(di Alessandro Rugolo) Anche quest’anno a Tallin (ma in effetti in tutta Europa) si terrà, come di consueto, l’esercitazione Cyber più grande al mondo: Locked Shield. Usando le informazioni delle precedenti esercitazioni e facendo un minimo di OSINT vediamo di capire su cosa potrebbe essere incentrata.
Cosa sappiamo?
– sappiamo che l’anno scorso l’esercitazione si è tenuta tra il 24 e il 28 aprile;
– sappiamo che tra il 15 e il 17 maggio prossimi si terrà il workshop dal titolo: “Locked Shields Forensics Challenge”, in cui saranno discussi i risultati della esercitazione e presentate le possibili soluzioni per gli aspetti forensi.
– sappiamo che l’anno scorso le date sono state più o meno simili.
Tanto per cominciare, nonostante non si abbiano ancora notizie ufficiali, mi aspetto che l’esercitazione si svolga nelle stesse date, probabilmente tra il 23 e il 27 aprile o al massimo nella settimana successiva.
Per capire su cosa sarà incentrata mi rifaccio agli argomenti che saranno trattati nella “Forensics Challenge”, quelli già disponibili anche se molto generici e nelle sfide principali che il mondo Cyber ha dovuto affrontare nell’ultimo anno.
Vediamo se emerge qualcosa di utile dall’analisi. Tra il 15 e il 17 maggio nel corso della “Locked Shields Forensics Challenge” saranno trattati i seguenti aspetti:
Malicious traffic analysis
Ntfs file system analysis
File analysis
Various OS artefacts analysis
User behaviour analysis
Malware identification.
Mentre nel corso dell’anno abbiamo dovuto affrontare le seguenti principali problematiche:
– NotPetya e WannaCry;
– Spectre e Meltdown.
Tra le minacce emergenti invece troviamo:
– possibili varianti di WannaCry, Spectre e Meltdown;
– attacchi di tipo “Ghostly Cryptomining”;
– cloud hacking;
– social engineering tactics;
– new denial of service attack tactics;
– sandbox vulnerability;
– Process Doppelganging.
Tra le nuove tecnologie abbiamo invece:
– quantum computer e quantum cryptography;
– identità digitale su blockchain;
– IoT.
Dello scenario esercitativo non ho trovato niente su internet ma è probabile che il sistema da difendere sia un sistema delle dimensioni di una nazione che fa uso di tecnologie conosciute, basate su cloud e magari con identita digitali e una criptomoneta su blockchain. Non ci sarebbe da stupirsi se in rete si trovassero anche dispositivi generici (IoT) che notoriamente non sono studiati per essere sicuri.
Ora, mettendo a sistema quanto sopra riportato posso effettuare delle supposizioni su come potrebbe svolgersi l’esercitazione e su alcuni tipi di attacchi che i Blue team potrebbero essere chiamati a fronteggiare.
In primo luogo, vedendo che nella sessione “Forensics Challenge” di maggio si trova la voce “user behaviour analysis” mi vien da pensare che l’attacco partirà da utenti interni, magari contagiati attraverso allegati di posta elettronica contenenti codice malevolo. I blue team dovranno dunque concentrarsi sull’analisi comportamentale di utenti e dispositivi (IoT).
Probabilmente il malware potrebbe sfruttare la tecnica di injection chiamata Process Doppelganging, emersa a fine 2017, questo giustificherebbe anche l’indicazione di effettuare analisi su File Sistem NTFS.
L’obiettivo finale dell’attaccante potrebbe essere quello di impadronirsi delle risorse computazionali distribuite per fare soldi attraverso attività di ghostly mining.
Naturalmente tutto ciò non sono altro che speculazioni basate sulle pochissime informazioni disponibili. Una cosa è certa, a breve ci sarà l’esercitazione e allora, ancora una volta, Blue Teams e Red Teams si affronteranno sul campo Cyber.