Per colpire il bersaglio grosso non è sempre necessario passare dalla porta principale, soprattutto quando si presume che sia molto ben sorvegliata. Ci sono tante possibili scappatoie, attraverso cui sarà certamente più semplice cercare di intrufolarsi. Questa strategia, come tutte quelle che mirano a colpire l’anello più debole della catena di sicurezza, trova un supporto tecnologico sempre più ampio nell’ambito del cybercrime.

Un caso particolare è costituito dall’Island Hopping. L’attaccante rivolge le proprie attenzioni verso posizioni periferiche, fragili e potenzialmente poco interessanti e per questo spesso vulnerabili. Successivamente, saltando di isola in isola, si garantisce via via l’accesso alle zone più critiche e sensibili della rete aziendale, dove si presume vengano conservati i dati più importanti per il business.

Vediamo in cosa consiste l’Island Hopping e perché le PMI dovrebbero stare oggi più che mai attente a non cadere vittime di questa micidiale minaccia informatica, che le vede come un bersaglio privilegiato dei cybercriminali.

Island hopping: cos’è e perché sorprende le PMI

Un attacco island hopping è una minaccia condotta con varie tecniche, con cui il cybercriminale di turno individua i partner più vulnerabili del suo reale obiettivo per cercare di violare le due difese, ai fini di accedere all’interno sua rete, per mettere a segno l’attacco vero e proprio, che si tratti di un ransomware, di un APT (Advanced Persistent Threat) o di altre forme di data breach.

Richiede pazienza, perseveranza e intuito, ma un attacco island hopping ben eseguito può far cadere anche quelle barriere che in primo luogo potrebbero apparire letteralmente inespugnabili, grazie all’inganno e allo scioglimento degli anelli più deboli della supply chain. Alle reti delle grandi realtà enterprise accedono partner e fornitori di servizi i cui sistemi informatici non rientrano sotto il diretto controllo dell’attore principale, che concede loro le autorizzazioni necessarie per accedere e scambiare i dati previsti dai servizi per cui sono stati ingaggiati.

I cybercriminali, oltre a sviluppare strumenti informatici sempre più evoluti, sono progrediti moltissimo dal punto di vista comportamentale e sanno variare le loro strategie per colpire le proprie vittime laddove e quando meno se lo aspettano. L’island hopping rappresenta uno degli esempi più efficaci per prendere coscienza di questo aspetto.

Gli attacchi island hopping si stanno diffondendo in vari ambiti di business. Inizialmente erano particolarmente diffusi nel settore finanziario. Oggi sono sempre più frequenti anche nei confronti di realtà attive in ambito sanitario, manifatturiero e su tutto il fronte del retail.

Come funziona l’island hopping?

Per comprendere il funzionamento dell’island hopping possiamo riferirci al contesto storico in cui la sua definizione ha avuto luogo, che non ha di fatto nulla a che spartire con l’information technology.

Il termine island hopping è nato durante la Seconda Guerra Mondiale, sul fronte del Pacifico, dove gli Stati Uniti, per piegare le resistenze del Giappone, misero in atto una strategia militare tanto paziente quanto efficace. Le truppe americane infatti inizialmente si insediarono in isole minori del Pacifico, per stabilire basi logistiche da cui sferrare i successivi attacchi, che consentirono loro di acquisire posizioni via via più rilevanti dal punto di vista strategico, fino ad accerchiare e colpire direttamente il Giappone sul suo terreno.

Nel contesto della sicurezza informatica, il concetto si presenta molto simile rispetto alle strategie belliche. Anche se non occupano risorse nel senso fisico del termine, i cybercriminali identificano quali isole minori dell’arcipelago di una grande azienda le compagnie più piccole, che collaborano a vario titolo nel contesto di una supply chain più o meno articolata.

Le aziende minori sono in gran parte costituite da PMI che, pur non essendo sprovvedute dal punto di vista della cybersecurity, in primo luogo non si attendono di certo attacchi da parte di soggetti in grado di piegare le difese di una multinazionale.

Gli attacchi island hopping in genere vengono intrapresi mediante tattiche di phising, con cui l’attaccante prova ad entrare in possesso delle credenziali di una mail o di altri accessi autenticati in maniera legittima. L’island hopping premia gli approcci creativi. A volte basta violare un account Facebook utilizzato per accedere a determinate applicazioni, innescando la reazione a catena che può portare fino al punto desiderato, lo scrigno dell’azienda che detiene il tesoro da rubare.

Parafrasando una nota canzone, gli attacchi island hopping fanno dei giri immensi e poi ritornano. Il più delle volte non è infatti sufficiente la prima violazione per arrivare a destinazione, ma può garantire l’accesso al successivo livello intermedio, e così via, fino all’agognato traguardo.

Oltre alla violazione degli account, gli attacchi island hopping partono molto spesso da una vulnerabilità di rete, ad esempio violando un servizio gestito. La logica rimane in ogni caso la stessa, ossia entrare e procedere passo dopo passo verso il vero obiettivo.

Piuttosto frequenti anche gli attacchi island hopping condotti mediante malware, a partire dalla violazione del mail server di una delle aziende più periferiche, da cui far partire comunicazioni malevole che consentono di prendere il controllo di posizioni via via sempre più rilevanti all’interno della supply chain che si intende compromettere.

Cosa rischiano le aziende, ed in particolar modo le PMI?

Anche se non costituiscono il reale obiettivo dei cybercriminali, le vittime intermediare rischiano davvero grosso quando si verifica un attacco island hopping, per una questione di responsabilità oggettiva nella protezione dei dati, soprattutto se i loro sistemi difensivi fossero effettivamente inadeguati o palesemente sottodimensionati nel contesto della supply chain in cui l’azienda è coinvolta, pur quale anello marginale.

Non bisogna infatti dimenticare come i disposti normativi, ed in particolare il GDPR dispongono che il titolare del trattamento dei dati debba necessariamente mettere in atto tutte le misure tecniche ed organizzative utili a proteggere tali risorse. Se, per la sua dimensione aziendale, una PMI potrebbe sentirsi soltanto responsabile in minima parte quando entra a far parte di un meccanismo molto più grande di lei, in realtà dovrebbe essere cosciente del fatto che una sua vulnerabilità potrebbe mettere a grave rischio l’intero business. E preoccuparsi di conseguenza.

Al tempo stesso la vittima designata dell’attacco island hopping, che si presume sia il soggetto più rilevante, nonché il titolare delle commesse e dei dati che i criminali intendono violare, non possono scaricare integralmente le responsabilità sui loro fornitori. Per evitare di incorrere nelle conseguenze giudiziarie che si prospettano quando ormai il danno è fatto, una supply chain sicura dovrebbe pertanto essere tale sin dalla sua costituzione. I soggetti apicali dovrebbero sempre verificare che i loro fornitori dispongano di misure di protezione adeguate alla responsabilità che intendono assumersi.

Questo concetto assume una notevole rilevanza in termini di responsabilità soprattutto nelle supply chain che riguardano i servizi fondamentali e le infrastrutture critiche di una nazione.

In ogni caso, quando una PMI intende assumere un ruolo di responsabilità in un business importante deve assolutamente tutelare la propria posizione in termini di sicurezza informatica, in quanto un attacco island hopping innescato da una sua vulnerabilità rischierebbe di compromettere in maniera irrimediabile la sua reputazione, escludendola con ogni probabilità da ulteriori opportunità professionali.

Come si scopre l’island hopping?

Il modo più efficace per scoprire quando si rimane vittime di un attacco island hopping è dotarsi di un team e di un piano di incident response, capace di assumere un ruolo proattivo in fatto di sicurezza informatica. A livello software di cybersecurity, i principali sistemi di monitoraggio riescono a rilevare piuttosto facilmente le intrusioni mediante le anomalie comportamentali sulle risorse osservate, a cominciare dagli endpoint, i dispositivi più periferici e semplici da violare.

Un sistema ben monitorato riesce pertanto a sospettare in maniera molto dettagliata delle possibili intrusioni, offrendo gli elementi utili per notificare ai fornitori a valle gli eventuali problemi provenienti dal loro traffico sulla rete, stile lista della spesa a cui provvedere il prima possibile.

Preso atto di ciò, una delle pratiche di sicurezza più indicate per diagnosticare i possibili attacchi island hopping è il vulnerability assessment, in quanto consente di tracciare i punti deboli del sistema e le conseguenze che possono derivare da un attacco, per agire in maniera preventiva o farsi trovare in ogni caso pronti qualora dovesse realmente accadere un incidente.

Data la sua natura inizialmente non violenta, se bloccato sul nascere, un attacco island hopping ha ben poche possibilità di nuocere seriamente.

Come ci si difende?

Dal punto di vista della cybersecurity, l’island hopping è una combinazione di condotte e attacchi informatici ampiamente noti nell’ambito della threat intelligence.

La difesa nei confronti dell’island hopping, nei suoi singoli elementi, non differisce pertanto dall’adottare quelle misure di prevenzione e sicurezza che partono da una corretta igiene informatica da parte dei dipendenti dell’azienda, che devono essere adeguatamente formati in merito.

Dal punto di vista tecnologico è fondamentale avvalersi di sistemi di monitoraggio sugli endpoint e sulla rete, preoccupandosi inoltre di segmentare quest’ultima nel miglior modo possibile, in modo che le zone critiche, dove si presume siano conservati i dati che i criminali vogliono realmente ottenere, non vengano coinvolte dall’interazione con partner, fornitori ed altri potenziali cavalli di troia.

In ogni caso, il titolare dei dati, quando sceglie i propri fornitori dovrebbe cercare di imporre, quali condizioni contrattuali, il rispetto di una serie di misure di sicurezza informatica che ormai dovrebbero costituire una prassi, come l’utilizzo di sistemi di autenticazione multifattoriale, limitando il più possibile l’impiego di password e, qualora non fosse possibile, imporre una strategia di rinnovo efficace. Se si riesce ad impedire il credential harvesting, i rischi di rimanere vittime di un attacco island hopping crollano infatti drasticamente.

Il già citato vulnerability assessment, unito ad una consapevole strategia di incident response costituisce in ogni caso il fiore all’occhiello delle misure di prevenzione e protezione che possono essere adoperate per respingere al mittente i tentativi di attacco basati sulla diabolica pratica dell’island hopping, una minaccia di cui sentiremo parlare sempre più frequentemente nei burrascosi tempi che ci attendono.