Che cos’è un advanced persistent threat (APT)

Una minaccia persistente avanzata (APT) è un attacco informatico mirato e prolungato in cui un intruso ottiene l’accesso a una rete e rimane inosservato per un periodo di tempo prolungato. Gli attacchi APT vengono avviati per rubare i dati piuttosto che causare danni alla rete dell’organizzazione di destinazione.

Gli attacchi APT sono in genere rivolti a organizzazioni in settori come la difesa nazionale, la produzione e l’industria finanziaria, poiché tali società trattano informazioni di alto valore, tra cui proprietà intellettuale, piani militari e altri dati provenienti da governi e organizzazioni aziendali.

L’obiettivo della maggior parte degli attacchi APT è ottenere e mantenere un accesso continuo alla rete mirata piuttosto che entrare e uscire il più rapidamente possibile. Poiché per eseguire attacchi APT di solito sono necessari molti sforzi e risorse, gli hacker in genere prendono di mira obiettivi di alto valore, come gli Stati nazionali e le grandi aziende, con l’obiettivo finale di rubare informazioni per lungo tempo.

Per ottenere l’accesso, i gruppi APT utilizzano spesso metodi di attacco avanzati, inclusi exploit avanzati di vulnerabilità zero-day, nonché spear phishing e altre tecniche di ingegneria sociale altamente mirate. Per mantenere l’accesso alla rete mirata senza essere scoperti, gli autori delle minacce utilizzano metodi avanzati, inclusa la riscrittura continua di codice dannoso per evitare il rilevamento e altre sofisticate tecniche di evasione. Alcuni APT sono così complessi che richiedono amministratori a tempo pieno per mantenere i sistemi e il software compromessi nella rete di destinazione.

Sebbene gli attacchi APT possano essere difficili da identificare, l’atto di esportare dati da un’organizzazione può essere l’unico indizio che i difensori hanno che le loro reti sono sotto attacco. I professionisti della sicurezza informatica spesso si concentrano sul rilevamento di anomalie nei dati in uscita per vedere se la rete è stata l’obiettivo di un attacco APT.

Come funziona un attacco APT

Gli aggressori che eseguono APT in genere adottano il seguente approccio sequenziale per ottenere e mantenere l’accesso continuo a un bersaglio:
Normalmente, tramite e-mail di spear phishing o tramite una vulnerabilità dell’applicazione con l’intenzione di sfruttare qualsiasi accesso inserendo software dannoso nella destinazione.
Dopo aver ottenuto l’accesso al bersaglio, gli autori delle minacce usano il loro accesso per eseguire ulteriori ricognizioni. Iniziano a sfruttare il malware che hanno installato per creare reti di backdoor e tunnel che possono utilizzare per spostarsi inosservati. Gli APT possono utilizzare tecniche malware avanzate come la riscrittura del codice per coprire le proprie tracce.
Una volta all’interno della rete mirata, gli attori APT possono utilizzare metodi come il cracking delle password per ottenere diritti amministrativi. Questo, al fine di controllare una parte maggiore del sistema e ottenere livelli di accesso ancora più profondi.
Possono quindi spostarsi nella rete aziendale a piacimento. Inoltre, possono tentare di accedere ad altri server, nonché ad altre aree protette della rete.
A questo punto, gli hacker centralizzano, crittografano e comprimono i dati in modo che possano esportarli: raccolgono i dati e li trasferiscono al proprio sistema.
I criminali informatici possono ripetere questo processo per lunghi periodi di tempo finché non vengono rilevati, oppure possono creare una backdoor in modo da poter accedere nuovamente al sistema successivamente.
A differenza dei più comuni attacchi informatici, le minacce persistenti avanzate tendono a essere eseguite tramite metodi personalizzati per l’obiettivo, piuttosto che con strumenti più generali che possono essere più adatti a colpire un gran numero di vittime. Inoltre, gli APT vengono generalmente eseguiti su un arco di tempo molto più lungo, a differenza degli attacchi ordinari, che possono essere più ovvi e, quindi, più facili da contrastare.

Esempi di una minaccia persistente avanzata

La famiglia di malware Sykipot APT sfrutta i difetti di Adobe Reader e Acrobat. Gli hacker hanno utilizzato un attacco di spear phishing che includeva collegamenti e allegati dannosi contenenti exploit zero-day nelle e-mail mirate.
L’operazione di cyber-spionaggio GhostNet è stata scoperta nel 2009. Eseguiti dalla Cina, gli attacchi sono stati avviati tramite e-mail di spear phishing contenenti allegati dannosi. Gli attacchi hanno compromesso computer in più di 100 paesi.
Il worm Stuxnet utilizzato per attaccare il programma nucleare iraniano è stato rilevato dai ricercatori della sicurezza informatica nel 2010. È ancora considerato uno dei malware più sofisticati mai rilevati.
APT29, il gruppo di minacce persistenti avanzate russo noto anche come Cosy Bear, è stato collegato a una serie di attacchi, tra cui un attacco di spear phishing del 2015 al Pentagono, nonché gli attacchi del 2016 al Comitato nazionale democratico.
APT28, il gruppo russo di minacce persistenti avanzate noto anche come Fancy Bear, Pawn Storm, Sofacy Group e Sednit, è stato identificato dai ricercatori di Trend Micro nel 2014. APT28 è stato collegato ad attacchi contro obiettivi militari e governativi nell’Europa orientale, tra cui Ucraina e Georgia, nonché campagne contro le organizzazioni della NATO e gli appaltatori della difesa degli Stati Uniti.
APT34, un gruppo di minacce persistenti avanzate collegato all’Iran, è stato identificato nel 2017 dai ricercatori di FireEye, ma è attivo almeno dal 2014. Il gruppo di minacce ha preso di mira le aziende del Medio Oriente con attacchi contro finanziari, governativi, energetici, chimici e società di telecomunicazioni.
APT37, noto anche come Reaper, StarCruft e Group 123, è una minaccia persistente avanzata legata alla Corea del Nord che si ritiene abbia avuto origine intorno al 2012. APT37 è stato collegato ad attacchi di spear phishing sfruttando una vulnerabilità zero-day di Adobe Flash.
Gli hacker con sede in Cina hanno condotto la campagna Titan Rain contro obiettivi del governo degli Stati Uniti nel tentativo di rubare segreti di stato sensibili. Gli aggressori hanno preso di mira i dati militari e hanno lanciato attacchi APT ai sistemi di fascia alta delle agenzie governative, tra cui la NASA e l’FBI. Gli analisti della sicurezza hanno indicato l’Esercito popolare di liberazione cinese come fonte degli attacchi.

Un gruppo molto pericoloso è BlueNoroff, che si concentra sull’attacco a istituzioni finanziarie. Kaspersky ha scoperto una campagna attribuibile a BlueNoroff attiva sin dal 2017,  mirata non tanto a sottrarre informazioni quanto a monetizzare dalle azioni. MuddyWater è un APT scoperto nel 2017 che opera prevalentemente in Medio Oriente. Inizialmente questo gruppo concentrava la sua attenzione contro provider di telecomunicazioni in Iraq e Iran.

Negli ultimi mesi l’attività dei criminali informatici non è stata affatto sospesa. I threat actor continuano ad investire nel miglioramento dei loro toolset, nella diversificazione dei vettori di attacco e persino nel passaggio a nuovi obiettivi. Ad esempio, l’utilizzo di impianti mobili non è più una novità. Un altro trend che abbiamo osservato è stato il passaggio, di alcuni gruppi APT come BlueNoroff e Lazarus, verso attività che consentono un guadagno economico. Nonostante ciò, la geopolitica rappresenta ancora una delle principali motivazioni per molti threat actor” – spiega Vicente Diaz, security researcher, Global Research and Analysis Team di Kaspersky – “Tutti questi sviluppi non fanno altro che evidenziare l’importanza di investire in threat intelligence. I criminali informatici non si fermano e continuano a sviluppare nuovi TTP. Lo stesso dovrebbe valere per organizzazioni e i privati che intendono proteggersi“.

Caratteristiche delle minacce persistenti avanzate

Le minacce persistenti avanzate mostrano spesso determinate caratteristiche che riflettono l’alto grado e il coordinamento necessari per violare obiettivi di alto valore. Ad esempio, la maggior parte degli APT viene eseguita in più fasi, riflettendo la stessa sequenza di base per ottenere l’accesso, mantenere ed espandere l’accesso e tentare di non essere rilevati nella rete della vittima fino a quando gli obiettivi dell’attacco non sono stati raggiunti.

Le minacce persistenti avanzate si distinguono anche per la loro attenzione nello stabilire più punti di compromesso. Gli APT di solito tentano di stabilire più punti di accesso alle reti mirate, il che consente loro di mantenere l’accesso anche se l’attività dannosa viene scoperta e viene attivata la risposta agli incidenti, consentendo ai difensori della sicurezza informatica di chiudere una violazione.

Rilevamento di minacce persistenti avanzate

Le minacce persistenti avanzate presentano alcuni segnali di allarme nonostante in genere siano molto difficili da rilevare. Un’organizzazione può notare alcuni sintomi dopo essere stata presa di mira da un APT, tra cui:

Sostieni Assodigitale.it nella sua opera di divulgazione

Grazie per avere selezionato e letto questo articolo che ti offriamo per sempre gratuitamente, senza invasivi banner pubblicitari o imbarazzanti paywall e se ritieni che questo articolo per te abbia rappresentato un arricchimento personale e culturale puoi finanziare il nostro lavoro con un piccolo sostegno di 1 chf semplicemente CLICCANDO QUI.

  • attività insolita sugli account utente;
  • uso estensivo di malware backdoor Trojan horse, un metodo che consente agli APT di mantenere l’accesso;
  • attività di database strana o insolita, come un improvviso aumento delle operazioni di database che coinvolgono enormi quantità di dati; e
  • presenza di file di dati insoliti

Trendiest è la redazione di moda, stile, tendenza e Lifestyle che anticipa il racconto degli ultimi trend dei settori più glamour. Seleziona e propone le notizie più trendy ogni giorno dedicate ad un target giovane, esigente, colto e raffinato. La prima fonte completa e affidabile di breaking news targettizzate. Il primo a pubblicare in Europa “le trendy news” da USA e continente americano al sorgere del sole in Europa. Il primo a pubblicare “le trendy news” europee non appena si formano lungo la giornata. Sette giorni su sette, senza tregua. Trendiest è una testata registrata in Tribunale diretta da Paolo Brambilla, noto giornalista economico e finanziario e si sta sviluppando in alcune aree specifiche: Economia e Finanza, Fashion, Salute e Benessere, Fitness, Tecnologia, Cinema e Alta Cucina. Dispone di una redazione milanese ed internazionale sempre attenta alle novità che caratterizzano il mercato dell'eccellenza in tutte le sue forme e sfaccettature. Trendiest significa un prodotto editoriale di gran classe e sempre aggiornato con le nuove tendenze di mercato.

DIRETTORE EDITORIALE

PUBBLICITA’ – COMUNICATI STAMPA – PROVE PRODOTTI

Per acquistare pubblicità CLICCA QUI

Per inviarci comunicati stampa e per proporci prodotti da testare prodotti CLICCA QUI

#ASSODIGITALE.

PUBBLICITA’ COMUNICATI STAMPA

Per acquistare pubblicità potete richiedere una offerta personalizzata scrivendo al reparto pubblicitario.

Per pubblicare un comunicato stampa potete richiedere una offerta commerciale scrivendo alla redazione.

Per inviarci prodotti per una recensione giornalistica potete scrivere QUI

Per informazioni & contatti generali potete scrivere alla segreteria.

Tutti i contenuti pubblicati all’interno del sito #ASSODIGITALE. “Copyright 2024” non sono duplicabili e/o riproducibili in nessuna forma, ma possono essere citati inserendo un link diretto e previa comunicazione via mail.

FONTE UFFICIALE GOOGLE NEWS

#ASSODIGITALE. da oltre 20 anni rappresenta una affidabile fonte giornalistica accreditata e certificata da Google News per la qualità dei suoi contenuti.

#ASSODIGITALE. è una testata editoriale storica che dal 2004 ha la missione di raccontare come la tecnologia può essere utile per migliorare la vita quotidiana approfondendo le tematiche relative a: TECH & FINTECH + AI + CRYPTO + BLOCKCHAIN + METAVERSE & LIFESTYLE + IOT + AUTOMOTIVE + EV + SMART CITIES + GAMING + STARTUP.