Home

topics

Minacce persistenti avanzate

Cosa sono le minacce persistenti avanzate?
Esplora i servizi IBM per la gestione delle minacce Registrati per ricevere aggiornamenti sulla sicurezza
Illustrazione con collage di pittogrammi di nuvole, telefono cellulare, impronta digitale, segno di spunta

Data di pubblicazione: 3 aprile 2024
Autori: Gregg Lindemulder, Amber Forrest

Cosa sono le minacce persistenti avanzate?

Le minacce persistenti avanzate (APT) sono attacchi informatici non rilevati progettati per rubare dati sensibili, condurre attività di spionaggio informatico o sabotare i sistemi critici per un lungo periodo di tempo. A differenza di altre minacce informatiche come il ransomware, l'obiettivo di un gruppo di attacco APT è quello di rimanere inosservato mentre si infiltra ed espande la sua presenza in una rete bersaglio.

I team di criminali informatici sponsorizzati dallo Stato spesso eseguono attacchi APT per accedere alle informazioni sensibili di altri stati o nazioni o alla proprietà intellettuale di grandi organizzazioni. Sebbene inizialmente utilizzino spesso tecniche tradizionali di ingegneria sociale, questi attori delle minacce sono noti per la personalizzazione di strumenti e metodi avanzati per sfruttare le vulnerabilità uniche di organizzazioni specifiche. Un attacco APT riuscito può durare mesi o addirittura anni.

IBM X-Force Exchange
Contenuti correlati Scopri le statistiche chiave del report Cost of a Data Breach
Fasi di un attacco APT
Infiltrazione

I gruppi APT spesso ottengono l'accesso iniziale alla rete bersaglio attraverso l'ingegneria sociale e lo spear phishing. Utilizzando le informazioni raccolte da fonti interne ed esterne a un'organizzazione, gli autori degli attacchi APT creeranno sofisticate e-mail di spear phishing che convincono i dirigenti o i dirigenti senior a fare clic su un link dannoso. Gli hacker possono anche cercare altri punti di ingresso e superfici di attacco per penetrare nella rete. Ad esempio, possono lanciare un attacco zero-day contro una vulnerabilità senza patch in un'applicazione web o incorporare malware in un sito web pubblico visitato dai dipendenti.

Esplorazione ed espansione

Dopo l'intrusione iniziale, i gruppi APT esplorano e mappano la rete per determinare i migliori passi successivi per un movimento laterale all'interno dell'organizzazione. Installando una serie di backdoor, che consentono loro di accedere alla rete da più punti di ingresso, possono continuare a effettuare ricognizioni e installare malware nascosti. Possono anche tentare di decifrare le password e ottenere i privilegi di amministratore per accedere alle aree in cui risiedono i dati sensibili. Soprattutto, gli hacker creano una connessione a un server di comando e controllo esterno per la gestione remota dei sistemi violati.

Esfiltrazione

Per prepararsi al primo furto di dati, i gruppi APT trasferiscono le informazioni raccolte nel tempo in una posizione centralizzata e sicura all'interno della rete. Possono anche crittografare e comprimere i dati per facilitare l'esfiltrazione. Quindi, per distrarre il personale di sicurezza e deviare le risorse, possono inscenare un evento "white noise" come un attacco distributed denial-of-service (DDoS). A questo punto, sono in grado di trasferire i dati rubati su un server esterno senza essere rilevati.

Manutenzione

I gruppi APT possono rimanere all'interno di una rete violata per un periodo di tempo prolungato o indefinito, in attesa di nuove opportunità per organizzare un attacco. Durante questo periodo, possono celare la loro presenza riscrivendo il codice per nascondere il malware e installando rootkit che consentono l'accesso a sistemi sensibili senza essere rilevati. In alcuni casi, potrebbero eliminare le prove dell’attacco e abbandonare completamente la rete dopo aver raggiunto i propri obiettivi.

Tecniche comuni di attacco APT
Ingegneria sociale

Utilizzando e-mail di phishing distribuite su larga scala, e-mail di spear phishing altamente personalizzate o altre tattiche di manipolazione sociale, i gruppi APT convincono gli utenti a fare clic su link dannosi o a rivelare informazioni che consentono l'accesso a sistemi protetti.

Attacchi zero-day

Distribuendo uno shellcode dannoso che scansiona le reti alla ricerca di vulnerabilità software prive di patch, i gruppi APT sono in grado di sfruttare le aree di debolezza prima che gli amministratori IT possano reagire.

Attacchi alla supply chain

I gruppi APT possono prendere di mira i partner commerciali, tecnologici o fornitori di fiducia di un'organizzazione per ottenere un accesso non autorizzato attraverso supply chain di software o hardware condivise.

Rootkit

Grazie alla capacità di fornire accesso nascosto e backdoor a sistemi protetti, i rootkit sono uno strumento prezioso che aiuta i gruppi APT a nascondere e gestire operazioni remote.

Server di comando e controllo

Una volta che i gruppi APT entrano in una rete violata, stabiliscono una connessione ai propri server esterni per gestire in remoto l'attacco ed esfiltrare i dati sensibili.

Altre tecniche

I gruppi APT possono utilizzare una serie di altri strumenti per espandere e nascondere la propria presenza in una rete come worm, keylogging, bot, cracking di password, spyware e offuscamento del codice.

Esempi di gruppi APT
APT34 (Helix Kitten)

Noto per le sue e-mail di spear phishing straordinariamente convincenti e ben documentate, Helix Kitten opera presumibilmente sotto la supervisione del governo iraniano. Il gruppo prende di mira principalmente le aziende del Medio Oriente in settori quali quello aerospaziale, delle telecomunicazioni, dei servizi finanziari, dell'energia, della chimica e alberghiero. Gli analisti ritengono che questi attacchi abbiano lo scopo di favorire gli interessi economici, militari e politici dell'Iran.

APT41 (Wicked Panda)

Wicked Panda è un noto e prolifico gruppo APT con sede in Cina con presunti legami con il Ministero della Sicurezza di Stato e il Partito Comunista Cinese. Oltre a condurre attività di spionaggio informatico, i membri di questo gruppo sono noti anche per gli attacchi alle aziende a scopo di lucro. Si ritiene che siano responsabili dell'hacking delle supply chain del ramo sanitario, del furto di dati sensibili dalle aziende biotecnologiche e del furto dei pagamenti dell'assistenza sanitaria per il COVID-19 negli Stati Uniti.

Stuxnet

Stuxnet è un worm informatico che è stato utilizzato per interrompere il programma nucleare iraniano prendendo di mira i sistemi di controllo di supervisione e acquisizione dati (SCADA). Sebbene oggi non sia più attivo, è stato considerato una minaccia molto efficace quando è stato scoperto nel 2010, che ha causato danni significativi alle sue vittime. Gli analisti ritengono che Stuxnet sia stato sviluppato in collaborazione dagli Stati Uniti e da Israele, anche se nessuna delle due nazioni ha ammesso apertamente la responsabilità.

Lazarus Group

Il Lazarus Group è un gruppo APT con sede in Corea del Nord ritenuto responsabile del furto di centinaia di milioni di dollari in valuta virtuale. Secondo il Dipartimento di Giustizia degli Stati Uniti, i crimini fanno parte di una strategia volta a minare la cybersecurity globale e a generare entrate per il governo nordcoreano. Nel 2023, l'FBI statunitense ha accusato il Lazarus Group di aver rubato 41 milioni di dollari in valuta virtuale da un casinò online.

Rilevamento di un attacco APT

Poiché gli attacchi APT sono progettati per imitare le normali operazioni di rete, possono essere difficili da rilevare. Gli esperti suggeriscono diverse domande che i team di sicurezza dovrebbero porsi se sospettano di essere stati presi di mira.

Ci sono attività insolite sugli account utente?

Gli attori delle minacce APT prendono di mira account utente di alto valore con accesso privilegiato a informazioni sensibili. Questi account possono registrare volumi insolitamente elevati di accessi durante un attacco. E poiché i gruppi APT operano spesso in fusi orari diversi, questi accessi possono avvenire a tarda notte. Le organizzazioni possono utilizzare strumenti come il rilevamento e la risposta degli endpoint (EDR) o l'analisi del comportamento degli utenti e delle entità (UEBA) per analizzare e identificare attività insolite o sospette sugli account utente.

C'è un aumento significativo dei trojan backdoor?

La maggior parte degli ambienti IT è soggetta a trojan backdoor, ma possono diffondersi ulteriormente durante un attacco APT. I gruppi APT si affidano ai trojan backdoor come backup per rientrare nei sistemi compromessi dopo che sono stati violati.

C'è un'attività di trasferimento dati insolita?

Una deviazione significativa dalla normale attività di trasferimento dati può essere la spia di un attacco APT. Ciò potrebbe includere un brusco aumento delle operazioni di database e il trasferimento interno o esterno di enormi quantità di informazioni. Gli strumenti che monitorano e analizzano i log degli eventi da fonti di dati, come la gestione delle informazioni e degli eventi di sicurezza (SIEM) o il rilevamento e la risposta della rete (NDR), possono essere utili per segnalare questi incidenti.

I dati sono stati aggregati e spostati in una posizione insolita?

I gruppi APT accumulano di solito grandi quantità di dati da una rete e spostano tali informazioni in una posizione centrale prima dell'esfiltrazione. Grandi pacchetti di dati in una posizione insolita, soprattutto se in un formato compresso, possono indicare un attacco APT.

Alcuni dirigenti hanno ricevuto e-mail di spear phishing?

Gli attacchi di spear phishing che prendono di mira un numero limitato di leader di alto livello sono una tattica comune tra i gruppi APT. Queste e-mail spesso contengono informazioni riservate e utilizzano formati di documenti come Microsoft Word o Adobe Acrobat PDF per lanciare software dannosi. Gli strumenti di monitoraggio dell'integrità dei file (FIM) possono aiutare le organizzazioni a rilevare se gli asset IT critici sono stati manomessi a causa di malware incorporati nelle e-mail di spear phishing.

Protezione da un attacco APT

Esistono misure di sicurezza che le organizzazioni possono adottare per mitigare il rischio che gli hacker APT ottengano l'accesso non autorizzato ai propri sistemi. Poiché i gruppi APT adattano continuamente nuovi metodi per ciascun vettore di attacco, gli esperti consigliano un approccio ampio che combina più soluzioni e strategie di sicurezza tra cui:

 

  • Patching del software per salvaguardare le vulnerabilità della rete e del sistema operativo contro gli exploit zero-day.
  • Monitoraggio del traffico di rete in tempo reale per individuare attività dannose come l'installazione di backdoor o l'esfiltrazione di dati rubati.
  • Utilizzo di firewall per applicazioni web su endpoint di rete che filtrano il traffico tra le applicazioni web e internet per prevenire gli attacchi in entrata.
  • Implementazione di rigorosi controlli di accesso che impediscono agli utenti non autorizzati di accedere a sistemi e dati sensibili o di alto livello.
  • Svolgimento di test di penetrazione per identificare punti deboli e vulnerabilità che i gruppi APT potrebbero sfruttare durante un attacco.
  • Impiego della threat intelligence per comprendere meglio il ciclo di vita di un attacco APT e pianificare una risposta efficace se sembra che sia in corso un attacco.
Soluzioni correlate
Servizi di gestione delle vulnerabilità

Identifica, assegna priorità e gestisci la correzione dei problemi che potrebbero esporre i tuoi asset più critici.

Scopri i servizi di gestione delle vulnerabilità
Risorse Indice IBM X-Force Threat Intelligence

Scopri le informazioni utili per capire come gli autori delle minacce conducono attacchi e come proteggere in modo proattivo la tua organizzazione.

Cos'è la gestione delle minacce?

La gestione delle minacce è un processo utilizzato dai professionisti della cybersecurity per prevenire gli attacchi informatici, rilevare le minacce informatiche e rispondere a incidenti di sicurezza.

Cos'è un attore delle minacce?

Gli attori delle minacce, noti anche come attori di minacce informatiche o malintenzionati, sono individui o gruppi che causano intenzionalmente danni a dispositivi o sistemi digitali.

Fai il passo successivo

I servizi di cybersecurity di IBM offrono servizi di consulenza, integrazione e gestione della sicurezza per sviluppare capacità offensive e difensive. Combiniamo un team globale di esperti con la tecnologia proprietaria e dei partner per creare insieme programmi di sicurezza su misura in grado di gestire i rischi.

Scopri i servizi di sicurezza informatica Iscriviti alla newsletter Think