Advanced Persistent Threat: caratteristiche e fasi d'attacco

Gli esperti di sicurezza informatica sanno bene che le minacce peggiori sono quelle capaci di rimanere silenti.

A questo proposito, particolare attenzione è rivolta alla prevenzione delle Advanced Persistent Threat (APT).

Questi attacchi impiegano solitamente una vasta gamma di minacce diverse, con l’obiettivo di prolungare l’azione offensiva per molto tempo senza che essa venga rilevata e attivamente contrastata.

In questo approfondimento, ne analizzeremo caratteristiche, metodi di aggressione e potenziali misure prevenitive.

Cosa si intende per APT (Advanced Persistent Threat)
Gli obiettivi di un attacco APT
Cyber kill-chain di un Advanced Persiste Threat
Come prevenire la minaccia
Conclusioni

Cosa si intende per APT (Advanced Persistent Threat)

Gli Advanced Persitent Threat sono degli attacchi informatici complessi, dove gli attaccanti riescono a mantenere l’accesso non autorizzato ai sistei, evitando di essere rintracciati, anche per un lungo periodo di tempo.

In questo modo, nel tempo che intercorre tra l’accesso non autorizzato e l’individuazione dell’attacco da parte dei sistemi di difesa, i criminali possono spiare le attività del sistema vittima.

L’obiettivo degli attaccanti è sovente quello di esfiltrare quanti più dati possibile, piuttosto che causare malfunzionamenti del sistema. Questo perché qualsiasi segnale evidente di anomalia, porterebbe all’immediata rilevazione dell’attacco.

Ciò non toglie l’hacker possa optare per un intervento più deciso. Istanza che si palesa spesso con DDoS (Denial of service) oppure con l’iniezione di malware.

Gli APT fanno spesso uso di ingegneria sociale per ottenere l’accesso ai sistemi target.

La complessità dell’attacco può raggiungere alti livelli, tant’è che in passato persino alcune entità statali ne hanno fatto uso, appaltando gli attacchi a gruppi di hacker (in gergo state sponsored groups).

Ne sono un esempio:

i russi APT28
gli iraniani APT34

I risvolti strategici di queste minacce, infatti, sono evidenti: dallo spionaggio, alla guerra cibernetica.

Ciò non toglie che questi vengano lanciati anche su una scala più piccola, ai danni di aziende private o individui di importanza strategica.

Tuttavia, per portare a compimento un attacco del genere:

non basta prendere di mira un applicativo web sfruttando varie vulnerabilità
non è quasi mai possibile automatizzare le procedure

Pertanto, c’è bisogno di un team ben consolidato di hacker, supportato da cospicui fondi che poche entità possono sostenere (statali o private), e capace di:

trafugare proprietà intellettuali di alto valore
compromettere infrastrutture e servizi strategici

Attacchi noti come SQL Injection e XSS possono essere comunque portati avanti, ma con il solo intento di porre le basi per un attacco più strutturato.

Gli obiettivi di un attacco APT

Data la complessità organizzativa di questo tipo di attacchi, gli APT si concentrano su obiettivi dall’alto valore strategico.

Tuttavia, considerata la capillare interconnessione tra grandi enti e il loro indotto, anche le piccole e medie imprese vengono sempre più prese di mira.

Una strategia di attacco volta alla destabilizzazione di un grande ente, infatti, potrebbe prevedere in prima battuta la compromissione dei fornitori e dell’indotto, puntando solo successivamente all’obiettivo vero e proprio.

La via degli attacchi alla supply chain, dunque, è molto spesso battuta dagli hacker, in quanto è più facile che organizzazioni più piccole adottino una politica di sicurezza informatica meno robusta.

Più in generale, dunque, gli APT vengono messi in pratica qualora ci sia la volontà di acquisire un vantaggio competitivo importante sui competitor. Spesso il vantaggio acquisito all’interno di un mercato attraverso queste modalità giustifica ampiamente l’investimento.

A livello istituzionale, inoltre, si hanno numerosi esempi di APT attuati in ottica geopolitica. L’esempio più emblematico in questo senso risale alle elezioni americane del 2016, quando Hilary Clinton fu presa di mira dal collettivo di hacker Fancy Bear, sospettato di essere stato ingaggiato dal Cremlino.

Più spesso, però, gli attacchi si concretizzano in seguito a decisioni internazionali che potrebbero compromettere gli interessi economici di alcuni Stati.

Cyber kill-chain di un Advanced Persiste Threat

L’obiettivo pratico di un APT è quello di ottenere e mantenere il più a lungo possibile l’accesso ad un network, al fine di esfiltrare la maggior quantità possibile di informazioni.

Per raggiungere questo obiettivo si seguono cinque passi fondamentali:

Ottenere l’accesso
Consolidare la propria presenza
Privilege escalation
Muoversi lateralmente
Acquisire informazioni

1. Ottenere l’accesso

I metodi di accesso possono essere molteplici, in funzione anche del livello di sicurezza del sistema preso di mira.

Vengono sfruttate le eventuali vulnerabilità presenti per iniettare dei malware o per utilizzarle come breccia all’interno del sistema.

Il phishing è un metodo molto gettonato, specialmente lo spear phishing poiché, essendo ritagliato su una specifica figura, risulta più convincente e dunque più efficace nell’ottenere credenziali o informazioni preziose per la prosecuzione della minaccia.

Di solito, i collettivi lanciano un attacco DDoS ai danni del sistema, impiegando l’attenzione dei tecnici di rete su un problema secondario e lasciando più spazio alla vera azione offensiva.

Una volta ottenuto l’accesso, gli attaccanti preparano le condizioni necessarie affinché l’attacco possa protrarsi il più a lungo possibile.

2. Consolidare la propria presenza

Gli attaccanti cercano di creare una rete di backdoor che consenta di muoversi nel sistema vittima senza causare sospetti. Per fare questo, si servono di particolari malware che implementano tecniche in grado garantire la segretezza delle operazioni,

modificando i log
riscrivendo parti di codice

3. Privilege escalation

Una volta ottenuto e consolidato l’accesso al sistema vittima, gli attaccanti si concentrano sull’ottenimento di privilegi da admin di sistema, in modo da avere pieno potere su determinati segmenti di rete e le relative informazioni.

Per fare ciò, vengono impiegati metodi di password cracking, ove possibile. Altrimenti si ricorre allo spear phishing su risorse come tecnici o sistemisti.

Possono essere impiegate anche tecniche più strutturate, sempre con il medesimo obiettivo di ottenere privilegi speciali senza destare sospetti.

4. Muoversi orizzontalmente

Nel caso in cui venisse superato con successo il terzo step, si otterrebbe la facoltà di muoversi nella rete vittima con più facilità.

Arrivati a questo punto, forti dei privilegi appena ottenuti, si sondano i segmenti di rete accessibili con le credenziali esfiltarte, le informazioni utili che è possibile trafugare, ed eventuali appigli per tentare l’accesso in altri server o partizioni di rete.

5. Acquisire informazioni

A questo punto, si capitalizza sui successi precedentemente ottenuti, cercando di sfruttare i nuovi privilegi per ottenere dati e informazioni preziose. Gli attaccanti continuano anche a studiare il sistema, cercando di capire come poter portare avanti l’azione offensiva in maniera ancora più solida e silente.

In ultima istanza, anche ad azione terminata, gli hacker sono soliti piazzare delle backdoor nel sistema, in modo tale da avere un facile punto di accesso per futuri attacchi.

Come prevenire la minaccia

Attacchi di questa complessità si prevengono solo attraverso una struttura di sicurezza completa, che parte dal singolo utente e arriva ai prodotti software specifici.

Monitoraggio del traffico

Monitorare le comunicazioni all’interno della rete di accesso consente di rendere molto più difficile l’inserimento di una backdoor. Inoltre, è immediato individuare trasmissioni sospette di dati, nel caso in cui gli attaccanti stiano cercando di trafugare informazioni altamente sensibili.

Un buon sistema firewall messo a guardia della propria rete di accesso, consente di proteggere i server da:

richieste sospette
interazioni malevole

Ciò vuol dire che, molti degli attacchi che hanno luogo a livello applicativo, possono essere neutralizzati in questo modo.

Inoltre, l’analisi delle richieste provenienti dall’esterno consente anche di identificare eventuali backdoor.

Similmente, un controllo speculare può essere effettuato sulle comunicazioni interne alla rete, per verificare che utenti accreditati non stiano (coscientemente o meno) trasmettendo informazioni sensibili verso l’esterno (ad esempio controllando la dimensione dei dati trasferiti).

Il controllo interno può prevedere anche il monitoraggio degli accessi a determinate aree della rete cui l’utente non avrebbe normalmente accesso. Infine, l’installazione di honeypot consente di evidenziare immediatamente se c’è un attacco APT in atto.

Whitelisting

Un altro tassello del mosaico della sicurezza è senza dubbio il whitelisting.

Dall’interno della rete sarà possibile raggiungere solamente determinati domini, tutti precedentemente controllati. Gli altri risulteranno irraggiungibili, andando a limitare fortemente le possibilità di phishing o attacchi di livello applicativo simili.

Tuttavia, questo metodo fa affidamento su alcuni software che sono in continua evoluzione. Pertanto occorre una collaborazione da parte di tutti gli utenti della rete interna.

Infatti, molto spesso anche i domini più fidati potrebbero riscontrare dei problemi o essere compromessi in modo grave, consentendo a software solo apparentemente innocui di essere trasmessi all’interno della rete.

Controllo degli accessi

Le Advanced Persistent Threat fanno grande affidamento sull’ingegneria sociale, puntando sui singoli utenti per ottenere l’accesso. Che si tratti di talpe o di semplici utenti superficiali, essi saranno sempre intesi come la breccia più facile da sfruttare.

Per difendersi, occorre stabilire con precisione quali utenti hanno accesso a determinate informazioni e soprattutto con quale modalità.

In tal modo, si riducono i danni causati dal furto di credenziali di utenti con pochi privilegi.

Inoltre, è utile introdurre misure di MFA (Multi factor Authentication) a protezione di aree strategiche della rete, al fine di ridurre ulteriormente le possibilità di danni gravi in seguito al furto di credenziali.

Conclusioni

Gli attacchi APT minacciano primariamente enti di grandi dimensioni o addirittura istituzionali.

Nonostante ciò, il rischio si estende anche ai fornitori e alle piccole aziende dell’indotto, poiché gli attaccanti portano avanti un attacco di lunga durata che può iniziare proprio da obiettivi più piccoli.

Pertanto, è fondamentale:

conoscere i rischi derivanti da queste azioni offensive
prendere coscienza delle possibili procedure atte a prevenirle

La formazione in tema di sicurezza informatica, in particolare sul tema phishing, risulta, quindi, fondamentale ad ogni livello, poiché questi attacchi, per rimanere silenziosi, sfruttano illecitamente i privilegi concessi ai dipendenti interni alla rete.

Autore articolo
Gli ultimi articoli

Arianna Rigoni

Responsabile Marketing per due aziende leader nel settore della Sicurezza Informatica: organizzo e progetto iniziative di diffusione della cultura cybersecurity e dei rischi cyber-crime attraverso contenuti web, eventi on e off line e materiale info-grafico. Ho una naturale propensione per far coesistere il lato metodico e preciso del mio carattere con la parte più creativa, visionaria e ambiziosa di me. Sono curiosa, riflessiva e non metto freni alla mia fame di conoscenza.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.