Nel panorama digitale di oggi, le minacce informatiche si evolvono rapidamente, sfruttando tecnologie avanzate come i deepfake e lo spoofing degli indirizzi IP. Un’analisi approfondita delle campagne Contagious Interview e Wagemole rivela metodi sofisticati utilizzati per infiltrarsi nelle infrastrutture aziendali. In questo scenario, la Cyber Due Diligence emerge come uno strumento indispensabile per proteggere le organizzazioni. Prima di lasciare la Casa Bianca a gennaio, il Presidente Joe Biden ha annunciato sanzioni contro individui e entità nordcoreane coinvolte in una rete di lavoratori IT che utilizzavano intelligenza artificiale per fingersi cittadini americani. Questa notizia è emersa dopo l’attacco alla società IT internazionale KnowBe4, un caso emblematico di come i deepfake possano essere usati per ingannare e compromettere. Anche episodi come quello del ministro Guido Crosetto, il cui volto è stato replicato in un deepfake per truffare imprenditori, dimostrano quanto sia facile manipolare la realtà digitale. La minaccia non riguarda solo le multinazionali, ma anche PMI e università che custodiscono dati preziosi.
Strategie di attacco informatico avanzate
Gli attacchi informatici moderni si basano su tecniche sempre più sofisticate, rendendo sempre più labile il confine tra realtà e artificio digitale. I deepfake, ad esempio, consentono di replicare voci e volti con una precisione impressionante, mentre strumenti avanzati di spoofing dell’IP permettono agli aggressori di celare la propria posizione reale. Un hacker potrebbe far credere di operare da New York mentre si trova in realtà a Pyongyang, o ancora, sfruttare frammenti audio-video disponibili online per costruire identità digitali altamente credibili. Il livello di sofisticazione di queste minacce è tale che persino attività come il semplice intrattenimento con giochi come Book of Ra 10 Deluxe gratis, possono diventare scenari in cui le vulnerabilità informatiche vengono sfruttate per scopi malevoli. Per proteggersi da questi rischi, è essenziale comprendere a fondo il ciclo di sviluppo degli attacchi e analizzare nel dettaglio le TTP (Tattiche, Tecniche e Procedure) impiegate dai criminali informatici.
Analisi delle campagne di spionaggio
Le operazioni Contagious Interview e Wagemole, analizzate dalla Unit42 di Palo Alto, evidenziano due strategie distinte ma altrettanto insidiose.
Contagious Interview: Gli aggressori si spacciano per datori di lavoro anonimi per attirare sviluppatori software. Durante i colloqui, inducono le vittime a scaricare versioni modificate di software per videoconferenze, infettandole con il malware BeaverTail. Questo strumento ruba portafogli di criptovalute, credenziali salvate nei browser e consente l’installazione di un secondo malware, InvisibleFerret, per il controllo remoto e l’esfiltrazione di dati.
Wagemole: In questa campagna, gli attori malevoli si infiltrano in aziende statunitensi e globali fingendosi freelance qualificati. Utilizzano identità sintetiche, documenti rubati e coperture credibili per ottenere posizioni lavorative. Una volta assunti, installano software di controllo remoto (come AnyDesk o TeamViewer) e dispositivi hardware per accedere ai sistemi aziendali.
Metodologie Investigative per Identificare i Criminali
Nonostante la complessità delle minacce, è possibile smascherare gli aggressori attraverso tecniche investigative avanzate. Ad esempio, nel caso di Wagemole, l’indagine è partita da repository pubblici come GitHub, dove sono stati scoperti CV falsi, script preparatori e annunci di lavoro. Le immagini dei CV sono state analizzate tramite strumenti di ricerca inversa e metadati EXIF, rivelando dettagli come la presenza di un centro commerciale in Laos sullo sfondo di una foto.
Un altro indicatore cruciale è l’uso di numeri VoIP, facilmente acquistabili e difficili da tracciare, che rappresentano un segnale di allarme per attività illecite. L’analisi delle infrastrutture utilizzate, come i server Command & Control, ha permesso di estrarre hash, indirizzi IP e altre prove fondamentali.
Cyber Due Diligence: una difesa proattiva
Sebbene non tutte le aziende possano condurre indagini approfondite su ogni CV o partner commerciale, possono implementare una strategia di Cyber Due Diligence. Questo approccio combina Cyber Threat Intelligence, valutazioni delle vulnerabilità e analisi tradizionale per identificare rischi e proteggere asset critici.
Ad esempio, è possibile classificare gli asset digitali, configurare sistemi come Active Directory per mitigare le TTP e ottimizzare strumenti di sicurezza come il SIEM per rilevare attività sospette. Seguendo metodologie come quelle del MITRE Center for Threat-Informed Defense, le organizzazioni possono anticipare e neutralizzare le minacce prima che colpiscano.
La sfida dei deepfake è in continua crescita, ma con una combinazione di vigilanza, analisi forense e difese informatiche mirate, possiamo contrastarla efficacemente.