Questo tipo di attacco non è totalmente nuovo, basti dire che già 10 anni fa se ne parlava (a coniare il termine fu probabilmente Greg Rattray dell'US Air Force).
Come si può vedere dai metodi di attacco, la pazienza sono ciò che rende questi attacchi tanto efficaci.
Questi attacchi sono molto sofisticati e coordinati.
Gli aggressori non sono venuti per rubare un po' di dati a caso o sensibili.
Sono lì per rimanere all'interno della rete: trattasi di vero e proprio cyber-spionaggio.
Infatti le parole chiavi sono "Advanced" che indica che non ci troviamo di fronte ad un Hacker che cerca di sfruttare una vulnerabilità specifica (Zero-Day) fintanto che non viene risolta o che esegue attacchi a caso (Spam), ma di un gruppo di persone ben competenti e motivate che si muovono per attaccare obiettivi mirati.
Spesso è una singola azienda, può anche essere un insieme di aziende che fanno parte dello stesso settore di mercato.
Il termine "Persistent" sta invece a significare che l’attacco è continuo nel tempo, anche per mesi o anni, fintanto che le condizioni lo permettono o che l’obiettivo non è stato del tutto raggiunto.
Cyberwar o spionaggio industriale va bene per rendere l'idea.
Il particolare livello di sofisticazione che caratterizza gli attacchi APT e la difficoltà di rilevamento che li caratterizza, fanno si infatti che possano passare diverse settimane se non mesi tra il momento dell'intrusione iniziale e la sua scoperta e neutralizzazione.
Un altro elemento da considerare è che gli APT sono minacce che fanno ricorso a tecniche di Hackeraggio non solo sofisticate ma anche molto diverse tra loro, con un uso massiccio delle tecniche di Social Engineering.
ATTACCHI APT
Ricognizione: gli attaccanti cercano ed identificano le persone che saranno bersaglio degli attacchi e, utilizzando fonti pubbliche ottengono i loro indirizzi e-mail o i riferimenti di instant messaging.
Intrusione nella rete: il vero e proprio attacco avviene tramite mail di phishing, in cui l'attaccante prende di mira utenti specifici all'interno della società target con messaggi di posta elettronica fasulli che contengono link pericolosi o dannosi, oppure files malevoli allegati (PDF o documenti Microsoft Office).
Questa fase consente di infettare la macchina e dare all'attaccante un primo accesso all'interno dell'infrastruttura.
Creazione di una backdoor: gli attaccanti cercano di ottenere le credenziali di amministratore del dominio, estraendole dalla rete.
Fondamentale è l'autenticarsi come admin.
Gli attaccanti quindi, si muovono all'interno della rete, installando backdoor e malware attraverso metodi di "process injection" o modifiche del registro di sistema per passare inosservati.
Si va dall'Ingegneria Sociale al port scanning della rete, dall’uso di exploit per installare malware o keylogger al phishing mirato per compromettere le postazioni di alcuni dipendenti specifici.
Molto importante è anche l'espansione "laterale" che consiste nel controllo di altre workstation e server sempre collegati con la rete attaccata.
Ottenere le credenziali utente ed altre info utili: gli attaccanti tramite furti d'identità ottengono la maggior parte delle informazioni accedendo ai sistemi tramite le credenziali degli utenti stessi.
Installazione di Malware: varie utility malevole vengono installate sulla rete target al fine di poter amministrare il sistema e svolgere attività come l'installazione di backdoor, il furto di password, la ricezione di email e l'ascolto di processi in esecuzione.
Escalation dei privilegi, 'movimento laterale' ed esfiltrazione dei dati: ora gli attaccanti iniziano ad intercettare le mail, gli allegati e i file dai server attraverso l'infrastruttura creata.
Gli attaccanti dirottano i dati rubati verso server intermedi, dove li cifrano, li comprimono e quindi li indirizzano verso la destinazione finale.
Mantenere la presenza: gli aggressori cercano in ogni modo di mantenere la loro presenza nelle reti del target anche se alcuni Malware vengono individuati ed eliminati.
COME DIFENDERSI
Le APT, come si sarà capito, lavorano nell'ombra: per loro è importantissima la pazienza.
Più che attacchi massivi e veloci, prediligono quelli longevi nel tempo.
Questo per non destare sospetti all'interno della rete.
Inoltre è molto importante la copertura delle tracce.
Ciò premesso ci sono diversi elementi che possono far nascere il sospetto di essere sotto attacco, come ad esempio traffico dati inusuale all’interno della propria rete, azioni di phishing mirate, un numero anomalo di tentativi di login a server o database, trasferimenti di grandi quantità di dati dall’interno all’esterno della rete.
Si intuisce che l’approccio alla difesa dalle APT non può che essere trasversale: è la combinazione di tanti attacchi di basso profilo che di solito identifica una APT, non un evento macroscopico.
Anche se è capitato che l’evento macroscopico ci sia stato, ad esempio un attacco DDoS, ma proprio per attirare l’attenzione dell’azienda lontano da attacchi più subdoli.
Quindi saper correlare le informazioni che provengono dalle varie attività di controllo della rete è importante quanto rilevare i singoli attacchi.
Marco Mazzoleni di Cisco System (orientati alla rimozione di queste vulnerabilità): "Le aziende dovrebbero capire che affinché una soluzione anti-APT sia efficace è necessario che vengano prima implementate una serie di soluzioni atte ad eliminare i cosiddetti rumori di fondo, ovvero un serie di alert su problematiche non prioritarie e che non rientrano nella dinamica degli attacchi realmente pericolosi per il business.
Spesso, infatti, accade che i sistemi di sicurezza tradizionali vengano resi inefficaci dalla numerosità di segnalazioni che non hanno una reale gerarchia dei pericoli, saturandosi di alert su spam o di tentativi degli utenti non identificati di accedere ad aree protette.
Questa dinamica non aiuta la sicurezza, in quanto i sistemi non riescono più ad analizzare e identificare le reali minacce.
Alcuni importanti attacchi negli ultimi anni dimostrano come anche in presenza di soluzioni specifiche di anti APT le intrusioni sono avvenute proprio perché gli allarmi generati dal rumore di fondo erano talmente numerosi che i veri APT sono passati inosservati"
Scoperto l'attacco è molto difficile stabilire cosa è stato sottratto e da dove.
Bisogna anche non essere precipitosi, evitando di cancellare le tracce che permetterebbero di stabilire l'entità del danno per i furti subiti.
Se poi si tratta di un'azienda nota a livello nazionale ed internazionale, bisogna essere pronti a comunicarlo verso l'esterno (media e clienti) nel modo più appropriato possibile.
Nessun commento:
Posta un commento