Al giorno d’oggi purtroppo esistono tantissimi hackers diversi. Si pensi in tal senso ai cybercriminali con competenze specifiche: gli esperti di virus, malware e ransomware, piuttosto che quelli di social engineering e manipolazione.
Allo stesso modo è possibile che attacchi hacker tecnicamente simili siano motivati da obiettivi diametralmente opposti: dalla estorsione pura e semplice, all’attività di spionaggio.
Per provare a fare ordine, Microsoft ha realizzato una comoda classificazione dei cybercriminali e dei loro attacchi più pericolosi. Un modo utile per orientarsi tra le minacce e fare rete a livello internazionale.
Attacchi hacker: chi sono gli attori stato-nazione e gli attori con motivazioni finanziarie
Credits Shutterstock
La nuova classificazione degli hackers realizzata da Microsoft è pensata per aiutare le organizzazioni internazionali a gestire al meglio eventuali minacce. Il primo passo da fare in tal senso è lo sviluppo di un linguaggio comune: termini e categorie che permettano di catalogare alla stessa maniera i vari attacchi hacker, a prescindere dalla nazione in cui vengono fisicamente perpetrati.
Stando all’azienda fondata da Bill Gates, i cybercriminali vengono divisi in cinque gruppo chiave: gli attori stato-nazione, gli attori con motivazioni finanziarie, gli attori offensivi del settore privato, i protagonisti di operazioni di influenza e i membri di gruppi ancora in fase di sviluppo.
Gli attori stato-nazione (nation-state actors) sono hackers che non operano in maniera indipendente. Al contrario i loro attacchi sono in qualche modo legati a un programma allineato che coinvolge un Paese intero.
Gli attori stato-nazione possono trovarsi coinvolti nella diffusione di virus piuttosto che ransomware, ma non lo fanno quasi mai per arrecare danno al singolo individuo. Piuttosto le loro azioni sono parte di attività molto più ampie, che puntano a smuovere determinati equilibri internazionali.
Microsoft ha catalogato gli hackers in cinque categorie, per aiutare le organizzazioni a sviluppare un linguaggio comune
Stando ai report Microsoft l’attività degli attori stato nazione prende di mira soprattutto soggetti politicamente rilevanti: ad esempio le agenzie governative, le organizzazioni intergovernative, le ONG o i gruppi di spionaggio e sorveglianza.
Gli attori con motivazioni finanziarie (financially motivated actors) sono invece molto più vicini ai cybercriminali così come li dipinge la narrazione comune: hackers senza scrupoli, che possono lavorare in proprio, così come possono legarsi a organizzazioni più grandi.
Gli attori con motivazioni finanziarie possono venire ingaggiati per operazioni di sabotaggio di varia natura: dalla creazione di ransomware alla compromissione di documenti privati e al phishing. In tutti questi casi il fine ultimo dell’attacco è sempre lo stesso: l’estorsione ai danni della vittima.
Attacchi hacker: cosa sono i PSOA e le operazioni di influenza
Credits Shutterstock
L’acronimo PSOA sta per Private Sector Offensive Actors e fa riferimento a un’altra categoria di hackers classificata da Microsoft: quella degli attori offensivi del settore privato.
Gli attori offensivi del settore privato (PSOA) vendono armi informatiche come virus, malware e ransomware e sono spesso guidati da persone giuridiche note e “legittime”. Ciononostante il loro operato è da considerarsi pericoloso al pari di quello degli attacchi hacker più canonici.
L’operato dei PSOA rientra in attività di danneggiamento o minaccia informatica considerate molto pericolose a livello internazionale. Specie nel caso dello spionaggio e delle altre attività con cui finiscono per mettere a rischio la tutela dei diritti umani.
Un’altra categoria di hackers prevista da Microsoft è quella delle operazioni di influenza. In questo caso non sarebbe corretto parlare di attacco diretto, ma è comunque possibile considerare le operazioni di influenza come operazioni di hacking a tutti gli effetti.
Le operazioni di influenza e le attività di PSOA o gruppi in via di sviluppo rientrano nelle categorie di hackers Microsoft
Gli hackers sfruttano la loro conoscenza per orientare la percezione dell’opinione pubblica. Animano il web con notizie, articoli o commenti che possono toccare diversi livelli di falsità: dalla fake news più acclarata, a testi che puntano a manipolare il lettore in maniera molto più raffinata.
A prescindere dalla singola modalità, le operazioni di influenza nascono con l’obiettivo dichiarato di diffondere un’unica e sola visione della realtà: quella che sta a cuore del loro committente.
Infine Microsoft ha pensato a una categoria che ospiti anche cybercriminali o attacchi hacker ancora “in fieri”. È il caso dei gruppi in via di sviluppo, che però vengono considerati come una classificazione temporanea.
L’idea di Microsoft è quella di assegnare a questa categoria tutte quelle attività ancora non perfettamente conosciute, che però possano venire considerate una minaccia.
I gruppi in via di sviluppo vengono dunque segnalati e attenzionati con l’ottica della prevenzione. Man mano che il livello di conoscenza del fenomeno o del gruppo in questione cresce, è possibile passare a un’altra categoria tra quelle definite nei capoversi precedenti.
Come funziona la nuova tassonomia degli hackers di Microsoft
Credits Shutterstock
Una volta definite le categorie di cybercriminali, Microsoft entra anche nel merito di una tassonomia più complessa. Ad esempio assegna i singoli attori stato-nazione al Paese più plausibilmente legato alle loro origini. Allo stesso modo gli altri attori possono venire legati a un cliente o a una motivazione specifica.
Inoltre i vari gruppi vengono distinti in base alle cosiddette TTP: le tattiche, le tecniche e le procedure che utilizzano per realizzare i loro attacchi hacker. Allo stesso modo la tassonomia tiene conto di qualsiasi altro modello possa venire identificato e riprodotto.
Anche le attività dei gruppi in via di sviluppo rientrano nella tassonomia. Microsoft provvede a raggrupparle in cluster di attività di minaccia, che tengono conto soprattutto del livello di conoscenza sviluppato: si va quindi dagli hackers sconosciuti a quelli appena scoperti. Da quelli emergenti a quelli pronti per essere assegnati a un’altra categoria.
Per saperne di più: Sicurezza informatica, guida alla navigazione sicura sul web