Quando pensiamo alla sorveglianza, al pedinamento, all’intercettazione, vogliamo pensare la cosa come appannaggio esclusivo delle forze dell’ordine, della magistratura, di uno stato di diritto. Quando pensiamo a tutto questo in veste “cyber”, allora pensiamo naturalmente ai trojan (i cosiddetti “captatori informatici”) quali sanciti lecitamente utilizzabili in un contesto di indagine dalle Sezioni Unite della Cassazione. Insomma, pensiamo a qualcosa di correttamente utilizzato in un ambito di indagine contro il crimine.

La formazione in ambito Cybersecurity non è mai stata sulla cresta dell’onda come questo periodo. Tra annunci di ransomware che bloccano le proprie vittime, KillNet che dichiara di mettere in ginocchio tutta l’Italia, Anonymous che promette di difenderci e contrattaccare al Russia ci si mette anche l’autorità nazionale per la cybersicurezza che annuncia di assumere nei prossimi 3 anni n-mila esperti di cybersecurity con n grande a piacere.

A parte gli scherzi, è vero che la richiesta di esperti in questo settore è notevolmente aumentata e che il classico skill shortage, in pratica differenza tra domanda e offerta, è in continuo aumento, ma è altrettanto vero che quando si parla di “Cybersecurity” si parla di aria fritta!

Questa volta si tratta di una nuova minaccia persistente avanzata (APT) ancora poco conosciuta, soprannominata ToddyCat. 

Ha iniziato a muovere i suoi primi passi a fine 2020 contro limitati obiettivi tra Taiwan ed il Vietam, con uno schema di attacco complesso ma orientato esclusivamente ai server Microsoft Exchange. 

Nella prima campagna ha adottato una sofisticata backdoor passiva (su porte 80 e 443) introdotta mediante un malware già noto ai ricercatori e denominato Samurai: questo era infatti parte di altra catena di attacco vista in precedenza. In questa campagna però Samurai è stato inteso solo come apripista per l’infezione di un secondo malware denominato Ninja, molto più dannoso.

La pandemia COVID-19 è stata uno spartiacque: il mondo ha cominciato a girare in modo differente, molto è cambiato e molto cambierà ancora, tra paure e speranze. 

Solo una cosa è rimasta costante: le frodi telematiche hanno continuato a lavorare con la medesima forza ed efficacia, sfruttando il fenomeno pandemico e (al contrario) la voglia di uscirne. 

Se durante la pandemia (in realtà non ne siamo ancora fuori, ma indichiamo con questo il suo picco critico) gli agenti di minaccia hanno diffuso i loro strumenti di attacco grazie alla fame di notizie e l’attenzione per il tema COVID-19, ora che le persone tentano di uscire dal tunnel dei lockdown e altre forme di restrizioni personali (orientandosi al mercato del turismo e viaggi in generale) le mire degli agenti di minaccia hanno cominciato ad orientarsi verso l’industria dei viaggi e dell’intrattenimento e tempo libero, che ha trovato un rinnovato e naturale interesse nella popolazione mondiale