APT, ossia Advanced Persistent Threats. Dietro la sigla APT si nasconde una delle insidie più significative per la cyber security mondiale. APT è l’acronimo di Advanced Persistent Threats e la loro pericolosità sta nel fatto che nessuna istituzione di qualunque livello è immune. Questo fenomeno interessa enti governativi e grandi aziende, vittime appunto di Minacce Persistenti Avanzate. Qualche esempio: l’APT Stuxnet ha messo fuori uso il programma nucleare iraniano; Deep Panda ha attaccato l’Office of Personnel Management del governo statunitense, compromettendo più di 4 milioni di record del personale degli Stati Uniti. APT34 ha preso di mira organizzazioni governative e società finanziarie, energetiche, chimiche e di telecomunicazioni in Medio Oriente.
L’elenco degli attacchi è lungo e in costante crescita, come il volume di spesa per difendersi: secondo Statista, il mercato globale riguardante gli strumenti di protezione avanzata dalle minacce persistenti in tutto il mondo raggiungerà nel 2024 un valore stimato di 10,6 miliardi di dollari all’anno. Rispetto al 2015, tale valore è decuplicato.
Negli ultimi anni, il numero di casi segnalati relativi alle APT è aumentato sensibilmente e il momento attuale, caratterizzato dalla pandemia da Covid-19 ha generato lo scenario giusto per il lancio di nuovi attacchi.
Cosa sono le APT – Advanced Persistent Threats
Le Advanced Persistent Threats rappresentano una minaccia persistente avanzata ovvero un attacco informatico complesso e selettivo che, mediante un accesso non autorizzato ai sistemi di informazione e comunicazione, è in grado di accedere a dati riservati o causare danni a un’azienda, un’industria o un’organizzazione governativa.
La NIST – National Institute of Standards and Technology definisce l’APT un avversario che possiede livelli sofisticati di competenza e risorse significative tali da permettergli di raggiungere i propri obiettivi utilizzando vettori di attacco sia informatici che fisici. Esso persegue i propri fini ripetutamente e per un periodo prolungato (da mesi ad anni addirittura), si adatta agli sforzi dei difensori per resistergli, ed è determinata a mantenere il livello di interazione necessario per eseguire i suoi compiti.
Il concetto di Advanced Persistent Threat è stato coniato nel 2006 dagli analisti della Air Force statunitense per facilitare la discussione riguardanti le attività intrusive con le loro controparti civili non autorizzate. In questo senso, le unità militari potevano discutere le caratteristiche dell’attacco senza rivelare identità classificate.
È composto da tre termini dietro cui c’è uno specifico significato:
- Avanzata: il nemico ha familiarità con gli strumenti e le tecniche di intrusione, in grado di sviluppare exploit personalizzati.
- Persistente: il nemico intende realizzare uno scopo, ricevere ordini e attaccare obiettivi specifici.
- Minaccia: il nemico è coordinato, supportato e motivato.
La durata nel tempo e la difficoltà di identificazione sono i due elementi peculiari e che lo caratterizzano rispetto ad altre cyberminacce. Per comprendere meglio: la maggior parte del malware esegue un attacco rapido e dannoso, mentre le minacce APT adottano un approccio diverso, più strategico e furtivo. Gli aggressori entrano attraverso malware tradizionali come Trojan o phishing, ma poi coprono le loro tracce mentre si spostano segretamente e piantano il loro software di attacco in tutta la rete.
Le Advanced Persistent Threats sono solitamente sostenute da nazioni o da organizzazioni molto grandi. Prendiamo a esempio Operation Aurora del 2009 che ha preso di mira Google e altre aziende statunitensi. Secondo quanto riportano varie fonti, ha avuto origine in Cina, ha utilizzato una falla del sistema per installare un trojan chiamato Hydraq. Nel gennaio 2010, Google ha rivelato l’attacco. Alcune delle vittime includevano Adobe Systems, Juniper Networks e Rackspace. Altre aziende che sono state attaccate, non hanno rivelato pubblicamente l’incidente.
Ci sono caratteristiche specifiche che indicano l’esistenza di un attacco APT. Questi segni includono: attori, obiettivi, tempistiche, risorse, metodi, origine e valore dell’attacco.
Partiamo dagli attori: di solito gli attacchi sono eseguiti da persone o gruppi che perseguono una missione specifica. Questi attori sono spesso sostenuti da stati nazionali o organizzazioni sostenute da corporazioni.
Per quanto riguarda, invece, gli obiettivi, essi sono finalizzati a minare le capacità dell’obiettivo o raccogliere informazioni per un periodo prolungato.
Veniamo alle tempistiche: gli attacchi si concentrano sulla garanzia che gli aggressori possano ottenere l’accesso e mantenerlo per un periodo di tempo significativo. Tra l’altro, gli aggressori tornano più volte a un sistema in cui si sono infiltrati.
Gli attacchi APT richiedono risorse significative per pianificare ed eseguire.
Sui metodi, le Advanced Persistent Threats spesso impiegano tecniche sofisticate che richiedono competenze di sicurezza elevate.
Se si considera l’origine dell’attacco, quelli APT possono provenire da una varietà di luoghi e possono verificarsi durante un attacco progettato per distrarre i team di sicurezza. Gli aggressori spesso si prendono il tempo per mappare in modo completo le debolezze di un sistema prima di scegliere un punto di ingresso. Infine, il valore dell’attacco può riferirsi alla dimensione dell’obiettivo o a quella delle operazioni di attacco. Le grandi organizzazioni sono spesso le vittime predilette delle APT più frequentemente di quelle piccole.
Le 7 fasi di un attacco APT
Il processo con cui vengono condotti i sofisticati attacchi informatici può essere descritto come un ciclo di vita che comprende varie fasi. A proposito di queste ultime ci sono differenti opinioni. Come riferimento si prende comunemente la struttura messa a punto dalla Mandiant Consulting (una società specializzata in sicurezza di reti informatiche).
1 – Ricognizione iniziale
È la prima fase, durante la quale il cyber aggressore conduce ricerche su un obiettivo, lo identifica e determina la sua metodologia di attacco. Scorre il web alla ricerca di potenziali indirizzi e-mail o account di social media (Facebook, Twitter o LinkedIn ecc.) Una volta reperite le informazioni di contatto ideali da prendere di mira con lo spear-phishing, l’aggressore esegue con successo il codice dannoso su uno o più sistemi.
2 – Compromissione iniziale
L’aggressore esegue con successo il codice dannoso su uno o più sistemi. Questo molto probabilmente avviene attraverso l’ingegneria sociale (più spesso spear phishing), sfruttando una vulnerabilità su un sistema rivolto a Internet, o con qualsiasi altro mezzo necessario.
3 – Stabilire un punto d’appoggio
L’aggressore si assicura di mantenere il controllo continuo su un sistema recentemente compromesso. Questo avviene immediatamente dopo la compromissione iniziale. In genere, stabilisce una base d’appoggio installando una backdoor (metodo per passare oltre la normale autenticazione in un sistema informatico o un crittosistema) o scaricando utility aggiuntive o malware sul sistema della vittima.
4 – Escalation dei privilegi
È la fase in cui il cyber attaccante ottiene un maggiore accesso ai sistemi e ai dati. Esso individua il mezzo per consegnare la minaccia al computer della vittima. Le tre forme di consegna più diffuse sono l’email, il sito web e una chiavetta USB. Ora si è evoluta anche la consegna nel cloud.
5 – Manipolazione (Ricognizione interna)
L’attaccante esplora l’ambiente della vittima per ottenere una migliore comprensione dell’organizzazione/società, individuando risorse e persone chiave, e per determinare dove un’organizzazione memorizza le informazioni di interesse.
È la fase in cui l’intruso attiva l’esecuzione della minaccia. Per esempio, nella consegna delle e-mail, gli allegati come PDF o documenti Word sono abbastanza comuni. Quindi l’intruso sfrutta le vulnerabilità in questi file per innescare l’esecuzione di codice dannoso.
6 – Implementazione (Movimento laterale)
Con movimento laterale si identifica l’approccio utilizzato dagli aggressori per attraversare sistematicamente una rete per accedere o danneggiare beni o dati di valore. Per riuscirci utilizza strumenti e metodologie per ottenere accesso e privilegi, che gli permettono di muoversi lateralmente tra le applicazioni e i dispositivi in una rete per isolare gli obiettivi, mappare il sistema e infine arrivare agli obiettivi di alto valore.
Il cyber criminale ottiene un facile accesso al sistema della vittima mirata distribuendo un Trojan dannoso. Così impiega il suo accesso per spostarsi da un sistema all’altro all’interno dell’ambiente compromesso.
7 – Mantenimento della presenza (Controllo)
Questa fase è caratterizzata dalla possibilità del cyber intruso di garantire un controllo sui canali di accesso e sulle credenziali acquisite nelle fasi precedenti. assicura un accesso continuo all’ambiente. I metodi comuni per mantenere una presenza includono l’installazione di più varianti di backdoor malware o l’accesso fraudolento a servizi di accesso remoto come la Virtual Private Network, la rete privata aziendale.
Così l’aggressore completa la missione e realizza il proprio obiettivo. Spesso questo significa rubare proprietà intellettuale, dati finanziari, informazioni su fusioni e acquisizioni o informazioni di identificazione personale. Una volta che la missione è stata completata, la maggior parte degli attaccanti mirati non lascia l’ambiente, ma mantiene l’accesso nel caso di una nuova operazione.
Come proteggersi dalle APT, Advanced Persistent Threats
Le APT sono minacce complesse e che vanno affrontate con altrettanta strategia e competenza. Serve prima di tutto una visione ad ampio spettro che consideri tutte le parti dell’organizzazione prima ancora che gli strumenti necessari per combattere ed eliminare la minaccia.
Tanto quanto le minacce sono avanzate e persistenti, serve una strategia di difesa approfondita, finalizzata a monitorare costantemente le reti e i controlli di sicurezza. Serve un approccio interdisciplinare, che faccia riferimento ai criteri della difesa multilivello.
Per scoprire eventi sospetti servono strumenti proattivi e in tempo reale come ad esempio il monitoraggio dei processi, delle operazioni di file e login, le informazioni di threat intelligence che possono aiutare a riconoscere i modelli tipici e gli indirizzi internet dei cyber attacchi.
Uno dei punti saldi per affrontare le minacce avanzate e persistenti è il Vulnerability Assessment. Si tratta di un’analisi di sicurezza il cui obiettivo è identificare tutti le vulnerabilità dei sistemi e delle applicazioni. Lo fa valutando il danno potenziale che l’eventuale “attaccante” può infliggere all’unità produttiva attraverso strumenti altamente automatizzati in una prima fase, per poi avvalersi delle competenze di un personale altamente qualificato che, in un secondo momento, integra e verifica i risultati attraverso una meticolosa attività manuale.
Nell’affrontare e risolvere problemi di cybersecurity come le APT e rilevarle oggi risulta preziosa l’Intelligenza artificiale, in particolare il Machine Learning.
Alcuni dei metodi e delle tecniche che i ricercatori hanno utilizzato sono direttamente legati al ML. Le misure di prevenzione richiedono una maggiore capacità di analisi e risposta nel più breve tempo possibile, a causa del grande volume di dati e della rapida evoluzione delle minacce attuali. Per questo motivo, sono stati creati strumenti automatizzati per assistere gli amministratori della sicurezza informatica. Le tecniche di Machine Learning sono uno strumento utile nel campo della sicurezza informatica. Per esempio, i modelli del comportamento del traffico di rete possono essere creati per rilevare attività anomale, ridurre il numero di falsi positivi sugli allarmi e accertare le minacce in tempo reale. Tuttavia, l’apprendimento automatico può essere usato per creare attacchi, per esempio, sull’invio di e-mail fraudolente o sul software di cracking delle password.
Le applicazioni di ML nella cybersecurity entrano in gioco in tre determinate operazioni: rilevamento, protezione e previsione. Nel primo caso si intendono quegli strumenti che permettono il rilevamento di comportamenti anomali per generare avvisi in tempo reale e per facilitare il processo decisionale. Per quanto riguarda la protezione: le applicazioni di ML sono in grado di rilevare le vulnerabilità per installare automaticamente le correzioni di sicurezza.
Ci sono poi tecniche e algoritmi dedicati alla previsione di gli attacchi e sviluppare tecniche anti-malware.
