Home
topics
Minacce persistenti avanzate
Data di pubblicazione: 3 aprile 2024
Autori: Gregg Lindemulder, Amber Forrest
Le minacce persistenti avanzate (APT) sono attacchi informatici non rilevati progettati per rubare dati sensibili, condurre attività di spionaggio informatico o sabotare i sistemi critici per un lungo periodo di tempo. A differenza di altre minacce informatiche come il ransomware, l'obiettivo di un gruppo di attacco APT è quello di rimanere inosservato mentre si infiltra ed espande la sua presenza in una rete bersaglio.
I team di criminali informatici sponsorizzati dallo Stato spesso eseguono attacchi APT per accedere alle informazioni sensibili di altri stati o nazioni o alla proprietà intellettuale di grandi organizzazioni. Sebbene inizialmente utilizzino spesso tecniche tradizionali di ingegneria sociale, questi attori delle minacce sono noti per la personalizzazione di strumenti e metodi avanzati per sfruttare le vulnerabilità uniche di organizzazioni specifiche. Un attacco APT riuscito può durare mesi o addirittura anni.
I gruppi APT spesso ottengono l'accesso iniziale alla rete bersaglio attraverso l'ingegneria sociale e lo spear phishing. Utilizzando le informazioni raccolte da fonti interne ed esterne a un'organizzazione, gli autori degli attacchi APT creeranno sofisticate e-mail di spear phishing che convincono i dirigenti o i dirigenti senior a fare clic su un link dannoso. Gli hacker possono anche cercare altri punti di ingresso e superfici di attacco per penetrare nella rete. Ad esempio, possono lanciare un attacco zero-day contro una vulnerabilità senza patch in un'applicazione web o incorporare malware in un sito web pubblico visitato dai dipendenti.
Dopo l'intrusione iniziale, i gruppi APT esplorano e mappano la rete per determinare i migliori passi successivi per un movimento laterale all'interno dell'organizzazione. Installando una serie di backdoor, che consentono loro di accedere alla rete da più punti di ingresso, possono continuare a effettuare ricognizioni e installare malware nascosti. Possono anche tentare di decifrare le password e ottenere i privilegi di amministratore per accedere alle aree in cui risiedono i dati sensibili. Soprattutto, gli hacker creano una connessione a un server di comando e controllo esterno per la gestione remota dei sistemi violati.
Per prepararsi al primo furto di dati, i gruppi APT trasferiscono le informazioni raccolte nel tempo in una posizione centralizzata e sicura all'interno della rete. Possono anche crittografare e comprimere i dati per facilitare l'esfiltrazione. Quindi, per distrarre il personale di sicurezza e deviare le risorse, possono inscenare un evento "white noise" come un attacco distributed denial-of-service (DDoS). A questo punto, sono in grado di trasferire i dati rubati su un server esterno senza essere rilevati.
I gruppi APT possono rimanere all'interno di una rete violata per un periodo di tempo prolungato o indefinito, in attesa di nuove opportunità per organizzare un attacco. Durante questo periodo, possono celare la loro presenza riscrivendo il codice per nascondere il malware e installando rootkit che consentono l'accesso a sistemi sensibili senza essere rilevati. In alcuni casi, potrebbero eliminare le prove dell’attacco e abbandonare completamente la rete dopo aver raggiunto i propri obiettivi.
Utilizzando e-mail di phishing distribuite su larga scala, e-mail di spear phishing altamente personalizzate o altre tattiche di manipolazione sociale, i gruppi APT convincono gli utenti a fare clic su link dannosi o a rivelare informazioni che consentono l'accesso a sistemi protetti.
Distribuendo uno shellcode dannoso che scansiona le reti alla ricerca di vulnerabilità software prive di patch, i gruppi APT sono in grado di sfruttare le aree di debolezza prima che gli amministratori IT possano reagire.
I gruppi APT possono prendere di mira i partner commerciali, tecnologici o fornitori di fiducia di un'organizzazione per ottenere un accesso non autorizzato attraverso supply chain di software o hardware condivise.
Grazie alla capacità di fornire accesso nascosto e backdoor a sistemi protetti, i rootkit sono uno strumento prezioso che aiuta i gruppi APT a nascondere e gestire operazioni remote.
Una volta che i gruppi APT entrano in una rete violata, stabiliscono una connessione ai propri server esterni per gestire in remoto l'attacco ed esfiltrare i dati sensibili.
I gruppi APT possono utilizzare una serie di altri strumenti per espandere e nascondere la propria presenza in una rete come worm, keylogging, bot, cracking di password, spyware e offuscamento del codice.
Noto per le sue e-mail di spear phishing straordinariamente convincenti e ben documentate, Helix Kitten opera presumibilmente sotto la supervisione del governo iraniano. Il gruppo prende di mira principalmente le aziende del Medio Oriente in settori quali quello aerospaziale, delle telecomunicazioni, dei servizi finanziari, dell'energia, della chimica e alberghiero. Gli analisti ritengono che questi attacchi abbiano lo scopo di favorire gli interessi economici, militari e politici dell'Iran.
Wicked Panda è un noto e prolifico gruppo APT con sede in Cina con presunti legami con il Ministero della Sicurezza di Stato e il Partito Comunista Cinese. Oltre a condurre attività di spionaggio informatico, i membri di questo gruppo sono noti anche per gli attacchi alle aziende a scopo di lucro. Si ritiene che siano responsabili dell'hacking delle supply chain del ramo sanitario, del furto di dati sensibili dalle aziende biotecnologiche e del furto dei pagamenti dell'assistenza sanitaria per il COVID-19 negli Stati Uniti.
Stuxnet è un worm informatico che è stato utilizzato per interrompere il programma nucleare iraniano prendendo di mira i sistemi di controllo di supervisione e acquisizione dati (SCADA). Sebbene oggi non sia più attivo, è stato considerato una minaccia molto efficace quando è stato scoperto nel 2010, che ha causato danni significativi alle sue vittime. Gli analisti ritengono che Stuxnet sia stato sviluppato in collaborazione dagli Stati Uniti e da Israele, anche se nessuna delle due nazioni ha ammesso apertamente la responsabilità.
Il Lazarus Group è un gruppo APT con sede in Corea del Nord ritenuto responsabile del furto di centinaia di milioni di dollari in valuta virtuale. Secondo il Dipartimento di Giustizia degli Stati Uniti, i crimini fanno parte di una strategia volta a minare la cybersecurity globale e a generare entrate per il governo nordcoreano. Nel 2023, l'FBI statunitense ha accusato il Lazarus Group di aver rubato 41 milioni di dollari in valuta virtuale da un casinò online.
Poiché gli attacchi APT sono progettati per imitare le normali operazioni di rete, possono essere difficili da rilevare. Gli esperti suggeriscono diverse domande che i team di sicurezza dovrebbero porsi se sospettano di essere stati presi di mira.
Gli attori delle minacce APT prendono di mira account utente di alto valore con accesso privilegiato a informazioni sensibili. Questi account possono registrare volumi insolitamente elevati di accessi durante un attacco. E poiché i gruppi APT operano spesso in fusi orari diversi, questi accessi possono avvenire a tarda notte. Le organizzazioni possono utilizzare strumenti come il rilevamento e la risposta degli endpoint (EDR) o l'analisi del comportamento degli utenti e delle entità (UEBA) per analizzare e identificare attività insolite o sospette sugli account utente.
La maggior parte degli ambienti IT è soggetta a trojan backdoor, ma possono diffondersi ulteriormente durante un attacco APT. I gruppi APT si affidano ai trojan backdoor come backup per rientrare nei sistemi compromessi dopo che sono stati violati.
Una deviazione significativa dalla normale attività di trasferimento dati può essere la spia di un attacco APT. Ciò potrebbe includere un brusco aumento delle operazioni di database e il trasferimento interno o esterno di enormi quantità di informazioni. Gli strumenti che monitorano e analizzano i log degli eventi da fonti di dati, come la gestione delle informazioni e degli eventi di sicurezza (SIEM) o il rilevamento e la risposta della rete (NDR), possono essere utili per segnalare questi incidenti.
I gruppi APT accumulano di solito grandi quantità di dati da una rete e spostano tali informazioni in una posizione centrale prima dell'esfiltrazione. Grandi pacchetti di dati in una posizione insolita, soprattutto se in un formato compresso, possono indicare un attacco APT.
Gli attacchi di spear phishing che prendono di mira un numero limitato di leader di alto livello sono una tattica comune tra i gruppi APT. Queste e-mail spesso contengono informazioni riservate e utilizzano formati di documenti come Microsoft Word o Adobe Acrobat PDF per lanciare software dannosi. Gli strumenti di monitoraggio dell'integrità dei file (FIM) possono aiutare le organizzazioni a rilevare se gli asset IT critici sono stati manomessi a causa di malware incorporati nelle e-mail di spear phishing.
Esistono misure di sicurezza che le organizzazioni possono adottare per mitigare il rischio che gli hacker APT ottengano l'accesso non autorizzato ai propri sistemi. Poiché i gruppi APT adattano continuamente nuovi metodi per ciascun vettore di attacco, gli esperti consigliano un approccio ampio che combina più soluzioni e strategie di sicurezza tra cui:
Scopri le informazioni utili per capire come gli autori delle minacce conducono attacchi e come proteggere in modo proattivo la tua organizzazione.
La gestione delle minacce è un processo utilizzato dai professionisti della cybersecurity per prevenire gli attacchi informatici, rilevare le minacce informatiche e rispondere a incidenti di sicurezza.
Gli attori delle minacce, noti anche come attori di minacce informatiche o malintenzionati, sono individui o gruppi che causano intenzionalmente danni a dispositivi o sistemi digitali.