Che cos’è un advanced persistent threat (APT)
Una minaccia persistente avanzata (APT) è un attacco informatico mirato e prolungato in cui un intruso ottiene l’accesso a una rete e rimane inosservato per un periodo di tempo prolungato. Gli attacchi APT vengono avviati per rubare i dati piuttosto che causare danni alla rete dell’organizzazione di destinazione.
Gli attacchi APT sono in genere rivolti a organizzazioni in settori come la difesa nazionale, la produzione e l’industria finanziaria, poiché tali società trattano informazioni di alto valore, tra cui proprietà intellettuale, piani militari e altri dati provenienti da governi e organizzazioni aziendali.
L’obiettivo della maggior parte degli attacchi APT è ottenere e mantenere un accesso continuo alla rete mirata piuttosto che entrare e uscire il più rapidamente possibile. Poiché per eseguire attacchi APT di solito sono necessari molti sforzi e risorse, gli hacker in genere prendono di mira obiettivi di alto valore, come gli Stati nazionali e le grandi aziende, con l’obiettivo finale di rubare informazioni per lungo tempo.
Per ottenere l’accesso, i gruppi APT utilizzano spesso metodi di attacco avanzati, inclusi exploit avanzati di vulnerabilità zero-day, nonché spear phishing e altre tecniche di ingegneria sociale altamente mirate. Per mantenere l’accesso alla rete mirata senza essere scoperti, gli autori delle minacce utilizzano metodi avanzati, inclusa la riscrittura continua di codice dannoso per evitare il rilevamento e altre sofisticate tecniche di evasione. Alcuni APT sono così complessi che richiedono amministratori a tempo pieno per mantenere i sistemi e il software compromessi nella rete di destinazione.
Sebbene gli attacchi APT possano essere difficili da identificare, l’atto di esportare dati da un’organizzazione può essere l’unico indizio che i difensori hanno che le loro reti sono sotto attacco. I professionisti della sicurezza informatica spesso si concentrano sul rilevamento di anomalie nei dati in uscita per vedere se la rete è stata l’obiettivo di un attacco APT.
Come funziona un attacco APT
Gli aggressori che eseguono APT in genere adottano il seguente approccio sequenziale per ottenere e mantenere l’accesso continuo a un bersaglio:
Normalmente, tramite e-mail di spear phishing o tramite una vulnerabilità dell’applicazione con l’intenzione di sfruttare qualsiasi accesso inserendo software dannoso nella destinazione.
Dopo aver ottenuto l’accesso al bersaglio, gli autori delle minacce usano il loro accesso per eseguire ulteriori ricognizioni. Iniziano a sfruttare il malware che hanno installato per creare reti di backdoor e tunnel che possono utilizzare per spostarsi inosservati. Gli APT possono utilizzare tecniche malware avanzate come la riscrittura del codice per coprire le proprie tracce.
Una volta all’interno della rete mirata, gli attori APT possono utilizzare metodi come il cracking delle password per ottenere diritti amministrativi. Questo, al fine di controllare una parte maggiore del sistema e ottenere livelli di accesso ancora più profondi.
Possono quindi spostarsi nella rete aziendale a piacimento. Inoltre, possono tentare di accedere ad altri server, nonché ad altre aree protette della rete.
A questo punto, gli hacker centralizzano, crittografano e comprimono i dati in modo che possano esportarli: raccolgono i dati e li trasferiscono al proprio sistema.
I criminali informatici possono ripetere questo processo per lunghi periodi di tempo finché non vengono rilevati, oppure possono creare una backdoor in modo da poter accedere nuovamente al sistema successivamente.
A differenza dei più comuni attacchi informatici, le minacce persistenti avanzate tendono a essere eseguite tramite metodi personalizzati per l’obiettivo, piuttosto che con strumenti più generali che possono essere più adatti a colpire un gran numero di vittime. Inoltre, gli APT vengono generalmente eseguiti su un arco di tempo molto più lungo, a differenza degli attacchi ordinari, che possono essere più ovvi e, quindi, più facili da contrastare.
Esempi di una minaccia persistente avanzata
La famiglia di malware Sykipot APT sfrutta i difetti di Adobe Reader e Acrobat. Gli hacker hanno utilizzato un attacco di spear phishing che includeva collegamenti e allegati dannosi contenenti exploit zero-day nelle e-mail mirate.
L’operazione di cyber-spionaggio GhostNet è stata scoperta nel 2009. Eseguiti dalla Cina, gli attacchi sono stati avviati tramite e-mail di spear phishing contenenti allegati dannosi. Gli attacchi hanno compromesso computer in più di 100 paesi.
Il worm Stuxnet utilizzato per attaccare il programma nucleare iraniano è stato rilevato dai ricercatori della sicurezza informatica nel 2010. È ancora considerato uno dei malware più sofisticati mai rilevati.
APT29, il gruppo di minacce persistenti avanzate russo noto anche come Cosy Bear, è stato collegato a una serie di attacchi, tra cui un attacco di spear phishing del 2015 al Pentagono, nonché gli attacchi del 2016 al Comitato nazionale democratico.
APT28, il gruppo russo di minacce persistenti avanzate noto anche come Fancy Bear, Pawn Storm, Sofacy Group e Sednit, è stato identificato dai ricercatori di Trend Micro nel 2014. APT28 è stato collegato ad attacchi contro obiettivi militari e governativi nell’Europa orientale, tra cui Ucraina e Georgia, nonché campagne contro le organizzazioni della NATO e gli appaltatori della difesa degli Stati Uniti.
APT34, un gruppo di minacce persistenti avanzate collegato all’Iran, è stato identificato nel 2017 dai ricercatori di FireEye, ma è attivo almeno dal 2014. Il gruppo di minacce ha preso di mira le aziende del Medio Oriente con attacchi contro finanziari, governativi, energetici, chimici e società di telecomunicazioni.
APT37, noto anche come Reaper, StarCruft e Group 123, è una minaccia persistente avanzata legata alla Corea del Nord che si ritiene abbia avuto origine intorno al 2012. APT37 è stato collegato ad attacchi di spear phishing sfruttando una vulnerabilità zero-day di Adobe Flash.
Gli hacker con sede in Cina hanno condotto la campagna Titan Rain contro obiettivi del governo degli Stati Uniti nel tentativo di rubare segreti di stato sensibili. Gli aggressori hanno preso di mira i dati militari e hanno lanciato attacchi APT ai sistemi di fascia alta delle agenzie governative, tra cui la NASA e l’FBI. Gli analisti della sicurezza hanno indicato l’Esercito popolare di liberazione cinese come fonte degli attacchi.
Un gruppo molto pericoloso è BlueNoroff, che si concentra sull’attacco a istituzioni finanziarie. Kaspersky ha scoperto una campagna attribuibile a BlueNoroff attiva sin dal 2017, mirata non tanto a sottrarre informazioni quanto a monetizzare dalle azioni. MuddyWater è un APT scoperto nel 2017 che opera prevalentemente in Medio Oriente. Inizialmente questo gruppo concentrava la sua attenzione contro provider di telecomunicazioni in Iraq e Iran.
“Negli ultimi mesi l’attività dei criminali informatici non è stata affatto sospesa. I threat actor continuano ad investire nel miglioramento dei loro toolset, nella diversificazione dei vettori di attacco e persino nel passaggio a nuovi obiettivi. Ad esempio, l’utilizzo di impianti mobili non è più una novità. Un altro trend che abbiamo osservato è stato il passaggio, di alcuni gruppi APT come BlueNoroff e Lazarus, verso attività che consentono un guadagno economico. Nonostante ciò, la geopolitica rappresenta ancora una delle principali motivazioni per molti threat actor” – spiega Vicente Diaz, security researcher, Global Research and Analysis Team di Kaspersky – “Tutti questi sviluppi non fanno altro che evidenziare l’importanza di investire in threat intelligence. I criminali informatici non si fermano e continuano a sviluppare nuovi TTP. Lo stesso dovrebbe valere per organizzazioni e i privati che intendono proteggersi“.
Caratteristiche delle minacce persistenti avanzate
Le minacce persistenti avanzate mostrano spesso determinate caratteristiche che riflettono l’alto grado e il coordinamento necessari per violare obiettivi di alto valore. Ad esempio, la maggior parte degli APT viene eseguita in più fasi, riflettendo la stessa sequenza di base per ottenere l’accesso, mantenere ed espandere l’accesso e tentare di non essere rilevati nella rete della vittima fino a quando gli obiettivi dell’attacco non sono stati raggiunti.
Le minacce persistenti avanzate si distinguono anche per la loro attenzione nello stabilire più punti di compromesso. Gli APT di solito tentano di stabilire più punti di accesso alle reti mirate, il che consente loro di mantenere l’accesso anche se l’attività dannosa viene scoperta e viene attivata la risposta agli incidenti, consentendo ai difensori della sicurezza informatica di chiudere una violazione.
Rilevamento di minacce persistenti avanzate
Le minacce persistenti avanzate presentano alcuni segnali di allarme nonostante in genere siano molto difficili da rilevare. Un’organizzazione può notare alcuni sintomi dopo essere stata presa di mira da un APT, tra cui:
- attività insolita sugli account utente;
- uso estensivo di malware backdoor Trojan horse, un metodo che consente agli APT di mantenere l’accesso;
- attività di database strana o insolita, come un improvviso aumento delle operazioni di database che coinvolgono enormi quantità di dati; e
- presenza di file di dati insoliti