Microsoft e CrowdStrike creano la Stele di Rosetta della cybersecurity: nomi unificati per i gruppi APT

Nell’ambito della cybersecurity, ogni secondo di ritardo nell’identificazione di un attacco può tradursi in un disastro per le aziende e le infrastrutture critiche. I gruppi APT (Advanced Persistent Threat) rappresentano alcune delle minacce informatiche più sofisticate e pericolose al mondo. Si tratta di criminali informatici – spesso sponsorizzati da Stati od organizzazioni di alto livello – che conducono campagne di spionaggio, sabotaggio o furto di dati con obiettivi ben definiti e a lungo termine.

Le minacce APT operano in modo furtivo e persistente, sfruttando vulnerabilità sconosciute (zero-day), tecniche avanzate di ingegneria sociale e strumenti personalizzati per infiltrarsi nei sistemi, rimanendo spesso inosservate per mesi o anni. Comprendere chi siano questi attori, come operano e con quali finalità è essenziale per rafforzare le difese informatiche e prevenire danni strategici a organizzazioni pubbliche e private.

Perché è così importante dare un nome univoco ai criminali informatici responsabili di attacchi APT

Fino a oggi, il mondo della sicurezza informatica ha operato utilizzando nomenclature indipendenti. Microsoft, Mandiant, CrowdStrike, Palo Alto Unit 42 e altri soggetti hanno storicamente assegnato etichette diverse agli stessi attori. Il risultato? Confusione, frammentazione e ridotta capacità di coordinamento.

Lo stesso gruppo APT può essere identificato con tre o quattro nomi diversi, a seconda del vendor o della comunità di threat intelligence che ne ha esaminato l’operato.

Microsoft e CrowdStrike hanno avviato un progetto congiunto per armonizzare i nomi dei cybercriminali e migliorare la risposta globale alle minacce.

La Stele di Rosetta per la sicurezza informatica: mappa condivisa dei gruppi APT

Con la nuova iniziativa, Microsoft e CrowdStrike propongono un sistema di mappatura incrociata tra le rispettive tassonomie, costruendo una vera e propria “Stele di Rosetta” della cyber intelligence.

Il progetto non impone uno standard universale — obiettivo considerato irrealistico — ma stabilisce un punto di riferimento condiviso per allineare e tradurre i nomi tra i principali sistemi di classificazione.

Il gruppo APT di origine russa noto come APT29 è oggi chiamato anche Cozy Bear, UNC2452 o Midnight Blizzard a seconda della fonte. Questa molteplicità crea ambiguità e ritardi nell’azione: per i Security Operation Center (SOC), è difficile correlare i dati; per i CISO è complicato comunicare con chiarezza; per i responsabili delle contromisure è arduo definire priorità efficaci.

La nomenclatura meteorologica

Microsoft ha già adottato un sistema di denominazione che associa agli attori malevoli nomi ispirati a fenomeni meteorologici, in base alla nazione di appartenenza o alla motivazione dell’attacco:

• Russia → Blizzard (es. Midnight Blizzard)
• Cina → Typhoon (es. Brass Typhoon)
• Iran → Sandstorm
• Corea del Nord → Sleet
• Attori finanziari → Tempest (es. Cinnamon Tempest)
• Attori privati → Tsunami (es. Caramel Tsunami)
• Disinformazione → Flood
• Attori emergenti o sconosciuti → Storm

CrowdStrike, pur mantenendo la propria tassonomia, partecipa attivamente al processo collaborando con Microsoft per stabilire corrispondenze coerenti tra entità già identificate da entrambe le aziende.

Un’iniziativa concreta, già operativa

La collaborazione tra Microsoft e CrowdStrike ha già portato alla mappatura di oltre 80 attori malevoli, tra cui alcuni tra i più sofisticati e attivi nel cyberspazio. Il processo non si basa su inferenze svolte utilizzando strumenti pubblicamente disponibili, bensì su un’analisi diretta, congiunta e guidata da esperti di entrambe le aziende.

Il risultato è un punto di riferimento accessibile dalla comunità, che consente a chi lavora nella difesa — dagli analisti ai responsabili delle policy — di collegare rapidamente le informazioni, identificare con precisione gli avversari e reagire con efficacia.

Il progetto è pensato per essere scalabile e comunitario. Dopo Microsoft e CrowdStrike, anche Google/Mandiant e Palo Alto Networks Unit 42 hanno confermato la loro adesione. La governance sarà inizialmente gestita dalle due aziende promotrici, ma è prevista la formazione di un gruppo di lavoro, aperto ad altri partner fidati, per garantire l’aggiornamento dinamico della mappatura in base all’evoluzione del panorama delle minacce.

Per decifrare le lingue antiche, serviva una “Stele di Rosetta”. Ora, per chi si occupa di sicurezza informatica, potrebbe finalmente essere arrivata.