Uno dei principali ruoli strategici e tattici che la cyber threat intelligence (CTI) svolge è il monitoraggio, l’analisi e la prioritizzazione delle vulnerabilità software che potrebbero potenzialmente mettere a rischio i dati, i dipendenti e i clienti di un’azienda. FireEye Mandiant Threat Intelligence mette in evidenza il valore della CTI nell’abilitare la gestione delle vulnerabilità e svela nuove ricerche sulle minacce, le tendenze e le raccomandazioni più recenti.
FireEye Mandiant Threat Intelligence ha documentato più vulnerabilità zero-day sfruttate nel 2019 rispetto a quelle rilevate nei tre anni precedenti. Sebbene non sia possibile attribuire ogni sfruttamento zero-day a un gruppo monitorato, FireEye ha verificato che un numero maggiore di attori sembra abbia avuto accesso a queste capacità.
“Abbiamo notato un aumento significativo del numero di zero-day sfruttati da gruppi sospettati di essere clienti di società che forniscono abilità informatiche per effettuare attacchi, nonché un aumento degli zero-day utilizzati contro obiettivi in Medio Oriente e/o da gruppi con legami sospetti con questa area”, dichiara Gabriele Zanoni, EMEA Solutions Architect di FireEye. “Per questo motivo è probabile che in futuro assisteremo a una molteplicità di attori che utilizzeranno gli zero-day, soprattutto perché i venditori privati continueranno ad alimentare la domanda di armi informatiche per realizzare gli attacchi”.
Utilizzo di Zero-Day per Paese e Gruppo
A partire dalla fine del 2017, FireEye Mandiant Threat Intelligence ha rilevato un significativo aumento del numero di zero-day sfruttati da gruppi che sono noti o sospettati di essere clienti di aziende private che forniscono strumenti e servizi informatici per effettuare attacchi. Inoltre, l’azienda americana ha osservato un aumento di zero-day utilizzati contro obiettivi in Medio Oriente e/o da gruppi con presunti legami con questa area.
FireEye, durante la sua attività di intelligence, ha anche rilevato esempi di sfruttamento “zero-day” che non sono stati attribuiti a gruppi tracciati, ma che sembrano essere stati sfruttati tramite strumenti forniti da società private di sicurezza offensiva, ad esempio:
- Nel 2019, un sfruttamento “zero-day” su WhatsApp (CVE-2019-3568) è stato presumibilmente utilizzato per distribuire uno spyware sviluppato dal gruppo NSO, una società di software israeliana.
- FireEye ha analizzato un’attività diretta ad un’organizzazione sanitaria russa che ha sfruttato una vulnerabilità zero-day di Adobe Flash 2018 (CVE-2018-15982) che potrebbe essere collegata al codice sorgente trapelato di Hacking Team.
- Secondo quanto riferito, la vulnerabilità zero-day di Android CVE-2019-2215 è stata sfruttata in modo massiccio nell’ottobre 2019 dagli strumenti del gruppo NSO.
Sfruttamento Zero-Day da parte delle principali potenze informatiche
FireEye ha continuato a rilevare lo sfruttamento degli zero day da parte di gruppi di spionaggio delle maggiori potenze informatiche. “Riteniamo che alcuni dei più pericolosi sistemi di intrusione state-sponsored stiano dimostrando sempre più la capacità di sfruttare rapidamente le vulnerabilità che sono state rese pubbliche”, aggiunge Zanoni. “In diversi casi, gruppi legati a questi Paesi sono stati in grado di sfruttare le vulnerabilità e di incorporarle nelle loro operazioni, mirando a sfruttare la transizione tra la divulgazione e l’applicazione di patch”.
Utilizzo di zero-day da parte di attori economicamente motivati
I gruppi finanziariamente motivati continuano a sfruttare gli zero-day nelle loro operazioni, anche se con meno frequenza rispetto ai gruppi di spionaggio. FireEye ritiene che l’accesso alle funzionalità zero-day stia diventando sempre più mercificato in base alla percentuale di zero-day sfruttati in grande numero da clienti sospetti di aziende private.
È probabile che le aziende private stiano creando e fornendo una quantità di zero-day maggiore rispetto al passato, determinando una concentrazione di abilità zero-day tra gruppi con elevate risorse.
Inoltre, le aziende private potrebbero fornire sempre più capacità offensive a gruppi con abilità complessive inferiori e/o gruppi con minori attenzioni per la sicurezza operativa, il che rende più probabile il ricorso a zero-day.
“È probabile che gli state group continuino a promuovere la scoperta e lo sviluppo degli exploit interni ma, tuttavia, la disponibilità di zero-day attraverso società private può offrire un’opzione più interessante rispetto a quella di affidarsi a soluzioni locali o a mercati clandestini”, conclude Zanoni. “Di conseguenza, ci aspettiamo che il numero di soggetti che dimostrino di avere accesso a questo tipo di vulnerabilità aumenterà quasi certamente e lo farà a un ritmo più rapido rispetto alla crescita delle loro capacità informatiche offensive globali, a condizione che abbiano la capacità e la volontà di spendere i necessari fondi”.