Gli attacchi di tipo Advanced Persistent Threat (APT) sono i più sofisticati e quindi i più temibili. Si tratta di attacchi mirati, in cui l’attore della minaccia sceglie l’obiettivo e cerca di colpirlo con tecniche di hacking complesse e diverse. La prevenzione delle minacce persistenti avanzate richiede la conoscenza delle TTP (tecniche, tattiche e procedure) che l’attore utilizzerà per cercare di colpirci.

Indice dei contenuti

Tipi di attacco: Opportunistico e Mirato

Esistono due tipi principali di attacchi informatici:

Gli attacchi opportunistici sono quelli in cui l’aggressore non prende di mira un individuo specifico, ma utilizza tecniche di “pesca a strascico” per lanciare attacchi massicci e relativamente semplici nella speranza che qualche “pesce” finisca nella rete. Questi attacchi assumono tipicamente la forma di e-mail di phishing o di messaggi di smishing (phishing via SMS) inviati agli smartphone. Gli utenti più attenti e consapevoli dovrebbero essere in grado di riconoscere questi attacchi poco sofisticati.
Gli attacchi mirati sono i più temibili, perché sono ben preparati e portati avanti dai criminali informatici più esperti. Richiedono una preparazione e uno studio preliminare dell’obiettivo, ma questi sforzi sono ripagati dal valore dell’obiettivo che si riesce a violare. I tipi di attacchi mirati comprendono lo spear phishing, i DDoS (Distributed Denial of Service), il ransomware (che in realtà viene utilizzato anche in attacchi non mirati) e soprattutto gli APT, di cui parleremo in questo articolo.

Advanced Persistent Threat (APT): Di cosa si tratta

Le minacce avanzate e persistenti (APT) sono attacchi sofisticati e mirati che iniziano con l’intrusione di criminali informatici in una rete aziendale. Oggi le aziende sono particolarmente preoccupate da minacce come queste, che potrebbero mettere a rischio dati sensibili o segreti commerciali.

La definizione di APT deriva dal fatto che l’attacco presenta le seguenti caratteristiche:

Avanzate: negli attacchi APT vengono utilizzate tecniche di hacking avanzate, con molteplici vettori di attacco. Non si tratta di attacchi automatizzati: Gli attori delle APT effettuano un monitoraggio continuo con interazione diretta per raggiungere obiettivi predeterminati. Combinano azioni umane, strumenti e tecniche per eseguire gli attacchi.
Persistenti: un APT è un attacco continuo nel tempo, che può durare anche mesi, in cui l’attaccante cerca di rimanere invisibile nel sistema il più a lungo possibile. Chi lancia un APT raramente è una singola persona, ma piuttosto una struttura ben organizzata con obiettivi, capacità e risorse economiche. Gli attaccanti adottano un approccio lento per evitare il rilevamento.
Minacciose (Threat): le APT sono una minaccia seria perché hanno obiettivi specifici, cercano di rubare dati e spiano per molto tempo.

L’APT non è un attacco in cui i criminali informatici “sparano nel mucchio” con spam e phishing; al contrario, vengono utilizzate tecniche di hacking mirate e diverse.

La sofisticazione degli attacchi APT li rende difficili da individuare; possono passare inosservati per mesi.

Il fattore più pericoloso di questi attacchi è la persistenza dell’attaccante: può rimanere inosservato nei sistemi di un’azienda per un lungo periodo di tempo, durante il quale può estrapolare, cancellare o manipolare i dati.

Non dobbiamo sottovalutare la possibilità che un aggressore che abbia avuto accesso al sistema di un impianto industriale possa alterare i parametri di produzione. Si tratta di un’eventualità oggi più probabile con l’evoluzione dell’Industria 4.0, in particolare nel settore della Cyber Security.

Ne parla un articolo di Cyber Security 360.

La finestra di compromissione (Persistenza)

Il tempo necessario per scoprire un attacco è chiamato “finestra di compromissione” o “tempo di permanenza“. In questa finestra di tempo, l’attacco rimane inosservato, lasciando all’attaccante ampie opportunità di manovra e di offesa.

Questo dato, tratto dal rapporto IBM Cost of data breach, mostra che la finestra media di compromissione è di oltre 200 giorni. Si tratta di un problema serio che deve essere affrontato.

Ci vogliono in media 75 giorni per “rimediare”, o riparare, ai danni di un attacco informatico una volta scoperto.

I dati dimostrano la pericolosità di questo tipo di attacco e la difesa deve essere mirata e operare in ogni fase dell’attacco.

Pensare come l’attaccante

È fondamentale conoscere le TTP (tecniche, tattiche e procedure) che verranno utilizzate in un attacco per prevenirlo o mitigarlo una volta che si è sviluppato.

Dobbiamo capire quali sono i punti deboli del nostro sistema e cosa l’attaccante penserà di sfruttare con le numerose tecniche a sua disposizione. In breve: dobbiamo metterci nei panni dell’attaccante e pensare come lui.

Vedremo che un APT si sviluppa in molte fasi successive e concatenate, e in ognuna di queste fasi dovremo fare “threat intelligence”, cioè cercare di identificare le potenziali minacce.

Il progetto Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK) del MITRE è un’utile fonte di informazioni sulle minacce. ATT&CK è una base di conoscenze e un quadro di riferimento costruito sulla base dello studio di milioni di attacchi informatici del mondo reale.

FlashStart ha creato un sistema avanzato in grado di proteggere dagli attacchi APT, ad esempio bloccando le minacce provenienti da siti e indirizzi IP identificati come dannosi.

Attacco APT: I vari livelli

Gli attacchi APT sono sofisticati e tipicamente suddivisi in sette fasi.

Confronteremo le fasi di un attacco APT con il framework MITRE ATT&CK per identificare le tecniche di attacco utilizzate in ciascuna fase.

Ricognizione (raccolta di informazioni): L’attaccante raccoglie informazioni sui sistemi informatici dell’obiettivo (per identificare le vulnerabilità da sfruttare), ma anche sulle persone dell’azienda, che spesso sono il punto più debole dell’attacco. Questa è la fase in cui l’attaccante investirà più tempo e risorse, perché è quella che può fare la differenza tra il successo o il fallimento dell’attacco. Le tecniche di Open Source INTelligence (OSINT) sono utilizzate per raccogliere informazioni sull’obiettivo da fonti aperte.

Le persone devono essere più consapevoli dei rischi legati alla condivisione di troppe informazioni online.

L’OSINT è ampiamente utilizzata e legale, in quanto raccoglie informazioni pubbliche trovate sul web. Si tratta di una disciplina sofisticata in cui si possono utilizzare strumenti speciali disponibili sul web (molti anche open source) che eseguono ricerche mirate in modo automatizzato. Per sapere quali sono questi strumenti (ce ne sono molti!), consigliamo questo utile sito.

Intrusione nella rete (Exploitation):Una volta terminata la fase di raccolta delle informazioni, l’aggressore è pronto a sferrare l’attacco per penetrare nell’obiettivo. Le tecniche di ingegneria sociale come il phishing, il vishing, l’adescamento, lo spear phishing e il watering hole (siti compromessi) sono solitamente utilizzate per sfruttare il fattore umano, che è sempre il punto più debole. Possono essere utilizzati anche kit di exploit per sfruttare le vulnerabilità del sistema, tecniche di SQL Injection o XSS. A volte vengono sferrati attacchi di “forza bruta” per violare le credenziali di accesso RDP o VPN (che troppo spesso sono protette da password troppo deboli o addirittura scontate!).
Furto di identità (credential dumping): è una tecnica che gli aggressori utilizzano per accedere ai sistemi. Cercheranno di fare Privilege Escalation spostandosi lateralmente per trovare credenziali amministrative più importanti. Strumenti come Mimikatz e RottenPotatoNG sono facilmente reperibili online.
Installazione di Malware: l’aggressore è entrato nel sistema e si connette ai server C&C per scaricare il malware. Questo software, chiamato RAT (Remote Administration Tool), viene utilizzato per controllare il sistema di destinazione. Si noti che questi attacchi non vengono eseguiti automaticamente, ma prevedono che l’aggressore interagisca con il sistema in remoto.
Mantenimento dell’accesso: la creazione di una backdoor, o “porta posteriore”, è una soluzione tecnica che consente di mantenere l’accesso a un sistema aggirando i normali meccanismi di protezione. Un RAT installato nel sistema interessato viene quindi utilizzato per installare una backdoor, che consente all’aggressore di accedere nuovamente al sistema ogni volta che lo desidera. Le backdoor possono essere scritte ex novo, oppure si può utilizzare software esistente, come Meterpreter, un componente del noto sistema di exploit Metasploit, uno dei più completi e utilizzati a livello commerciale.
Esfiltrazione dei dati: è il furto dei dati, che è il vero obiettivo dell’attacco. L’attaccante cerca di identificare e raccogliere i CVD (Critical Value Data), anche utilizzando script di ricerca automatizzati. Una volta identificato, l’attaccante deve riuscire a far uscire questi dati e deve cercare di farlo nel modo più “silenzioso” possibile, in modo da non essere rilevato dai sistemi di “rilevamento” della vittima. Vengono utilizzate tecniche diverse e talvolta fantasiose, come la compressione (rar, zipper, …) e l’invio dei dati attraverso protocolli di trasmissione come WebDAV, FTP, tunneling DNS, ecc. È possibile utilizzare anche software open-source come Rclone (https://rclone.org) e altri.
Persistenza (Covering Tracks): l’attaccante cerca di rimanere all’interno del sistema infiltrato il più a lungo possibile, senza essere rilevato dai sistemi di difesa. Utilizzerà quindi tecniche per manipolare e/o eliminare i registri di sistema, cancellare i dati e il software utilizzato per l’attacco.

Threat Actors

Le minacce costanti evolutive sono attacchi sofisticati condotti da criminali informatici per rubare dati e informazioni sensibili.

Ma sono anche un’arma tipicamente usata dai cosiddetti gruppi di hacker sponsorizzati dallo Stato, cioè legati, più o meno direttamente, a Stati e governi. Ne abbiamo parlato in questo articolo

Lo scopo può essere quello di colpire organizzazioni e infrastrutture di uno Stato nemico.

La prevenzione per APT

Poiché gli attacchi APT si svolgono in più fasi, è necessario adottare misure di difesa in ciascuna di esse.

Ricognizione (Information Gathering): è importante evitare di esporre informazioni sensibili sul web, soprattutto sui social media. Il monitoraggio del dark web può aiutare a rilevare se ci sono informazioni relative alla nostra organizzazione che qualcuno potrebbe utilizzare.
Intrusione nella rete (Exploitation): è importante formare gli utenti e implementare misure antispam avanzate per proteggersi da spam e attacchi di phishing. Adottare sempre politiche di posta elettronica sicura.È importante mantenere i sistemi aggiornati, applicando patch al software di rete e ai sistemi operativi per eliminare le vulnerabilità che gli aggressori potrebbero tentare di sfruttare.
Furto di identità (credential dumping): il furto di identità (credential dumping) è un problema serio che può essere prevenuto controllando attentamente l’accesso alle informazioni sensibili. Agli insider malintenzionati e agli utenti compromessi non deve essere consentito di abusare delle proprie credenziali per concedere l’accesso ai criminali.
Installazione di malware: l’installazione di malware può essere intercettata e bloccata dai sistemi forniti da FlashStart, che è in grado di effettuare il filtraggio dei DNS di Internet, attraverso blacklist continuamente aggiornate. Allo stesso modo, è possibile adottare politiche di whitelisting delle applicazioni e dei domini che gli utenti possono utilizzare/installare nelle reti aziendali per ridurre il tasso di successo delle minacce costanti.
Mantenimento dell’accesso: i nostri sistemi di filtraggio FlashStart possono bloccare l’accesso e prevenire la creazione di backdoor, garantendo la sicurezza delle vostre informazioni.
Esfiltrazione dei dati: Esfiltrazione dei dati: crittografia dei dati a riposo e in transito. La crittografia delle connessioni remote impedisce agli intrusi di intercettare i dati in transito, proteggendo così i vostri dati e mantenendoli al sicuro.
Persistenza (Covering Tracks): ogni attacco produce rumore, che può essere rilevato tramite l’analisi approfondita dei registri, il rilevamento e la risposta degli endpoint, il rilevamento e la risposta estesa o la gestione delle informazioni e degli eventi di sicurezza.

App di marketing digitale: la top 5 da consigliare

Cosa sono le app spia e come funzionano

Verificare i permessi delle app

Come funziona MSpyitaly, l’app per spiare i dispositivi

Come fare rifornimento sfruttando una app e ricevere premi?

5 Strategie Efficaci per Ottenere più Traffico e Visualizzazioni su YouTube

Le migliori App per visitare la città di Napoli

Digital Skin Care: le migliori app in dermatologia

Un’app per conoscere il prezzo dell’oro in tempo reale: il lancio di Orolive

Incontri gay: le migliori App

La prevenzione per Advanced Persistent Threat

Tipi di attacco: Opportunistico e Mirato

Advanced Persistent Threat (APT): Di cosa si tratta

La finestra di compromissione (Persistenza)

Pensare come l’attaccante

Attacco APT: I vari livelli

Threat Actors

La prevenzione per APT

I dati a supporto della valutazione delle performance aziendali

Proptech: l’innovazione che sta cambiando il settore immobiliare

Perché scegliere iOS: vantaggi e svantaggi

Cos’è il sistema SAP e perché tantissime aziende ne fanno uso

Le principali differenze fra sistemi convergenti e iperconvergenti

Software di intelligenza artificiale: 5 esempi pratici

Top Category

Tecnologia

Internet

Marketing

Software