Connect with us

Francis Guibernau, Senior Adversary Research Engineer at AttackIQ – Intervista della serie

Interviste

Francis Guibernau, Senior Adversary Research Engineer at AttackIQ – Intervista della serie

mm
Published
Updated

Francis Guibernau è un Senior Adversary Research Engineer e membro del team di ricerca sugli avversari (Adversary Research Team, ART) di AttackIQ. Francis conduce ricerche approfondite e analisi di minacce per progettare e creare emulazioni di avversari altamente sofisticate e realistiche. Coordina inoltre il progetto di Cyber Threat Intelligence (CTI), che si concentra sulla ricerca, analisi, tracciamento e documentazione di avversari, famiglie di malware e incidenti di sicurezza informatica. Francis ha una vasta esperienza nel campo dell’intelligence sugli avversari, che comprende sia le minacce degli Stati nazionali che quelle del crimine informatico, nonché nella valutazione e gestione delle vulnerabilità, avendo lavorato in precedenza per Deloitte e BNP Paribas.

AttackIQ è un’azienda di sicurezza informatica che consente alle organizzazioni di andare oltre le semplici ipotesi sulla loro difesa per una convalida continua e basata sui dati. Emulando le tattiche degli avversari utilizzando il modello MITRE ATT&CK e offrendo test automatizzati e sicuri per ambienti cloud, ibridi e on-premises, l’azienda aiuta a rilevare le lacune nella sicurezza dei controlli, processi e persone, consentendo ai leader di dare priorità ai rimedi, giustificare gli investimenti e passare da una risposta reattiva alla resilienza proattiva.

Come sei entrato a far parte del settore della sicurezza informatica e perché hai scelto di specializzarti in Cyber Threat Intelligence? Come ha plasmato la tua comprensione di come le minacce evolvono sia negli ecosistemi degli Stati nazionali che in quelli del crimine informatico?

Il mio percorso nella sicurezza informatica non è stato pianificato; è accaduto per opportunità piuttosto che per design. È iniziato quando mi sono unito a un’organizzazione di sicurezza informatica matura, dove ho lavorato in due aree chiave: Valutazione e Gestione delle Vulnerabilità, e Cyber Threat Intelligence (CTI). Attraverso la Gestione delle Vulnerabilità, ho acquisito una prospettiva da difensore, assicurandomi che i sistemi fossero mantenuti, aggiornati e resistenti agli attacchi. All’interno della CTI, ho adottato la mentalità dell’attaccante, analizzando le loro motivazioni, obiettivi e capacità. È qui che mi sono familiarizzato a fondo con il framework MITRE ATT&CK, che ho utilizzato per documentare le tattiche, le tecniche e le procedure (TTP) degli avversari e definire i loro playbook operativi.

Questa esperienza duale mi ha dato una comprensione completa di come i difensori e gli attaccanti interagiscono all’interno di un ecosistema in continua evoluzione. La CTI è diventata rapidamente una mia passione personale. Il suo scopo strategico di comprendere come gli avversari operano, evolvono e si influenzano a vicenda mi è sembrato quasi predestinato. Sono grato di continuare a lavorare all’interno di questa disciplina, osservando e analizzando la crescente complessità del panorama delle minacce globali, dove gli avversari sponsorizzati dagli Stati e quelli del crimine informatico, nonostante le loro diverse motivazioni, si intersecano e si influenzano a vicenda sempre più.

Guardando indietro, quale progetto o esperienza ha segnato un punto di svolta nella tua carriera e ha plasmato la tua prospettiva sulla sicurezza informatica? 

Un momento cruciale è arrivato quando ho iniziato a ricercare e documentare le TTP degli avversari e del malware per rilevare e evitare ambienti controllati. Questo sforzo è diventato la base per “Awareness dell’ambiente“, un progetto di ricerca che ho condotto con il mio collega e amico Ayelen Torello, con cui adesso ho l’opportunità di lavorare insieme ad AttackIQ. La nostra ricerca si è concentrata sul catalogare i diversi metodi che gli avversari utilizzano per riconoscere e evitare ambienti sandbox o virtualizzati, consentendo loro di rimanere non rilevati durante l’analisi automatizzata. La relazione tecnica risultante è stata successivamente adottata come base per la tecnica “T1497 – Virtualization/Sandbox Evasion” nel framework MITRE ATT&CK.

Durante questa indagine, ho assistito all’evoluzione continua degli avversari, con i loro payload che diventavano sempre più sofisticati e la loro capacità di evitare i sistemi di rilevamento automatizzati migliorava, aumentando le loro possibilità di compromettere con successo obiettivi reali. Questa esperienza ha fondamentalmente plasmato la mia comprensione dell’adattabilità degli avversari e del ciclo di innovazione costante che definisce le minacce moderne.

Da quando ti sei unito ad AttackIQ nel 2021 come Adversary Research Engineer e hai guidato l’istituzione dell’iniziativa di Cyber Threat Intelligence, come sono evolute le tue responsabilità e come bilanci la coordinazione del progetto CTI, la ricerca strategica delle minacce e lo sviluppo di emulazioni di avversari? 

Creare il programma di Cyber Threat Intelligence (CTI) ad AttackIQ è stato un compito complesso. Dovevamo raggiungere la visibilità su un ampio spettro di minacce rapidamente. Come fornitore di servizi, il nostro focus non poteva essere limitato a un singolo settore, regione o nazione. Invece, avevamo bisogno di una base di conoscenze che comprendesse sia gli avversari, sia quelli sponsorizzati dagli Stati che quelli del crimine informatico, e il malware, sia di fascia alta che di fascia bassa. Una volta stabilita la base, abbiamo iniziato a concentrarci su ciò che io chiamo “pesi massimi”: entità altamente attive e impattanti che influenzano più settori, regioni e nazioni. Questo approccio ci consente di dare priorità alle minacce più rilevanti per la nostra base clienti.

Data la rapida evoluzione del panorama delle minacce, bilanciare la raccolta di intelligence, l’analisi delle minacce e l’emulazione degli avversari è intrinsecamente complesso. Ogni tipo di emulazione presenta sfide distinte. Da un lato, le emulazioni degli Stati nazionali sono generalmente altamente sofisticate, personalizzate per obiettivi specifici, caratterizzate da tempi di permanenza estesi e guidate da motivazioni politiche. Riprodurre il loro comportamento richiede un’analisi approfondita, pazienza e precisione, rendendole intellettualmente stimolanti e gratificanti da emulare. Dall’altro lato, le emulazioni del crimine informatico sono veloci e opportunistiche. Questi avversari introducono nuove tecniche, operano con tempi di permanenza più brevi e spesso impattano più settori e regioni. L’utilizzo di strumenti condivisi e di malware di fascia bassa, con TTP sovrapposti tra i gruppi, rende i loro playbook dinamici e affascinanti da riprodurre.

Trovare l’equilibrio giusto è un processo strategico. Allineiamo le priorità di ricerca e di emulazione con le esigenze dei clienti e gli sviluppi globali, tra cui tensioni geopolitiche, vulnerabilità critiche di recente scoperta e avvisi da parte di organizzazioni internazionali come la Cybersecurity and Infrastructure Security Agency (CISA) e il National Cyber Security Centre (NCSC). In ultima analisi, questo lavoro è uno sforzo di squadra. Il team di ricerca sugli avversari (ART) è composto da individui incredibilmente talentuosi le cui contribuzioni rendono possibili emulazioni realistiche e sicure. La CTI è solo un pezzo del processo; trasformare l’intelligence in emulazioni autentiche e controllate è una sfida complessa che richiede collaborazione, precisione e impegno condiviso.

Nell’ambito del team di ricerca sugli avversari di AttackIQ, come è strutturata e prioritizzata la ricerca e quali sono stati i principali sfidi nel tradurre le informazioni di intelligence sulle minacce in emulazioni di avversari azionabili?

Vari fattori influenzano come prioritizziamo la ricerca all’interno del team di ricerca sugli avversari di AttackIQ. Il nostro focus principale è emulare gli avversari che rappresentano il rischio più significativo per il segmento più ampio dei nostri clienti, assicurandoci che le risorse siano ottimizzate e concentrate verso minacce ad alto impatto prima di affrontare quelle più specifiche.

Questo ambito include sia gli avversari che le famiglie di malware osservate nel mondo reale. Stiamo costantemente tracciando un’ampia gamma di entità, con la priorità guidata da necessità operative piuttosto che da direttive prescrittive. Minacce emergenti spesso richiedono una rapida riprioritizzazione. Tensioni geopolitiche crescenti, aumento della segnalazione su una specifica e critica vulnerabilità o avvisi concentrati da parte di CERT elevano rapidamente gli argomenti in cima alla lista.

Una delle nostre principali sfide è mantenere una priorità coerente e bilanciare le risorse per offrire emulazioni realistiche e sofisticate, garantendo al contempo efficienza e scalabilità attraverso i cicli di sviluppo. Poniamo un forte accento sullo sviluppo di comportamenti ampi e riutilizzabili. Identificando le somiglianze tra avversari e famiglie di malware, ci concentriamo sulla riproduzione di tecniche e procedure che appaiono costantemente in più playbook, che possono quindi essere adattate e integrate in altre emulazioni, consentendoci maggiore flessibilità e scalabilità. Questo approccio ci consente di dare priorità ai comportamenti con alta riutilizzabilità e rilevanza operativa piuttosto che investire pesantemente in implementazioni strette e una volta.

Nella tua recente ricerca su RomCom, quali sono stati i punti di svolta chiave che hanno influenzato la sua trasformazione da un backdoor di base in una piattaforma versatile che supporta sia lo spionaggio che l’estorsione finanziaria e in quali circostanze il malware passa da un payload autonomo a una piattaforma completamente sviluppata? 

Il caso di RomCom è particolarmente affascinante perché è apparso per la prima volta nel maggio 2022 come un backdoor relativamente semplice progettato principalmente per l’accesso remoto e la semplice esfiltrazione di dati. Il primo punto di svolta importante si è verificato solo un mese dopo con il rilascio di RomCom 2.0, che ha introdotto miglioramenti sostanziali che riflettevano uno strumento più maturo e orientato alla furtività, ottimizzato per operazioni di spionaggio e persistenza a lungo termine. Questi aggiornamenti hanno migliorato notevolmente le capacità di raccolta e esfiltrazione dei dati, segnalando un chiaro passaggio verso un uso più strategico.

Il punto di svolta successivo è arrivato con l’introduzione di RomCom 3.0 nel febbraio 2023, che ha adottato un’architettura modulare strutturata in tre componenti principali. Ha rappresentato un notevole balzo in termini di flessibilità e funzionalità, supportando 42 comandi distinti, molti dei quali erano variazioni sottili gli uni degli altri, evidenziando la focalizzazione dell’operatore sull’adattabilità e sulla raffinatezza operativa.

Le versioni successive hanno continuato a concentrarsi sul perfezionamento delle capacità e sulla miglioramento della resilienza operativa. Nel tempo, RomCom è evoluta da un backdoor costruito su misura in una piattaforma versatile sfruttata da gruppi del crimine informatico, che l’hanno integrata nei loro playbook per facilitare e abilitare operazioni criminali diverse. Questa evoluzione è stata evidenziata dall’integrazione di RomCom con le operazioni di ransomware di Cuba, Industrial Spy e Underground, indicando chiaramente che era diventata parte di un ecosistema avversario più ampio come infrastruttura condivisa. Questa adozione diffusa ha inevitabilmente attirato l’attenzione di avversari allineati con gli Stati, in particolare quelli allineati con gli interessi russi, che hanno iniziato a sfruttare RomCom come piattaforma polivalente per supportare operazioni di spionaggio e influenza strategica contro i loro obiettivi geopolitici.

Questa convergenza ha confermato la nostra valutazione che i confini tra avversari del crimine informatico e quelli degli Stati nazionali sono sempre più sfumati. La transizione da payload autonomo a piattaforma completamente sviluppata si verifica proprio in questo punto di intersezione, quando inizia a essere sfruttata per obiettivi operativi sofisticati, strategici e intangibili che vanno oltre l’opportunismo o il guadagno finanziario. A quel punto, cessa di servire un singolo scopo tattico e inizia invece a supportare più obiettivi operativi, a volte contraddittori. Ciò suggerisce che gli operatori considerano il payload come un’infrastruttura riutilizzabile piuttosto che come un’arma costruita su misura.

Hai osservato confini sempre più sfumati tra l’attività degli Stati nazionali e quella degli avversari del crimine informatico. Dal tuo punto di vista, quali sono i principali driver dietro questa convergenza e come dovrebbero pensare diversamente i difensori quando valutano l’attribuzione e la motivazione in questi casi? 

La convergenza tra le operazioni degli Stati nazionali e quelle del crimine informatico è principalmente guidata da fattori pragmatici su entrambi i fronti. Per gli avversari sponsorizzati dagli Stati, l’obiettivo è acquisire rapidamente capacità già validate e provate sul campo di battaglia. Sfruttare strumenti o infrastrutture esistenti consente loro di acquisire flessibilità operativa senza dedicare risorse estensive per sviluppare strumenti personalizzati da zero. Se un payload è resiliente, efficace e disponibile, perché reinventarlo? Al contrario, per gli operatori del crimine informatico, l’accesso a risorse e infrastrutture di livello statale, comprese intelligence, dati di targeting e canali di distribuzione protetti, consente di scalare rapidamente le capacità mentre si riceve un sostegno finanziario garantito con minimo rischio.

RomCom esemplifica questa convergenza. Inizialmente un malware del crimine informatico progettato per facilitare operazioni di ransomware, è stato successivamente adottato in attività allineate con gli interessi strategici russi, prendendo di mira istituzioni governative ucraine, entità allineate con la NATO e organizzazioni umanitarie. La nostra valutazione indica che RomCom è passato da uno strumento puramente guidato dal profitto a un’infrastruttura sfruttata in operazioni degli Stati nazionali, supportando sia lo spionaggio che gli obiettivi di disturbo. Questa evoluzione sottolinea un principio chiave: indipendentemente dal fatto che l’avversario sia motivato finanziariamente o politicamente, l’impatto sulla vittima rimane lo stesso. In questo contesto, la difesa informata dalle minacce diventa essenziale. Le organizzazioni dovrebbero dare priorità alla convalida delle difese e della resilienza contro comportamenti realistici e osservati, piuttosto che concentrarsi esclusivamente sull’attribuzione o sulla motivazione presunta.

Cosa rivela RomCom sulla convergenza delle motivazioni finanziarie e geopolitiche tra gli avversari? In particolare, come interpreti la crescente tendenza di gruppi allineati con gli Stati di sfruttare le infrastrutture del crimine informatico come strumenti di influenza o di deniabilità? 

RomCom dimostra l’evoluzione di un gruppo di criminali informatici che ha mantenuto una coerenza operativa a lungo termine mentre estendeva costantemente la sua rete di affiliazioni. Durante la sua attività, ha stabilito collegamenti chiari con più famiglie di ransomware, in particolare Cuba, Industrial Spy e Underground, riflettendo un’integrazione profonda all’interno dell’ecosistema del crimine informatico. Nel tempo, è passata da un facilitatore di attività di disturbo e di estorsione a una piattaforma polivalente in grado di supportare operazioni di influenza geopolitica. La sua focalizzazione sull’istituzioni governative ucraine, personale militare, organizzazioni umanitarie che assistono i rifugiati e paesi allineati con la NATO dimostra un’allineamento operativo con gli interessi strategici russi legati alla guerra in Ucraina. Ciò non è un crimine opportunistico; rappresenta una raccolta di intelligence e operazioni di accesso a lungo termine. Gli stessi malware, meccanismi di consegna e tradecraft operativo ora supportano sia lo spionaggio che le attività di ransomware.

RomCom sottolinea anche un modello più ampio di gruppi allineati con gli Stati che adottano o ripropongono strumenti del crimine informatico. Questi strumenti sono provati, efficaci e servono come comodi abilitatori per obiettivi strategici più ampi. La Russia rimane un esempio primario: ampie segnalazioni dettagliano gruppi criminali russi che operano come estensioni de facto delle operazioni statali o che vengono direttamente sfruttati per supportarle. Questo consente agli Stati di esternalizzare operazioni deniabili, in particolare quelle di natura distruttiva o disruptiva, agli attori criminali, o di assorbire la loro infrastruttura e strumenti. In ultima analisi, questa dinamica rivela una relazione mutualmente vantaggiosa: gli operatori di RomCom e i loro affiliati guadagnano influenza e ricompense finanziarie, mentre gli Stati ottengono accesso a capacità deniabili e affidabili. Nell’ecosistema del crimine informatico, l’alleanza è transazionale, radicata nell’influenza e nel profitto.

Questo modello offre chiari vantaggi strategici, il che è il motivo per cui sta diventando sempre più comune. Le partnership con il crimine forniscono agli Stati l’accesso e la capacità senza attribuzione diretta, e la risultante ambiguità operativa complica le risposte diplomatiche e legali. Le famiglie di malware sono effettivamente diventate strumenti di stato, aumentando piuttosto che sostituendo lo spionaggio tradizionale attraverso l’infrastruttura del crimine che è deniabile, scalabile e autosufficiente.

Il malware moderno spesso non si limita a un’industria o a una regione. Cosa suggerisce ciò riguardo alle priorità o ai vincoli degli attaccanti e ci sono settori o geografie che ritieni siano “prossimi” per l’espansione cross-domain? 

Mentre alcuni avversari possono autoimporre vincoli, molti trattano l’urgenza e le crisi come vettori di infezione aggiuntivi, accelerando le intrusioni e sfruttando difese distratte o tese. La motivazione influenza il targeting ma raramente lo limita. I gruppi motivati finanziariamente danno priorità agli obiettivi con alto potenziale di profitto o dipendenza operativa, come finanza, processori di pagamento e grandi imprese con requisiti di uptime rigorosi. Al contrario, i gruppi allineati con gli Stati si concentrano su settori che avanzano gli obiettivi geopolitici, tra cui governo, difesa e infrastrutture critiche. Tuttavia, l’overlap tra queste motivazioni è sempre più comune.

Le tattiche “spray-and-pray” e la commoditizzazione persisteranno. I modelli Ransomware-as-a-Service (RaaS) e gli strumenti di fascia bassa consentono agli avversari motivati finanziariamente di allargare aggressivamente il loro insieme di bersagli. Qualsiasi servizio esposto e debolmente difeso è potenzialmente in scope. L’espansione geografica segue sia l’opportunità che i gap di maturità. Le regioni in rapida trasformazione digitale ma con limitata maturità o capacità di risposta agli incidenti sono attraenti per il compromissione iniziale e le operazioni di scaling. Al contrario, gli obiettivi ad alto valore in regioni ben difese sono spesso impattati attraverso il compromissione della catena di approvvigionamento o l’accesso esternalizzato. Guardando avanti, l’espansione è probabile nelle regioni adiacenti ai conflitti geopolitici attivi dove la raccolta di intelligence supporta gli interessi strategici e la maturità difensiva ancora trail la sofisticazione degli avversari.

Quando crei emulazioni di avversari realistiche, quali sono le sfide tecniche più difficili che incontri? Come validi che queste emulazioni siano sufficientemente rappresentative di minacce del mondo reale e ci sono comportamenti che rimangono particolarmente difficili da simulare in modo affidabile?

Una delle sfide tecniche più difficili è raggiungere la fedeltà del comportamento senza introdurre rischi operativi. Le emulazioni devono replicare i comportamenti del mondo reale con precisione sufficiente per convalidare i controlli di rilevamento e prevenzione, rimanendo al contempo abbastanza sicure da poter essere eseguite in ambienti di produzione. Quel compromesso è costante. Implementazioni troppo aggressive rischiano di destabilizzare i sistemi o produrre falsi positivi/negativi pericolosi, mentre quelle troppo caute perdono fedeltà e utilità. Prioritizziamo l’emulazione dei “punti di strangolamento” dell’avversario, i comportamenti critici che determinano se un’intrusione abbia successo o fallisca, e dove la visibilità difensiva e la risposta contano di più. Concentrando la fedeltà su questi comportamenti decisivi, le emulazioni offrono il valore più alto per la copertura di rilevamento e la convalida della resilienza.

Alcune tecniche sono intenzionalmente limitate o omesse perché presentano rischi inaccettabili o non possono essere emulate fedelmente senza danneggiare l’ambiente. Un’implementazione leggermente errata e si rischia di testare qualcosa che l’avversario non fa mai o di destabilizzare il sistema che si sta cercando di proteggere. Altre sfide derivano da comportamenti che dipendono dal contesto ambientale o richiedono accesso autenticato. I comportamenti in rete sono anche vincolati: ad esempio, riproduciamo modelli di protocollo e comportamenti di beaconing per il C2 senza connetterci all’infrastruttura maliziosa.

Creare emulazioni realistiche è quindi un processo di ingegneria iterativo: identificare, documentare, implementare, testare, convalidare e raffinare. Ogni iterazione bilancia fedeltà, sicurezza e rilevanza operativa per garantire che le emulazioni siano sia realistiche che deployabili.

Guardando tre o cinque anni avanti, quali tendenze nella sofisticazione del malware, nella metodologia degli attaccanti o negli ecosistemi delle minacce ti sembrano più preoccupanti o affascinanti e quali passi fondamentali consiglieresti alle organizzazioni che iniziano il loro percorso nella difesa informata dalle minacce e nell’emulazione degli avversari?

Una delle tendenze più affascinanti e preoccupanti è l’aumento della sofisticazione degli ecosistemi del crimine informatico. Nel corso dell’ultimo decennio, gli attori del crimine informatico hanno espanso notevolmente la loro influenza.

Negli anni precedenti, il numero di partecipanti era limitato e la loro influenza era relativamente marginale. Oggi, centinaia di entità interconnesse coesistono e collaborano, ognuna svolgendo ruoli specializzati. Questa interdipendenza forma un ecosistema complesso e business-oriented che replica la struttura e l’efficienza dei mercati legittimi. L’ecosistema del ransomware esemplifica perfettamente ciò: decine di famiglie attive coesistono, evolvono e si succedono. Questa costante evoluzione rivela una rete intricata di relazioni che è sempre più difficile da districare.

Un’altra tendenza definitiva è la convergenza tra le operazioni degli Stati e quelle del crimine informatico. Non solo a livello operativo, ma anche nello sviluppo di infrastrutture e piattaforme di malware condivise. RomCom esemplifica questa evoluzione. È passata da un commodity puramente guidato dal profitto a una piattaforma versatile sfruttata in operazioni degli Stati nazionali, supportando sia lo spionaggio che gli obiettivi di disturbo. La sua focalizzazione su istituzioni governative, personale militare, organizzazioni umanitarie e paesi allineati con la NATO dimostra un allineamento operativo con gli interessi strategici russi legati alla guerra in Ucraina. Ciò rappresenta un’operazione di raccolta di intelligence e accesso a lungo termine, non un crimine opportunistico.

Per le organizzazioni che sono nuove alla difesa informata dalle minacce, il passo fondamentale è adottare il framework MITRE ATT&CK come linguaggio condiviso per comprendere e discutere il comportamento degli avversari. ATT&CK fornisce una tassonomia comportamentale che consente ai difensori di mappare rilevamenti e controlli direttamente alle tecniche degli attaccanti piuttosto che a indicatori statici. Dare priorità al rilevamento basato sul comportamento rispetto agli approcci basati sulla firma. Gli indicatori di compromissione cambiano costantemente, ma le tecniche degli avversari rimangono relativamente stabili, un principio catturato nel framework della Pyramid of Pain.

Grazie per le risposte dettagliate, i lettori che desiderano saperne di più possono visitare AttackIQ.

mm

Antoine è un leader visionario e socio fondatore di Unite.AI, guidato da una passione incrollabile per plasmare e promuovere il futuro dell'AI e della robotica. Un imprenditore seriale, crede che l'AI sarà altrettanto disruptiva per la società quanto l'elettricità, e spesso viene colto a parlare con entusiasmo del potenziale delle tecnologie disruptive e dell'AGI.
Come futurist, è dedicato a esplorare come queste innovazioni plasmeranno il nostro mondo. Inoltre, è il fondatore di Securities.io, una piattaforma focalizzata sugli investimenti in tecnologie all'avanguardia che stanno ridefinendo il futuro e ridisegnando interi settori.