essere completamente attribuite a una categoria riconosciuta.
Non bastano i nomi
Il team che lavorava su Microsoft stava anche per esaurire gli elementi, perché ce ne sono solo 118 in tutto. “Ci piaceva il meteo perché è una forza pervasiva, è dirompente e c’è uno spirito affine perché lo studio del meteo nel tempo comporta un miglioramento dei sensori, dei dati e delle analisi”, dice Lambert.
“Ci piaceva il meteo perché è uno spirito affine, perché lo studio del meteo nel tempo comporta un miglioramento dei sensori, dei dati e delle analisi”. “È il mondo in cui vivono anche i difensori della sicurezza informatica”.
Gli analisti scelgono gli aggettivi che compaiono prima delle frasi meteorologiche da un elenco molto ampio di parole. Questi aggettivi sono spesso la vera fonte dell’umorismo involontario che si può trovare nei nomi. In altri casi, sono completamente estranei al gruppo di hacking. Sia dal punto di vista semantico che fonetico o altro. “Ognuno di essi ha una storia di origine”, dice Lambert. “O potrebbe essere un nome tirato fuori dal cilindro”.
C’è una motivazione dietro l’assegnazione di nomignoli ai gruppi hacker
La proliferazione sempre più massiccia di nomi di gruppi di hacker nel settore della sicurezza informatica è guidata da una linea di ragionamento specifica e coerente. Quando un’azienda che si occupa di intelligence sulle minacce scopre prove di un nuovo gruppo di attaccanti di rete, non può essere certa di trovarsi di fronte allo stesso gruppo che un’altra azienda ha già identificato ed etichettato. Anche se i due gruppi condividono malware, vittime e infrastrutture di comando e controllo.
Questo perché c’è un alto grado di sovrapposizione tra i due gruppi. È meglio non trarre conclusioni e seguire i nuovi hacker sotto la propria identità se il rivale non condivide con voi tutto ciò che osserva. Di conseguenza, Sandworm viene ribattezzato Telebots, Voodoo Bear, Hades, Iron Viking, Electrum e infine, con un sospiro, Seashell Blizzard, poiché gli analisti di ciascuna organizzazione hanno una nuova prospettiva sulla composizione del gruppo.
Mettendo da parte la questione dell’espansione, perché questi luoghi hanno dovuto avere nomi così evidentemente assurdi? Potrebbe essere prudente, almeno in una certa misura, dare dei nomi ai gruppi di hacker, in quanto ciò potrebbe privarli di parte del loro fascino sinistro. Ad esempio, i membri della gang ransomware russa EvilCorp non saranno probabilmente contenti della decisione di Microsoft di ribattezzarli come Manatee Tempest.
Questa decisione è stata presa da Microsoft. D’altra parte, è davvero accettabile definire una banda di hacker iraniani che mira a violare componenti vitali dell’infrastruttura civile statunitense Mint Sandstorm, come se fosse una sorta di aroma insolito di deodorante per ambienti (il soprannome Charming Kitten, che è stato originariamente attribuito loro da Crowdstrike, non è in alcun modo superiore).
Il ruolo degli hacker israeliani Candiru
Gli hacker mercenari israeliani conosciuti come Candiru, che hanno venduto i loro servizi a governi che prendono di mira giornalisti e attivisti per i diritti umani, avevano davvero bisogno di essere ribattezzati Caramel Tsunami. Un marchio che si adatta a una bevanda Dunkin’ e che è già stato preso da una varietà di cannabis? È noto che Candiru vende i propri servizi a governi che prendono di mira giornalisti e attivisti per i diritti umani.
Un dilemma vecchio di 5 anni
Nel 2018, Kevin Mandia, uno dei primi cacciatori di hacker e fondatore e CEO della società di cybersecurity Mandiant, ha tenuto un keynote al Cybersecurity Threat Intelligence Summit in cui ha descritto questo dilemma. È tanta la curiosità nel cercare di capire come si possa entrare in una sala riunioni e dire qualcosa del tipo: “Signore, so che lei è stato violato. Siete finiti in cima alle notizie. E Fluffy Snuggle Duck è stato quello che vi ha hackerato”, mi ha detto Mandia. “Semplicemente non funziona”.
Mandia ammette che nei cinque anni trascorsi dalla sua dichiarazione su Fluffy Snuggle Duck, si è abituato ai nomi ridicoli delle organizzazioni di hackeraggio.
“Non mi importa come le chiamate. Mi interessa solo assicurarmi che la catalogazione sia accurata. Abbiamo le loro impronte digitali e abbiamo qualche difesa contro di loro. Abbiamo una di queste cose?”.
La tecnica di etichettatura del suo concorrente Crowdstrike, che dà agli hacker il nome di vari animali in base al loro Paese, sembra averlo ancora spiazzato durante la nostra discussione. Ha dato l’impressione di essere veramente confuso dal sistema. “L’orso è la Russia. Ma lo è davvero?”. Mandia ha espresso il suo pensiero. “Panda è la Cina. Tuttavia, quello è un orso. Già mi trovo nella confusione totale”.
Non si giungerà mai a una soluzione
Sia Mandia che Lee fantasticano sul giorno in cui un’agenzia governativa, come il National Institute of Standards and Technology degli Stati Uniti, elaborerà uno standard per i nomi dei gruppi di hacking che possa essere utilizzato in modo coerente in tutto il settore. Tuttavia, entrambi concordano sul fatto che le aziende non lo faranno mai.
A parte il fatto che il marketing gioca un ruolo importante, la nebbia di guerra che esiste nel campo della ricerca sulla sicurezza informatica significa che gli analisti che lavorano per diverse aziende non possono mai essere certi di avere di fronte le stesse organizzazioni. Questo fino a quando tutte le aziende non accetteranno di condividere liberamente tutti i dati strettamente protetti.
Per il momento, tutto ciò che possiamo dire è di diffidare della Periwinkle Tempest. I distruttivi attacchi ransomware condotti da Periwinkle Tempest in tutta la Costa Rica l’anno precedente hanno portato il governo della nazione a dichiarare lo stato di emergenza in tutto il Paese. Gli hacker noti come “Periwinkle Tempest” sono considerati tra i più pericolosi al mondo. Sul serio, si chiamano “Periwinkle Tempest”. E sono terribili.
