Advanced persistent threat: Rischi e soluzioni

Advanced persistent threat

Advanced persistent threat, più comunemente noto con la sigla APT, è un tipo di cyberattacco di lungo periodo.

Rappresenta una delle più gravi minacce in ambito Cybersecurity degli ultimi anni e la sua frequenza è in aumento.

Spesso eseguito da gruppi di Criminal Hackers di alto profilo – o addirittura sponsorizzati da Paesi – con l’intenzione di sottrarre informazioni o spiare delle reti per un periodo di tempo prolungato, l’attacco è tutto fuorché casuale e improvviso.

Per sua natura infatti l’assalto ha due fondamentali caratteristiche: un lungo periodo di studio del sistema bersaglio – per individuarne le vulnerabilità – e una bassissima rilevabilità da parte dei sistemi di sicurezza.

Advanced persistent threat: lo scenario

Advanced persistent threat – L’attacco spesso si avvale di un malware tailor-made, studiato appositamente sulle vulnerabilità della società/governo vittima, proprio per mantenere al minimo i sospetti e tracce rilevabili.

Solitamente i motivi sono due: finanziari o di spionaggio politico. Anzi, inizialmente, gli Advanced persistent threat erano principalmente utilizzati da attori – sponsorizzati dal proprio Paese – mossi da questa seconda motivazione (una Nazione su tutte ci viene in mente in questo caso).

Oggi il fenomeno ha acquistato popolarità anche tra i gruppi di Criminal Hacker “non allineati”, atti a rubare dati o proprietà intellettuali da poter rivender nel Dark web o che agiscono su commissione e ha visto un incremento esponenziale in frequenza e sofisticazione.

I gruppi più popolari sono sicuramente quelli provenienti dal Sud-est asiatico. Nel 2018, per esempio, Lazarus – anche noto come BlueNoroff in Corea – era stato additato come il responsabile di una serie di attacchi distructive nei confronti di istituti di credito in Turchia e in tutta l’Asia. È interessante osservare come molti di questi attori, nonostante cambino spesso nome o target, siano in attività da un periodo di tempo così elevato da lasciare dietro di loro una serie di artefatti, quasi come una sorta di firma, che permette di collegarli a varie attività criminali che appaiono a macchia d’olio nel mondo.

IronHusky, gruppo di lingua cinese, invece sembra avere un interesse particolare per tutti gli avvenimenti in Mongolia e periodicamente mette in piedi campagne di Cyberattacco in congiunzione a importanti meeting ed eventi (per esempio durante l’International Monetary Fund meting del gennaio 2018).

Advanced persistent threat: il modus operandi

Advanced persistent threat – Gli hacker che operano in questo modo hanno un grosso vantaggio rispetto alle loro controparti “comuni”: lavorando o per Governi o per enormi gruppi industriali godono molto spesso della totale immunità.

Il loro compito è semplice: ottenere l’accesso a informazioni confidenziali, installare codice distructive o piantare backdoor nascosti che permettono di entrare e uscire dal network bersaglio a loro piacimento.

La maggior parte delle APT utilizzano un codice personalizzato per svolgere le loro attività, ma preferiscono, almeno in un primo momento, utilizzare le vulnerabilità pubblicamente note per svolgere il loro lavoro sporco.

In questo modo, se le loro attività vengono notate, è più difficile per la vittima rendersi conto che si tratta di un programma APT e non un normale, meno grave, hacker o malware.

Siamo dunque dinnanzi a un grosso dilemma, di fronte a una minaccia così insidiosa e difficile da riconoscere come facciamo a scoprire di essere sotto attacco e come possiamo prevenire e difendere la nostra attività?

Advanced persistent threat: Come riconoscere un attacco

Advanced persistent threat – Partendo dall’assunto che gli hacker APT utilizzano tecniche diverse dalle loro controparti più “mondane”, è anche vero lasciano dietro anche “tracce” diverse. Negli ultimi anni analizzando dei casi di APT è stato possibile isolare alcuni segnali che potrebbero suggerire l’inizio di un attacco.

Attenzione però: ognuno di questi, preso singolarmente, potrebbe essere una semplice e legittima operazione interna dell’azienda, ciò a cui dobbiamo prestare attenzione è la sua natura inaspettata o il volume di attività che potrebbe testimoniare un exploit APT. Di seguito i casi più riconoscibili:

  • Aumento dei log-on a tarda notte: Gli APT passano rapidamente da un computer all’altro in poche ore. Lo fanno leggendo un database di autenticazione, rubando le credenziali e riutilizzandole, imparano quali account hanno privilegi e permessi elevati, quindi passano attraverso questi account per compromettere le risorse all’interno dell’ambiente. Spesso, un alto volume di accessi elevati si verifica di notte perché gli aggressori vivono dall’altra parte del mondo. Se all’improvviso si nota un elevato volume di connessioni elevate su più server o su singoli computer di alto valore mentre il personale di lavoro legittimo è a casa, iniziare a preoccuparsi;

 

  • Trojan backdoor: Gli hacker spesso infettano con dei Trojan i computer dell’ambiente bersaglio. Lo fanno per assicurarsi di poter sempre rientrare, anche se le credenziali di accesso precedentemente sottratte vengono cambiate. Una volta scoperti, gli hacker APT non se ne vanno come i normali aggressori, una delle caratteristiche che li rende particolarmente temuti. I Trojan oramai sono distribuiti attraverso metodi come il social engineering, una strada molto semplice per ottenere un primo caposaldo nell’azienda bersaglio;

 

  • Flussi di informazioni inattesi: Fate attenzione nel caso in cui comincino ad apparire grandi flussi inaspettati di dati da punti di origine interna e diretti ad altri computer interni o esterni. Potrebbe trattarsi di scambi da server a server, da server a client o da rete a rete.Naturalmente, per rilevare un possibile APT, è necessario capire come si comportano i flussi interni di dati prima che il vostro ambiente sia compromesso. Iniziate subito e imparate a conoscere e riconoscere le caratteristiche dei vostri sistemi, solo così sarete in grado di accorgervi in fretta di irregolarità nei flussi;

 

  • Pacchetti di dati inattesi: Fate attenzione a grandi (gigabyte, non megabyte) pezzi di dati che appaiono in luoghi dove non dovrebbero essere, specialmente se compressi in formati di archivio non utilizzati di norma dalla vostra azienda. Questo è un segnale inequivocabile di un tentativo di estrusione di dati sensibili verso l’esterno;

 

  • Campagne di spear phishing mirate: Senza dubbio questo è uno dei migliori indicatori di un primo tentativo di ottenere un punto d’ingresso. È stato appurato infatti che questo sia uno dei metodi preferiti dagli APT Hacker di stabilire una testa di ponte: attenzione, queste campagne hanno sovente un target fortemente mirato e non è raro che queste siano indirizzate ai quadri dell’azienda, possessori di credenziali più alte.

Advanced persistent threat: competenze, non solo strumenti

Advanced persistent threat – Non bisogna fraintendere quanto detto fino a ora, anche se riconosciuto in tempo, se l’attacco APT è già in corso ripulire i propri sistemi dall’intrusione può essere uno dei compiti più ardui che un dipartimento IT deve affrontare. Non è comunque uno scenario apocalittico: con le giuste misure anche gli APT possono essere sconfitti. Ma non si tratta unicamente di tecnologie, dobbiamo evolvere non solo tatticamente nel modo in cui rispondiamo, ma anche strategicamente. La Cybersecurity deve imprimere una svolta in senso creativo. La difesa non può basarsi solo sull’automazione delle risposte, ma deve passare anche dalla professionalità e dall’abilità degli esperti nell’analizzare comportamenti e flussi anomali.
E non dobbiamo fermarci qui, oltre alle skill degli esperti di sicurezza che garantiscono la salvaguardia aziendale, è tempo che le lezioni derivanti dalle best practice di Cybersecurity vengano adottate da tutte le figure che operano nella società.

Advanced persistent threat: le misure più efficaci per la difesa

Queste sono le misure più efficaci per prevenire gli attacchi APT:

  • Utilizzare Big Data analytics: Non c’è dubbio che rappresenti una delle tecnologie emergenti più significative e utili nel riconoscere pattern irregolari all’interno dei propri network. Se c’è una cosa che non manca nelle aziende è la disponibilità di enormi quantità di dati, con il giusto investimento nelle tecnologie di analisi la strada per la detection degli APT potrebbe essere molto meno buia;

 

  • Condividere informazioni con le giuste persone: Uno dei motivi per cui gli hacker APT sono così efficienti è la grande sinergia a condividere informazioni utili per l’attacco tra i vari gruppi dediti a questa attività criminale. Sfortunatamente nel mondo delle aziende lo stesso tipo di collaborazione stenta a decollare, spesso chi riesce a riconoscere e fermare un tentativo di infiltrazione è restio a divulgare dettagli e metodologie di difesa. I motivi sono svariati: da questioni puramente legali (spesso l’oggetto degli attacchi sono informazioni sensibili) a una certa titubanza a diffondere gratuitamente dei dati che potrebbero risultare economicamente preziosi. C’è bisogno di un cambio di paradigma quindi, per sconfiggere gli hacker a volte dobbiamo adottare anche le loro misure… trattenere informazioni potenzialmente cruciali per un’altra organizzazione nel lungo periodo rischia di avere effetti catastrofici su tutto il sistema economico e finire per danneggiare anche la società stessa che ha deciso non rendere pubbliche le sue scoperte;

 

  • Riconoscere la “kill chain”: gli attacchi APT operano per fasi: ricognizione, creazione del malware tailor made, consegna, exploit, installazione, command&control e azione. Insomma, non dissimilmente da una rapina vera e propria prima si riconoscono i segnali e prima si riesce ad intervenire, migliore sarà la possibilità di successo. Fortunatamente gli aggressori lasciano una scia di “briciole di pane” che può portare direttamente al sistema infetto. La comprensione e l’analisi della “kill chain” può essere la chiave per implementare i controlli di difesa appropriati nella fase necessaria;
    La “Kill chain” APT

 

  • Prestare attenzione agli IOC (Indicators of compromise): Questo punto è collegato alla comprensione della “kill chain”. Come già detto, nessuna organizzazione può fermare ogni attacco, così il team IT ha necessità di sapere come cercare i sintomi, le “briciole”. Gli APT spesso personalizzano i loro strumenti in base alle proprie esigenze e utilizzano anche una varietà di programmi comuni come applicazioni desktop remote, proxy o tunnel criptati per comunicare. L’uso insolito di queste e di altre applicazioni può essere la chiave per trovare un vero APT. Questo, naturalmente, richiede che l’IT abbia una base di riferimento molto solida di ciò che non è conforme nelle loro reti;

 

  • Testare periodicamente i propri sistemi: Uno dei migliori metodi per capire se il proprio network e i propri sistemi interni sono a rischio APT è testarli per incongruenze e vulnerabilità. In questo senso non c’è metodo migliore che affidarsi a un’azienda di Cybersecurity per effettuare periodiche analisi.

Advanced persistent threat: gli strumenti di analisi più efficaci

Advanced persistent threat – Per comprendere dove si possono annidare le vulnerabilità non esiste strumento migliore del Penetration Test. Questo esamina i punti deboli relativi ad una infrastruttura IT aziendale e, dopo averli scoperti, prova ad exploitarli in maniera sicura e controllata. Le vulnerabilità che sono oggetto d’esame da parte delle attività di Penetration Testing possono essere presenti nel software stesso in questi punti d’accesso: Flaws non intenzionali nel design del codice del software; utilizzando il software in un modo per cui non è stato progettato; la non corretta implementazione della gestione della configurazione del software; backdoor (porte sul retro) nel sistema operativo. Le attività di Penetration Testing possono essere condotte sia attraverso processi automatici che manuali. Solitamente, il target di questa attività è focalizzato sui seguenti endpoint:

  • Network endpoint;
  • Dispositivi Mobile e Wireless;
  • Network Security Device;
  • Server;
  • Altre aree esposte come il codice che sta dietro alle applicazioni.

Lo scopo di un Penetration Test è quello di andare il più a fondo possibile nell’infrastruttura IT aziendale per arrivare agli asset elettronici di una azienda. L’obiettivo non è quello di colpire duramente il bersaglio al primo tentativo, ma è quelli di colpire anche più duramente nei tentativi seguenti così da esplorare tutti i possibili scenari a cui possono essere soggette le aziende.

Non vanno dimenticati, come già accennato, i phishing attack, il metodo principe per dare il via ad un attacco APT. Per far fronte a questa minaccia risulta decisivo il servizio di Phishing Simulation Attack.

Il phishing, di fatto, non si limita al mero invio di un’e-mail. Il livello di sofisticazione di questi attacchi ha raggiunto un livello elevatissimo destinato ad aumentare nel prossimo futuro.

Le soluzioni di Phishing Simulation Attack permettono alle aziende di contrastare questo fenomeno attraverso un test dell’Human factor garantendo anche una efficace attività di training e awareness.

Gli step di un phishing attack standard sono molteplici. In breve, si può così riassumere la sequenza base: Invio dell’e-mail alla potenziale vittima. Il messaggio in oggetto si presenta “appealing” agli occhi dell’utente ignaro. Per invogliare la vittima ad abboccare, il Cyber Criminale solitamente allega dei loghi aziendali, inscena situazioni verosimili. Ci sono dei pattern ben precisi seguiti dai malintenzionati, alcuni esempi di mail phishing possono includere situazioni come: scadenze/rinnovi di carte di credito, la mancanza di informazioni sufficienti per la registrazione su siti ben noti, problemi legati alle password e molte altre situazioni simili.

L’utente, attraverso un link o un allegato presente nella mail di phishing, viene indirizzato verso un sito malevolo. Questo sito può essere la brutta copia del sito originale. Questo “trucchetto” ha lo scopo ben preciso di indirizzare l’utente verso l’inserimento delle credenziali di accesso.

L’utente che viene “pescato” ha appena subito un furto dei propri dati che ora sono in possesso del Cyber Criminale. Quest’ultimo ne può disporre a proprio piacimento ed uno degli scopi più diffusi, purtroppo, è quello di vendere i dati nel gran bazar del Dark Web.

Il servzio di Phishing Simulation Attack adotta lo stesso modello permettendo di misurare il livello di esposizione al rischio phishing aziendale e al contempo effettua una attività. di formazione e awareness efficace dei dipendenti. È riduttivo sottolinearlo, ma anche le misure più efficaci di Cyber difesa si possono rivelare inutili se in azienda le persone continuano a cadere vittima di questi inganni.

Un altro test chiave è il Network Scan. Si tratta di uno scan specifico e dettagliato che analizza l’IP di un network in modo da identificare le sue vulnerabilità e i suoi punti deboli. Questo strumento può essere usato da chiunque, che sia una multinazionale con centinaia e centinaia di computer o che sia una piccola compagnia con un network di soli pochi dispositivi.

Questa procedura è molto semplice, si tratta di un’analisi di tutti gli IP pubblici che un IP arbitrario ci assegna. Avrai la necessità di effettuare una scansione di ogni singolo IP pubblico, se possibile, provando ogni indirizzo di network pubblici su ogni porta TCP e UDP. Ci potrebbe volere un po’ di tempo, ma è assolutamente raccomandato per assicurarsi la massima resilience anche in quest’area.

Assolutamente vitale è anche il Vulnerability Assessment: un’analisi di sicurezza che ha l’obiettivo di identificare tutti le vulnerabilità potenziali dei sistemi e delle applicazioni. Come? Spottando e valutando il danno potenziale che l’eventuale “attaccante” può infliggere all’unità produttiva attraverso tools altamente automatizzati in una prima fase, per poi avvalersi delle competenze di un personale altamente qualificato che, in un secondo momento, integra e verifica i risultati attraverso una meticolosa attività manuale. Queste attività hanno lo scopo di rifinire la ricerca evidenziando eventuali errori commessi durante il processo.

Uno degli aspetti chiave di questa tipologia di analisi è l’isolamento tempestivo delle vulnerabilità reali. Uno strumento di Vulnerability Assessment permette all’utente di avere un’overview aggiornata del livello di sicurezza degli asset IT. In breve, il VA è il primo mattone per costruire un Framework di sicurezza aggiornato ed in grado di resistere anche agli attacchi più violenti.

Pierguido Iezzi, Swascan Co-Founder

Inizia il tuo Free trial!

in collaboration with
CISCO

Autore: Pierguido Iezzi

Da anni mi occupo di CyberSecurity e Digital Innovation. Ho fondato e seguo diverse start-up. La mia passione per la Sicurezza Informatica mi ha portato a lanciare Swascan di cui sono il Co-Fondatore insieme a Raoul Chiesa. Swascan è la prima piattaforma di CyberSecurity, in cloud, SaaS e Pay for Use.
La mia frase è “Ognuno di noi è le risposte alle domande che si pone”.

" Pierguido Iezzi : Da anni mi occupo di CyberSecurity e Digital Innovation. Ho fondato e seguo diverse start-up. La mia passione per la Sicurezza Informatica mi ha portato a lanciare Swascan di cui sono il Co-Fondatore insieme a Raoul Chiesa. Swascan è la prima piattaforma di CyberSecurity, in cloud, SaaS e Pay for Use. La mia frase è “Ognuno di noi è le risposte alle domande che si pone”.."