Advanced Persistent Threats (APT)

Cyber attacchi maligni: passano inosservati in media per 200 giorni

L’alta concentrazione di organizzazioni e aziende internazionali fanno della Svizzera un paese ad alto rischio di cyber operazioni, come riporta MELANI nel suo Rapporto semestrale sulla sicurezza. Rientrano in questo scenario anche gli Advanced Persistent Threats. Cyrill Peter spiega come funzionano questi attacchi e come le aziende possono proteggersi.

Ann-Kristin Koch, 17. Agosto 2017

Le reti dell’Agenzia Mondiale Antidoping (AMA) e del Tribunale Arbitrale dello Sport di Losanna (TAS) hanno subito lo scorso anno un attacco informatico. Gli esperti ipotizzarono che il gruppo di hacker Anonymous Polen avesse preso di mira il Tribunale dopo l’esclusione di atleti russi per doping. Le esatte circostanze e il ruolo svolto nella vicenda dal gruppo di hacker non sono ancora interamente chiariti. Gli esperti di sicurezza informatica definiscono Advanced Persistent Threats (APT) questi attacchi silenziosi e ben orchestrati e includono spesso nella stessa categoria anche gli attacchi hacker supportati da governi stranieri. “Fancy Bear” era il nome del gruppo che divulgò numerosi dati sugli atleti in tutto il mondo, provenienti presumibilmente dai database di AMA.

Un nome all’apparenza grazioso, ma che nasconde metodi di attacco spietati. Negli anni passati è stato dimostrato che gli Advanced Persistent Threats (APT) sono armi informatiche efficienti. Gli attacchi APT vengono preparati con cura dagli hacker e nella maggior parte dei casi necessitano di un notevole dispendio di mezzi e costi. In tal senso l’obiettivo deve essere “appetibile”: proprietà intellettuale, informazioni sensibili o guadagni commerciali diretti.

La minaccia APT arriva in punta di piedi

Gli Advanced Persistent Threats sono una combinazione di diversi metodi utilizzati per sferrare attacchi mirati alle aziende. La gamma va dagli exploit disponibili, allo sfruttamento di vulnerabilità di sistema, fino a malware sviluppati appositamente per colpire una determinata azienda. Vengono colpiti soprattutto i sistemi degli utenti mobili, come notebook e smartphone. Gli attacchi vengono effettuati in maniera mirata verso questi apparecchi terminali, che instaurano ripetute connessioni alla rete aziendale per utilizzare risorse quali la mail o i file server. Il brutto è che in media passano circa 200 giorni prima che l’impresa si accorga della compromissione dei dati. Infatti oggi gli attacchi informatici ben riusciti non fanno più “rumore”, ma sono “silenziosi” e quindi non vengono notati - per la gioia degli hacker.

Come tutelarsi?

Le installazioni attuali sono dotate per la maggior parte di un gran numero di sistemi di sicurezza, come firewall, Intrusion Detection e scansioni anti-virus. Le infrastrutture per la sicurezza rappresentano una componente importante e devono essere coordinate per funzionare a catena in modo intelligente, ma non sono sufficienti a riconoscere o bloccare gli APT. I sistemi classici riconoscono attacchi già noti effettuati da sistemi già noti mediante le firme, cioè in base a modelli già conosciuti. Gli attacchi zero-day, la comunicazione con reti non protette, i botnet e i servizi internet non si lasciano riconoscere altrettanto facilmente. Per identificarli, è necessaria una Threat Intelligence dedicata e supportata a livello locale. È una fonte importante di soluzioni di Security Analytics e Detection, in grado di identificare attacchi o sistemi infetti utilizzando meccanismi diversi come l’analisi dei dati log, la correlazione e l’analisi dei comportamenti. Oltre a ciò è molto importante avere collaboratori con un’ottima formazione nella Security, che sappiano interpretare correttamente e in fretta le informazioni, agire di conseguenza e all’occorrenza, possano coinvolgere specialisti di altre discipline IT.

Advanced Persistent Threats

APT significa Advanced Persistent Threat. La minaccia APT dirige il suo attacco verso una vittima precisa o comunque verso un numero molto limitato di vittime. Gli strumenti utilizzati sono ingegnosi: gli attacchi APT dispiegano un arsenale completo di tecniche e tattiche, analizzano l’obiettivo nei dettagli e ottimizzano le strategie offensive. Gli attacchi sono tenaci: per un ATP il primo computer infetto è il trampolino di lancio per la rete locale. Una volta messo piede nel sistema, l’aggressore conquista gradualmente ulteriori diritti di utilizzo e si introduce in altri computer della rete locale, continuando così finché non raggiunge il suo vero obiettivo, cioè un pc contenente dati di ricerche e sviluppo. È qui che l’aggressore si annida e comincia a spiare la propria vittima, restando spesso inosservato per lungo tempo.

Pensare come un hacker

Nei reparti Security si sta delineando una figura chiave. Se finora avete mantenuto costantemente aggiornati i sistemi di sicurezza, ora dovrete cercare di mettervi sempre più nei panni dei pirati informatici. Questo significa che è necessario pensare come un hacker, in modo da essere sempre un passo avanti a loro. Chi non possiede tali risorse, può ricorrere all’assistenza professionale di Security Service Provider specializzati che dispongono non soltanto di strumenti adeguati, ma soprattutto di esperti in grado di monitorare i sistemi 24 ore su 24, interpretare i security event in modo efficiente e capaci di adottare misure per la pulizia di security incident.