Cosa sono le minacce persistenti avanzate?

I team di criminali informatici sponsorizzati dallo Stato spesso eseguono attacchi APT per accedere alle informazioni sensibili di altri stati o nazioni o alla proprietà intellettuale di grandi organizzazioni. Sebbene inizialmente utilizzino spesso tecniche tradizionali di ingegneria sociale, questi attori delle minacce sono noti per la personalizzazione di strumenti e metodi avanzati per sfruttare le vulnerabilità uniche di organizzazioni specifiche. Un attacco APT riuscito può durare mesi o addirittura anni.

I gruppi APT spesso ottengono l'accesso iniziale alla rete bersaglio attraverso l'ingegneria sociale e lo spear phishing. Utilizzando le informazioni raccolte da fonti interne ed esterne a un'organizzazione, gli autori degli attacchi APT creeranno sofisticate e-mail di spear phishing che convincono i dirigenti o i dirigenti senior a fare clic su un link dannoso.

Gli hacker possono anche cercare altri punti di ingresso e superfici di attacco per penetrare nella rete. Ad esempio, possono lanciare un attacco zero-day contro una vulnerabilità senza patch in un'applicazione web o incorporare malware in un sito web pubblico visitato dai dipendenti.

Dopo l'intrusione iniziale, i gruppi APT esplorano e mappano la rete per determinare i migliori passi successivi per un movimento laterale all'interno dell'organizzazione. Installando una serie di backdoor, che consentono loro di accedere alla rete da più punti di ingresso, possono continuare a effettuare ricognizioni e installare malware nascosti.

Possono anche tentare di decifrare le password e ottenere i privilegi di amministratore per accedere alle aree in cui risiedono i dati sensibili. Soprattutto, gli hacker creano una connessione a un server di comando e controllo esterno per la gestione remota dei sistemi violati.

Per prepararsi al primo furto di dati, i gruppi APT trasferiscono le informazioni raccolte nel tempo in una posizione centralizzata e sicura all'interno della rete. Possono anche crittografare e comprimere i dati per facilitare l'esfiltrazione.

Quindi, per distrarre il personale di sicurezza e deviare le risorse, possono inscenare un evento "white noise" come un attacco distributed denial-of-service (DDoS). A questo punto, sono in grado di trasferire i dati rubati su un server esterno senza essere rilevati.

I gruppi APT possono rimanere all'interno di una rete violata per un periodo di tempo prolungato o indefinito, in attesa di nuove opportunità per organizzare un attacco. Durante questo periodo, possono celare la loro presenza riscrivendo il codice per nascondere il malware e installando rootkit che consentono l'accesso a sistemi sensibili senza essere rilevati. In alcuni casi, potrebbero eliminare le prove dell'attacco e abbandonare completamente la rete dopo aver raggiunto i propri obiettivi.

Utilizzando e-mail di phishing distribuite su larga scala, e-mail di spear phishing altamente personalizzate o altre tattiche di manipolazione sociale, i gruppi APT convincono gli utenti a fare clic su link dannosi o a rivelare informazioni che consentono l'accesso a sistemi protetti.

Distribuendo uno shellcode dannoso che scansiona le reti alla ricerca di vulnerabilità software prive di patch, i gruppi APT sono in grado di sfruttare le aree di debolezza prima che gli amministratori IT possano reagire.

I gruppi APT possono prendere di mira i partner commerciali, tecnologici o fornitori di fiducia di un'organizzazione per ottenere un accesso non autorizzato attraverso supply chain di software o hardware condivise.

Grazie alla capacità di fornire accesso nascosto e backdoor a sistemi protetti, i rootkit sono uno strumento prezioso che aiuta i gruppi APT a nascondere e gestire operazioni remote.

Una volta che i gruppi APT entrano in una rete violata, stabiliscono una connessione ai propri server esterni per gestire in remoto l'attacco ed esfiltrare i dati sensibili.

I gruppi APT possono utilizzare una serie di altri strumenti per espandere e nascondere la propria presenza in una rete come worm, keylogging, bot, cracking di password, spyware e offuscamento del codice.

Noto per le sue e-mail di spear phishing straordinariamente convincenti e ben documentate, Helix Kitten opera presumibilmente sotto la supervisione del governo iraniano. Il gruppo prende di mira principalmente le aziende del Medio Oriente in settori quali quello aerospaziale, delle telecomunicazioni, dei servizi finanziari, dell'energia, della chimica e alberghiero. Gli analisti ritengono che questi attacchi abbiano lo scopo di favorire gli interessi economici, militari e politici dell'Iran.

Wicked Panda è un noto e prolifico gruppo APT con sede in Cina con presunti legami con il Ministero della Sicurezza di Stato e il Partito Comunista Cinese. Oltre a condurre attività di spionaggio informatico, i membri di questo gruppo sono noti anche per gli attacchi alle aziende a scopo di lucro. Si ritiene che siano responsabili dell'hacking delle supply chain del ramo sanitario, del furto di dati sensibili dalle aziende biotecnologiche e del furto dei pagamenti dell'assistenza sanitaria per il COVID-19 negli Stati Uniti.

Stuxnet è un worm informatico che è stato utilizzato per interrompere il programma nucleare iraniano prendendo di mira i sistemi di controllo di supervisione e acquisizione dati (SCADA). Sebbene oggi non sia più attivo, è stato considerato una minaccia molto efficace quando è stato scoperto nel 2010, che ha causato danni significativi alle sue vittime. Gli analisti ritengono che Stuxnet sia stato sviluppato in collaborazione dagli Stati Uniti e da Israele, anche se nessuna delle due nazioni ha ammesso apertamente la responsabilità.

Il Lazarus Group è un gruppo APT con sede in Corea del Nord ritenuto responsabile del furto di centinaia di milioni di dollari in valuta virtuale. Secondo il Dipartimento di Giustizia degli Stati Uniti, i crimini fanno parte di una strategia volta a minare la cybersecurity globale e a generare entrate per il governo nordcoreano. Nel 2023, l'FBI statunitense ha accusato il Lazarus Group di aver rubato 41 milioni di USD in valuta virtuale da un casinò online.

Poiché gli attacchi APT sono progettati per imitare le normali operazioni di rete, possono essere difficili da rilevare. Gli esperti suggeriscono diverse domande che i team di sicurezza dovrebbero porsi se sospettano di essere stati presi di mira.

Esistono misure di sicurezza che le organizzazioni possono adottare per mitigare il rischio che gli hacker APT ottengano l'accesso non autorizzato ai propri sistemi. Poiché i gruppi APT adattano continuamente nuovi metodi per ciascun vettore di attacco, gli esperti consigliano un approccio ampio che combina più soluzioni e strategie di sicurezza tra cui:

• Patching del software per salvaguardare le vulnerabilità della rete e del sistema operativo contro gli exploit zero-day.
• Monitoraggio del traffico di rete in tempo reale per individuare attività dannose come l'installazione di backdoor o l'esfiltrazione di dati rubati.
• Utilizzo di firewall per applicazioni web su endpoint di rete che filtrano il traffico tra le applicazioni web e internet per prevenire gli attacchi in entrata.
• Implementazione di rigorosi controlli di accesso che impediscono agli utenti non autorizzati di accedere a sistemi e dati sensibili o di alto livello.
• Svolgimento di test di penetrazione per identificare punti deboli e vulnerabilità che i gruppi APT potrebbero sfruttare durante un attacco.
• Impiego della threat intelligence per comprendere meglio il ciclo di vita di un attacco APT e pianificare una risposta efficace se sembra che sia in corso un attacco.