Il Cremlino permette a gruppi criminali di cyber hacking come Darkside e REvil di vivere nel suo territorio. Nell’aprile 2021, Darkside lanciò un attacco informatico contro Colonial Pipeline, il più grande oleodotto di carburante degli Stati Uniti, che fu costretto a chiudere il suo network per giorni. Darkside ha hackerato la rete usando una password compromessa, file criptati per negare l’accesso agli amministratori della Colonial Pipeline, e ha estorto alla società un pagamento di 5 milioni di dollari bitcoin di riscatto per ripristinare il servizio.
REvil ha condotto un attacco informatico distruttivo nel maggio 2021 contro JBS, la più grande azienda mondiale di lavorazione della carne. REvil ha colpito ancora una volta a luglio con un attacco ransomware su Kaseya, che ha portato al compromesso di oltre 1000 aziende.
L’Intelligence russa è ben nota per aver hackerato i social media americani, il Comitato Nazionale Democratico e il server di posta elettronica del Segretario Clinton, e per aver penetrato sistemi operativi Solarwinds e diffuso malware nel suo software di sicurezza “Orion”, attraverso il quale Mosca ha ottenuto una backdoor nei sistemi informatici dei ‘30.000 clienti’ di Solarwinds, tra cui le principali aziende della lista Fortune 500. Il Cremlino ha rubato informazioni protette da una panoplia di agenzie governative del settore privato e U.S. State Agency.
Durante la Guerra Fredda, gli ufficiali della Cia escogitarono una serie di “regole di Mosca”, che si riferivano al sofisticato spionaggio che usavano dietro le linee nemiche per condurre spionaggio contro l’impero sovietico.
Essenziale nelle Regole di Mosca della Guerra fredda era vedere il mondo attraverso gli occhi del nemico. Nel mondo di oggi, questo significa capire la strategia e la tattica degli autori della minaccia. L’obiettivo delle Nuove Regole di Mosca di oggi è quello di mitigare il rischio, ma allo stesso tempo godere di tutti i vantaggi, commerciali e di altro tipo, del lavorare e vivere nel cyberspazio.
Prima regola: conoscere profondamente l’opposizione e il terreno. Proprio come gli agenti dell’Intelligence che gestivano i percorsi di sorveglianza a Mosca per determinare se c’era un pedinamento del KGB, il momento migliore per individuare gli hacker e altri attori dannosi è quando sono nella fase di sorveglianza pre-attacco. Gli attacchi informatici non si verificano a freddo senza una pianificazione preliminare e firme. Collegandosi in modo proattivo alle reti e alle chat room dove vengono pianificati attacchi e utilizzando il calcolo cognitivo per setacciare i big data, è possibile raccogliere i piani di attacco del nemico.
Mobilitare la sicurezza, le risorse umane, i manager e gli stakeholder IT per garantire la raccolta e la condivisione di più informazioni sui dati relativi a vulnerabilità e minacce, si traduce nelle contromisure più efficaci. I dipendenti dovrebbero avere un canale sicuro per la segnalazione di social engineering e attacchi tecnici.
Seconda regola: non fare affidamento esclusivamente sulla tecnologia. Le aziende dovrebbero indurire le loro difese riducendo lo spazio vulnerabile agli attacchi con router e server sicuri; firewall e sofisticati codici web; applicazione rigorosa di entrambe le patch e protocolli di backup; e crittografia dei dati.
Ma gli umani, alias “la pelle dietro la tastiera”, battono la tecnologia ogni volta. Pur disponendo di tutti gli strumenti tecnici disponibili, senza la formazione dei lavoratori sulle migliori pratiche in materia di cyber-igiene, le imprese saranno vulnerabili agli attacchi.
Le imprese dovrebbero avere un robusto e trasparente insider threat program per affrontare le minacce informatiche derivanti da entrambi i dipendenti inconsapevoli che richiedono una formazione per contrastare gli hacker e dipendenti dannosi con cattive intenzioni.
Terza regola: considerarsi sempre compromessi (il che significa essere già stati hackerati). Le imprese dovrebbero avere una strategia di business continuity e un piano di recupero dati, che include il funzionamento offline in caso di un insider catastrofico o un attacco ransomware esterno. Questi tipi di attacchi richiedono una pianificazione proattiva.
La Russia non è affatto l’unico attore statale che attacca spietatamente gli U.S.A. nel cyber-spazio. Ma le onnipresenti operazioni di hacking del Cremlino si basano sulle tecniche più sofisticate e infide.
Una sicurezza informatica efficace significa riconoscere quando il tuo comportamento ti rende vulnerabile agli attacchi e indurire di conseguenza tutte le tue difese informatiche. Incorporando le migliori pratiche, Le nuove regole di Mosca hanno lo scopo di difendere non solo la Russia, ma anche avversari come la Cina, l’Iran e la Corea del Nord, per non parlare dei concorrenti e dei gruppi criminali.
(traduzione a cura di Sofia Mazzei)
*Dan Hoffman, analista per la sicurezza nazionale di Fox News
*Shawnee Delaney, per 10 anni al Dipartimento per la sicurezza interna degli Stati Uniti
