Il numero di operazioni condotte dagli hacker è indubbiamente in crescita, ma la situazione non è così negativa come potrebbe sembrare.
di Patrick Howell O’Neill
Un exploit zero-day, un modo per lanciare un attacco informatico tramite una vulnerabilità precedentemente sconosciuta, è un valore per l’hacker. Questi exploit possono valere fino a oltre 1 milione di dollari sul mercato aperto. Quest’anno, chi è impegnato nella difesa della sicurezza informatica ne ha scoperti il numero più alto di sempre, secondo numerosi ricercatori e aziende del settore che hanno parlato con “MIT Technology Review”.
Nel 2021 sono stati accertati almeno 66 zero-day, secondo database come il progetto di monitoraggio 0-day, quasi il doppio del totale del 2020 e più che in qualsiasi altro anno registrato (si veda figura 1). Ma, al di là dei numeri, rimane difficile sapere cosa ci dice realmente. Significa che vengono utilizzati più zero-day che mai? O che chi si occupa di sicurezza è più bravo a catturare gli hacker?
Il mercato degli 0-day
Un fattore che contribuisce al più alto tasso di zero-day segnalati è la rapida proliferazione globale di strumenti di hacking. I potenti gruppi potenti in azione stanno investendo i soldi per migliorare le loro capacità e ne stanno raccogliendo i frutti. I più attivi sono gli hacker sponsorizzati dal governo. Si sospetta che la sola Cina sia responsabile di nove zero-day quest’anno, afferma Jared Semrau, direttore della vulnerabilità presso l’azienda americana di sicurezza informatica FireEye Mandiant.
Gli Stati Uniti e i loro alleati possiedono chiaramente alcune delle capacità di hacking più avanzate al mondo e si parla sempre più di usare questi strumenti in modo più aggressivo. “Ci troviamo di fronte a un livello di sofisticati attori di spionaggio che stanno decisamente operando a pieno regime in un modo che non avevamo visto negli anni passati”, afferma Semrau. Pochi che vogliono sfruttare gli 0-day hanno le capacità di Pechino e Washington. La maggior parte dei paesi che cercano potenti exploit non hanno il talento o le infrastrutture per svilupparli a livello nazionale, e quindi li acquistano.
È più facile che mai acquistare 0-day dal crescente settore degli exploit. Ciò che una volta era proibitivo e di fascia alta è ora più ampiamente accessibile. “Abbiamo visto questi gruppi statali rivolgersi a NSO Group o Candiru, per scambiare risorse finanziarie con capacità offensive”, afferma Semrau. Gli Emirati Arabi Uniti, gli Stati Uniti e le potenze europee e asiatiche hanno tutti riversato denaro nell’industria degli exploit.
Anche i criminali informatici hanno utilizzato attacchi 0-day per arricchirsi negli ultimi anni, trovando difetti nel software che consentono loro di eseguire preziosi schemi di ransomware. “Gli attori motivati finanziariamente sono più sofisticati che mai”, afferma Semrau. “Un terzo degli 0-day che abbiamo monitorato di recente può essere ricondotto direttamente a protagonisti in cerca di soldi.
Le difese si sono alzate di livello
Mentre potrebbe esserci un numero crescente di persone che sviluppano o acquistano zero-day, il numero record riportato non è necessariamente una cosa negativa. In effetti, alcuni esperti dicono che potrebbe essere per lo più una buona notizia. Nessuno con cui abbiamo parlato crede che il numero totale di attacchi zero-day sia più che raddoppiato in un periodo di tempo così breve, ma solo che le capacità di difesa siano migliorate. Ciò suggerisce che i “difensori” stanno diventando più bravi a catturare gli hacker sul fatto (per guardare i dati, si può vedere il foglio di calcolo degli 0-day di Google, che tiene traccia di quasi un decennio di attacchi scoperti).
Un cambiamento che la tendenza potrebbe riflettere è la maggiore disponibilità di denaro per i sistemi di difesa, proveniente non da ultimo dai migliori programmi bug bounties e dalle ricompense offerte dalle aziende tecnologiche per la scoperta di nuove vulnerabilità zero-day. Ma ci sono anche strumenti migliori. Chi si occupa di sicurezza è passato dall’essere in grado di catturare solo attacchi relativamente semplici a rilevare hackeraggi più complessi, afferma Mark Dowd, fondatore di Azimuth Security. “Penso che questo denoti un’escalation nella capacità di rilevare attacchi più sofisticati”, afferma.
Gruppi come il Threat Analysis Group (TAG) di Google, il Global Research & Analysis Team (GReAT) di Kaspersky e il Threat Intelligence Center (MSTIC) di Microsoft hanno un’enorme quantità di talenti, risorse e dati, al punto da competere con la capacità dell’agenzia di intelligence di rilevare e tenere traccia degli hacker avversari.
Aziende come Microsoft e CrowdStrike sono tra quelle che eseguono rilevamenti su vasta scala. Laddove i vecchi strumenti, come il software antivirus, significavano meno occhi su attività sospette, oggi una grande azienda può rilevare una piccola anomalia in milioni di macchine e quindi risalire allo 0-day utilizzato per entrare.
“Siamo più bravi a puntare i riflettori”, afferma Doerr di Microsoft. “Ora si impara da ciò che accade a tutti i tuoi clienti, il che ti aiuta a capire i meccanismi più velocemente. Ciò permette di ridurre l’impatto di questi attacchi”. Tuttavia, la realtà è molto più confusa della teoria. All’inizio di quest’anno, diversi gruppi di hacker hanno lanciato offensive contro i server di posta elettronica di Microsoft Exchange. Quello che è iniziato come un attacco zero-day critico è diventato ancora più serio nel periodo intercorso tra la disponibilità della correzione e la sua applicazione. Questo divario è un punto debole che gli hacker amano sfruttare.
Anche se gli 0-day sono aumentati, c’è un fatto su cui tutti gli esperti concordano: stanno diventando sempre più difficili e costosi da realizzare. Migliori difese e sistemi più complicati significano che gli hacker devono fare più lavoro per penetrare in un obiettivo rispetto a dieci anni fa: gli attacchi sono più costosi e richiedono più risorse. Il problema, tuttavia, è che con così tante aziende che operano nel cloud, una vulnerabilità può esporre all’attacco milioni di clienti.
Di fronte al miglioramento delle difese, gli hacker spesso devono collegare più exploit invece di usarne uno solo. Queste “catene di exploit” richiedono più 0-day. Il successo nell’individuare queste catene è anche parte del motivo del forte aumento dei numeri. Oggi, afferma Dowd, gli aggressori “devono investire di più e rischiare di più per mettere in piedi queste catene per raggiungere i loro obiettivi”.
Un segnale importante viene dall’aumento del costo degli exploit di fascia alta. I dati limitati disponibili, come i prezzi degli 0-day pubblici di Zerodium, mostrano un aumento del 1.150 per cento del costo di questo tipo di hacking negli ultimi tre anni. Ma anche se gli attacchi 0-day sono più difficili, la domanda è aumentata e di conseguenza anche l’offerta, lasciando aperta a qualsiasi sviluppo la situazione futura.
Immagine di: Ms Tech, Getty
(rp)