I forum del crimine online, sia su Internet pubblico che nel “dark web” (siti .onion di Tor), sono una fonte ricca per i ricercatori di threat intelligence.
Il team Counter Threat Unit (CTU) di Sophos comprende ricercatori specializzati nel dark web che raccolgono informazioni e interagiscono con questi forum, ma analizzare tutti i post è un lavoro lungo e ad alta intensità di risorse — ed è sempre possibile che qualcosa sfugga.
Nel tentativo di sfruttare meglio intelligenza artificiale e analisi dei dati, Francois Labrèche, ricercatore di Sophos AI, ha collaborato con Estelle Ruellan di Flare e dell’Université de Montréal e Masarah Paquet-Clouston, sempre dell’Université de Montréal, per esplorare un approccio più automatizzato all’identificazione degli attori chiave nel dark web. Il loro lavoro, inizialmente presentato al Symposium on Electronic Crime Research del 2024 organizzato dall’APWG, è stato recentemente pubblicato come articolo scientifico.
L’approccio
Il team ha combinato una versione modificata di un framework sviluppato dai criminologi Martin Bouchard e Holly Nguyen, usato in passato per distinguere i criminali professionisti dagli amatori nel settore della cannabis illegale, con l’analisi dei social network.
In questo modo sono riusciti a collegare gli account attivi nei forum agli exploit relativi a vulnerabilità comuni recenti (CVEs), sia tramite la menzione diretta della CVE, sia attraverso il confronto con i relativi CAPEC (Common Attack Pattern Enumeration and Classification) definiti dal MITRE.
Utilizzando il motore di ricerca per threat intelligence di Flare, hanno raccolto 11.558 post da 4.441 individui, pubblicati tra gennaio 2015 e luglio 2023 su 124 forum di e-crime. Nei post sono state citate 6.232 CVE differenti.
I ricercatori hanno creato una rete sociale bimodale, collegando le CAPEC agli attori sulla base dei contenuti pubblicati. Nella prima fase, hanno filtrato il dataset, rimuovendo ad esempio CVE senza CAPEC assegnate o metodi d’attacco troppo generici (usati da molti attori e discussi in modo superficiale).
Dopo questa scrematura, sono rimasti 2.321 attori e 263 CAPEC.
Infine, il team ha applicato l’algoritmo di rilevamento comunitario di Leiden per suddividere gli attori in “comunità di interesse”, cioè gruppi accomunati da un interesse verso specifici modelli di attacco.
In questa fase, sono emerse otto comunità distinte. In media, ogni attore era collegato a 13 diverse CAPEC, mentre ogni CAPEC era legata a 118 attori.
Leggi tutto l’articolo.
