I grandi eventi mondiali sono un’occasione ghiotta per i cybercriminali che mettono in atto strategie di attacco particolarmente intense contro servizi essenziali legati a tali eventi. Unit 42 di Palo Alto Networks ha recentemente condotto una serie di simulazioni di cybersecurity con l’obiettivo di aiutare le aziende a prepararsi al periodo delle Olimpiadi di quest’estate, che si preannuncia particolarmente critico in tema di sicurezza. Le analisi di Unit 42 hanno evidenziato le minacce principali che le organizzazioni, in particolare quelle legate ai servizi critici, devono considerare in questa fase di avvicinamento ai Giochi, tra cui:
- BEC e frodi: attori di minacce che puntano sia a compromettere le e-mail aziendali (BEC) che a condurre frodi finanziarie.
- Interruzione di terze parti: è meno probabile che gli operatori di ransomware prendano di mira direttamente le Olimpiadi. Tuttavia, un attacco condotto verso un partner con un ruolo tecnologico significativo potrebbe causare interruzioni importanti dei Giochi o dei servizi a essi collegati.
- Attività di ispirazione politica: sia gli hacktivisti sponsorizzati dallo Stato che quelli segnatamente pro-Russia cercano di condurre attacchi distruttivi, dirompenti e ingannevoli, come le operazioni informatiche.
Un’analisi approfondita degli attori delle minacce legate alle Olimpiadi
Unit 42 ha indicato gli attori di minacce più recenti o in qualche modo collegati con le Olimpiadi 2024, illustrando i possibili tipi di attacco e il loro utilizzo storico.
Questa sezione ha lo scopo di fornire ai difensori di rete una panoramica sui principali attori delle minacce che hanno le intenzioni e la capacità potenziale di colpire i Giochi.
Ransomware
Unit 42 ritiene che gli operatori ransomware non abbiano un’elevata intenzione di prendere di mira le Olimpiadi, ma mantengono un’alta capacità di condurre attacchi dirompenti che potrebbero avere un impatto diretto sui servizi essenziali.
In effetti, il successo nel colpire un fornitore chiave potrebbe avere conseguenze significative sulle aziende che vi fanno affidamento per la loro catena di approvvigionamento.
- BlackBasta è uno dei gruppi di ransomware più attivi nel 2024. Unit 42 ha osservato un tempo di permanenza dall’accesso iniziale alla distribuzione del ransomware BlackBasta inferiore a 14 ore.
- Play è un altro gruppo ransomware molto attivo al momento. Unit 42 ha osservato un aumento degli incidenti ransomware a partire dal 2023, che ha colpito un’ampia gamma di settori.3
Business email compromise
Si ritiene che gli attori delle minacce BEC abbiano la forte intenzione di prendere di mira i servizi essenziali coinvolti nelle Olimpiadi. Nel complesso, il loro know-how tecnico è basso, ma la capacità di operare su scala e le tecniche di social engineering sempre più sofisticate aumentano le probabilità di successo delle loro campagne.
- Syndicate Orion è una rete prolifica di criminali informatici basata in Africa occidentale e attiva dal 2014 che punta molto sull’ingegneria sociale per indurre le vittime a effettuare pagamenti.
Frodi informatiche
Si ritiene che gli attori delle minacce che conducono frodi informatiche abbiano un’elevata intenzione di prendere di mira le Olimpiadi e di utilizzarli per favorire il successo delle loro attività fraudolente. Analogamente ai gruppi BEC, gli attori delle minacce focalizzate sulle frodi hanno ridotte capacità tecnologiche, ma operano su scala che conduce a pagamenti di rilievo. È probabile che questo tipo di attività sia ad ampio raggio, dal web-skimming alla vendita di biglietti falsi per eventi.
- Magecart è un termine collettivo utilizzato per descrivere quasi una dozzina di gruppi di attori specializzati in attacchi digitali di frode con carta di credito.
Russia
Si ritiene che gli attori di minacce sponsorizzate dallo Stato russo abbiano una marcata intenzione di prendere di mira i Giochi di Parigi, con un’alta capacità di condurre operazioni di sabotaggio. L’esclusione della Russia dalle Olimpiadi e le dichiarazioni del governo francese, percepite dal Cremlino come sempre più ostili, sono alla base della valutazione di Unit 42. Storicamente, attori allineati con lo Stato Maggiore russo (GRU) sono stati responsabili di attacchi di sabotaggio alle Olimpiadi e alle aziende strettamente correlate.
- Fighting Ursa (alias APT28) è pubblicamente attribuito al GRU e ha preso di mira l’Agenzia Mondiale Antidoping nel 2016 con un’operazione di hack-and-leak.
- Razing Ursa (alias Sandworm) è pubblicamente attribuito al GRU e in precedenza ha preso di mira sia le Olimpiadi di Pyeongchang del 2018 che quelle di Tokyo del 2021 con wiper o con l’intento di utilizzarli.
Bielorussia
Si ritiene che gli attori di minacce sponsorizzate dallo Stato bielorusso abbiano un intento medio di colpire le Olimpiadi, con capacità elevate di condurre operazioni informatiche. Gli atleti bielorussi devono gareggiare come neutrali per il sostegno del loro Paese alla Russia nella guerra in Ucraina, e la Bielorussia ha una lunga storia di operazioni informatiche a sostegno degli interessi sia bielorussi che russi.
- White Lynx (alias Ghostwriter) è considerato un attore di minacce sponsorizzato dallo Stato bielorusso che ha sostenuto gli interessi bielorussi e russi attraverso spionaggio e operazioni informatiche.
Iran
Si ritiene che gli attori sponsorizzati dallo Stato iraniano abbiano una bassa intenzione di colpire le Olimpiadi, ma possiedano elevate capacità di condurre operazioni di sabotaggio e sorveglianza. L’Iran ha notevoli capacità di sabotaggio, anche se mancano potenziali motivazioni per un attacco ai Giochi, mentre è più probabile che prosegua il monitoraggio dei comportamenti di dissidenti o attivisti. L’Iran ha una lunga storia di monitoraggio dei dissidenti all’estero, con tentativi di rapimento di individui e, in alcuni casi, di lesioni fisiche.9
- Agonizing Serpens (alias Agrius) è pubblicamente attribuito al Ministero dell’Intelligence e della Sicurezza iraniano (MOIS), che ha impiegato wiper e condotto operazioni informatiche.10, 11
Cina
Si ritiene che gli attori sponsorizzati dallo Stato cinese abbiano una bassa intenzione di prendere di mira le Olimpiadi, con un’elevata capacità di condurre operazioni di spionaggio focalizzate sulla sorveglianza. In occasione dei Giochi passati, sono state condotte operazioni di spionaggio probabilmente con l’obiettivo di tracciare o sorvegliare le persone.12, 13 È probabile che questo motivo e obiettivo persista anche nei Giochi attuali e si estenda ad altri di alto valore, tra cui funzionari politici, dissidenti o organizzazioni che parlano non a favore della Cina.
- Towering Taurus (alias APT31) è pubblicamente attribuito al Ministero della Sicurezza di Stato cinese e conduce operazioni di spionaggio contro funzionari politici, dissidenti e attivisti.14
Pro-Russia
Si ritiene che gli hacktivisti pro-Russia abbiano un elevato intento di colpire le Olimpiadi, con capacità complessive ridotte che vanno dagli attacchi DDoS ai defacement di siti web. L’analisi di incidenti di matrice hacktivista è complicata dal fatto che gli attori delle minacce sponsorizzati da uno stato possono tentare di nascondere le loro attività dietro la maschera hacktivista e che gruppi del genere hanno sempre più spesso collaborato direttamente con attori sponsorizzati da stati.
- NoName057(16) è il gruppo di hacktivisti pro-Russia più attivo che Unit 42 abbia osservato dall’inizio del conflitto in Ucraina. Nel primo trimestre del 2024, NoName057(16) ha rappresentato quasi il 58% dell’attività hacktivista che Unit 42 sta monitorando.15
- Si ritiene che Cyber Army of Russia operi a sostegno dell’attore di minacce sponsorizzato dallo Stato russo Razing Ursa e abbia rivendicato la responsabilità di attacchi informatici a servizi idrici nel 2024.16
- Anonymous Sudan a inizio 2023 ha sostenuto pesantemente altri hacktivisti pro-Russia, ma ultimamente ha preso di mira organizzazioni pro-palestinesi. Si ritiene che siano strettamente allineati con le attività sponsorizzate dallo Stato russo, simili a quelle di Cyber Army of Russia.
Pro-Palestina
Dopo il conflitto tra Israele e Hamas dell’ottobre 2023, si è registrata un’ondata di attività hacktiviste a favore della Palestina. Le prossime Olimpiadi sono considerate un evento di alto profilo che offre un pubblico globale agli hacktivisti, che potrebbero tentare di mostrare le loro opinioni pro-Palestina o anti-Israele. Si ritiene che gli hacktivisti pro-Palestina abbiano un intento medio di colpire le Olimpiadi, con capacità medio-basse di condurre attacchi DDoS, operazioni informative, attacchi wiper o defacement di siti web.
- Si ritiene che Seething Phoenix sia una minaccia che agisce nell’interesse di Hamas, il gruppo militante sunnita. L’attore della minaccia si è storicamente concentrato su operazioni di spionaggio contro Israele, ma è probabilmente in grado di condurre campagne di sabotaggio sotto forma di wiper o operazioni informatiche.
Ulteriori hacktivismi
Altre tipologie di hacktivisti, come quelli che si oppongono ai governi, al capitalismo o alle stesse Olimpiadi, sono valutati come altamente intenzionati a prenderle di mira, con basse capacità di condurre attacchi DDoS o defacement di siti web. Esiste un precedente per gli hacktivisti, come Anonymous, di colpirle, simile agli hack antigovernativi che si sono verificati durante le Olimpiadi di Rio de Janeiro del 2016.
- Anonymous France è un collettivo distribuito di hacker con sede in Francia o che si identificano con interessi francesi. Anonymous France ha utilizzato tattiche come attacchi DDoS, defacement di siti web e diffusione di dati rubati, ad esempio dal sindacato di polizia francese. Tuttavia, negli ultimi mesi le sue attività sono state limitate.
