advanced-persistent-threat
SICUREZZA INFORMATICA

APT: cosa ci insegna il caso WhatsApp?

Ha fatto il giro del mondo la notizia della recente scoperta della presenza di un potente virus spyware all’intero dell’applicazione di messaggistica istantanea più popolare del mondo. Il software maligno, a quanto sembra, si intrufola nei device vittima attraverso una semplice telefonata anonima ed ha alcune caratteristiche chiave: invisibile, difficilmente rintracciabile dalle misure di sicurezza interne del device e in grado di operare per lunghi periodi di tempo sottraendo informazioni e dati sensibili.

È uno scenario da incubo per coloro i quali sono caduti vittime di questo attacco, ma cosa rende così sconvolgente questa violazione e soprattutto dove abbiamo già incontrato i sintomi di questa infezione. Facendo un passo indietro possiamo riconoscere come l’attacco a WhatsApp si avvicini molto ad all’Advanced persistent threat (APT), uno dei più pericolosi tipi di Cyberattacco al giorno d’oggi.

Una minaccia reale e silenziosa

L’APT è un tipo di Cyberattacco di lungo periodo. Considerato da molti la più grave minaccia in ambito sicurezza informatica, i suoi riscontri sono in aumento.

Attacchi di questo genere sono pericolosi perché, in primo luogo, vengono portati avanti da gruppi di Criminal hacker sponsorizzati – in via ufficiosa – da stati o gruppi industriali in cerca di informazioni e segreti, quindi in grado di usufruire della totale immunità.

L’assalto ha due fondamentali caratteristiche: un lungo periodo di studio del sistema bersaglio – per individuarne le vulnerabilità – e una bassissima rivelabilità da parte dei sistemi di sicurezza (ricorda qualcosa?). Per sfruttare al massimo le criticità individuate i Criminal hacker utilizzano malware (come gli Spyware che hanno colpito WhatsApp) tailor-made sul sistema bersaglio così da mantenere al minimo la loro rilevabilità.

Chi porta avanti queste attività, come accennato, non è il piccolo hacker disorganizzato che invia banali email di phishing, ma vere e proprie “superstar” del mondo hacker. I gruppi più attivi giungono dal Sud-est asiatico, in particolare dalla Corea e dalla Cina. Nomi come Lazarus, Group123, Reaper e LuckyMouse sono la rovina di banche e isituzioni finanziarie, governi e società in tutto il mondo.

Il primo approccio

Il goal dell’attacco APT è semplice: ottenere l’accesso a informazioni confidenziali, installare codice distructive o piantare backdoor nascosti che permettono di entrare e uscire dal network bersaglio a loro piacimento. Se la maggior parte utilizza codici personalizzati, come detto, per portare a termine la maggior parte del lavoro, spesso il primo tentativo di ingresso avviene sfruttando vulnerabilità più comuni come CWE o Phishing email, così da non destare sospetti se individuati.

La difficoltà in fase d’individuazione è quindi una delle insidiosità più critiche dell’APT.

Riconoscere l’inizio di un attacco APT

Partendo dall’assunto che gli hacker APT utilizzano tecniche diverse dalle loro controparti più “mondane”, è anche vero lasciano dietro anche “tracce” diverse. Usando le case history di svariati APT provenienti da attori differenti è stato possibile isolare alcuni segnali che potrebbero suggerire l’inizio di una campagna di attacco.

Un consiglio però: ognuno degli esempi elencati, presi singolarmente, potrebbero solo essere regolare attività interna. I KPI di un APT sono legati a tempi e volumi dell’attività che ci ha fatto insospettire più che alla tipologia stessa di questa.

Alcuni esempi:

  • Trojan backdoor: Gli hacker spesso infettano con dei Trojan i computer dell’ambiente bersaglio. Lo fanno per assicurarsi di poter sempre rientrare, anche se le credenziali di accesso precedentemente sottratte vengono cambiate. Una volta scoperti, gli hacker APT non se ne vanno come i normali aggressori, una delle caratteristiche che li rende particolarmente temuti. I Trojan oramai sono distribuiti attraverso metodi come il social engineering, una strada molto semplice per ottenere un primo caposaldo nell’azienda bersaglio;

 

  • Aumento dei log-on a tarda notte: Gli APT passano rapidamente da un computer all’altro in poche ore. Lo fanno leggendo un database di autenticazione, rubando le credenziali e riutilizzandole, imparano quali account hanno privilegi e permessi elevati, quindi passano attraverso questi account per compromettere le risorse all’interno dell’ambiente. Spesso, un alto volume di accessi elevati si verifica di notte perché gli aggressori vivono dall’altra parte del mondo. Se all’improvviso si nota un elevato volume di connessioni elevate su più server o su singoli computer di alto valore mentre il personale di lavoro legittimo è a casa, iniziare a preoccuparsi;

 

  • Flussi e pacchetti di informazioni inattesi: Fate attenzione nel caso in cui comincino ad apparire grandi flussi inaspettati di dati da punti di origine interna e diretti ad altri computer interni o esterni. Potrebbe trattarsi di scambi da server a server, da server a client o da rete a rete. Naturalmente, per rilevare un possibile APT, è necessario capire come si comportano i flussi interni di dati prima che il vostro ambiente sia compromesso. Iniziate subito e imparate a conoscere e riconoscere le caratteristiche dei vostri sistemi, solo così sarete in grado di accorgervi in fretta di irregolarità nei flussi. Bisogna anche fare attenzione a grandi (gigabyte, non megabyte) pezzi di dati che appaiono in luoghi dove non dovrebbero essere, specialmente se compressi in formati di archivio non utilizzati di norma dalla vostra azienda. Questo è un segnale inequivocabile di un tentativo di estrusione di dati sensibili verso l’esterno;

 

  • Campagne di spear phishing mirate: Senza dubbio questo è uno dei migliori indicatori di un primo tentativo di ottenere un punto d’ingresso. È stato appurato infatti che questo sia uno dei metodi preferiti dagli APT Hacker di stabilire una testa di ponte: attenzione, queste campagne hanno sovente un target fortemente mirato e non è raro che queste siano indirizzate ai quadri dell’azienda, possessori di credenziali più alte.

Servono competenze specifiche, non solo strumenti

Non bisogna fraintendere quanto detto fino a ora, anche se riconosciuto in tempo, se l’attacco APT è indirizzato verso un sistema complesso (si pensi ad un network aziendale con un grande numero di device) ed è già in corso ripulire i propri sistemi dall’intrusione può essere uno dei compiti più ardui da eseguire in ambito di Cybersecurity.

Non è comunque uno scenario senza speranza: con i giusti accorgimenti anche gli APT possono essere sconfitti. Ma non si tratta unicamente di tecnologie, dobbiamo evolvere non solo tatticamente nel modo in cui rispondiamo, ma anche strategicamente, soprattutto nel mondo del business.

La Cybersecurity deve imprimere una svolta in senso creativo. La difesa non può basarsi solo sull’automazione delle risposte, ma deve passare anche dalla professionalità e dall’abilità degli esperti nell’analizzare comportamenti e flussi anomali.

E non dobbiamo fermarci qui, oltre alle skill degli esperti di sicurezza che garantiscono la salvaguardia aziendale, è tempo che le lezioni derivanti dalle best practice di Cybersecurity vengano adottate da tutte le figure che operano nella società.

Approntare una solida difesa

Queste sono le misure più efficaci per prevenire gli attacchi APT:

  • Formare un network collaborativo tra i player della sicurezza: La condivisione di informazioni è uno dei punti di forza dei Criminal hacker. La stessa sinergia non è riscontrabile nel mondo delle aziende, per questo motivo c’è bisogno di un cambio di paradigma: per sconfiggere gli hacker a volte dobbiamo adottare anche le loro misure… trattenere informazioni potenzialmente cruciali per un’altra organizzazione nel lungo periodo rischia di avere effetti catastrofici su tutto il sistema economico e finire per danneggiare anche la società stessa che ha deciso non rendere pubbliche le sue scoperte;

 

  • Riconoscere la “kill chain”: gli APT operano per step: ricognizione, creazione del malware tailor made, consegna, exploit, installazione, command&control e azione. Fortunatamente, anche se flebile, gli aggressori lasciano una scia di “briciole di pane” a ogni passo che può portare direttamente al sistema infetto e permettere di intervenire;

 

  • Fare attenzione ai segnali: Nessuna organizzazione può fermare ogni attacco, così il team IT ha necessità di sapere come cercare i sintomi, le “briciole”. Gli APT spesso personalizzano i loro strumenti in base alle proprie esigenze e utilizzano anche una varietà di programmi comuni come applicazioni desktop remote, proxy o tunnel criptati per comunicare. L’uso insolito di queste e di altre applicazioni può essere la chiave per trovare un vero APT. Questo, naturalmente, richiede che l’IT abbia una base di riferimento molto solida di ciò che non è conforme nelle loro reti;

 

  • Testare periodicamente i propri sistemi: Testare, testare, testare…è uno dei metodi più utili per rilevare incongruenze e vulnerabilità del proprio sistema. In questo senso non c’è metodo migliore che affidarsi a un’azienda di Cybersecurity come Swascan per effettuare periodiche analisi.

I vantaggi di testare periodicamente

Ma quali tool e servizi sono più utili per blindare i propri network?

Penetration Test: questo esamina i punti deboli relativi ad una infrastruttura IT aziendale e, dopo averli scoperti, prova ad exploitarli in maniera sicura e controllata. Le vulnerabilità che sono oggetto d’esame da parte delle attività di Penetration Testing possono essere presenti nel software stesso in questi punti d’accesso:

  • Flaws non intenzionali nel design del codice del software;
  • Utilizzando il software in un modo per cui non è stato progettato;
  • La non corretta implementazione della gestione della configurazione del software;
  • Backdoor (porte sul retro) nel sistema operativo.

Le attività di Penetration Testing possono essere condotte sia attraverso processi automatici che manuali. Solitamente, il target di questa attività è focalizzato sui seguenti endpoint:

  • Network endpoint;
  • Dispositivi Mobile e Wireless;
  • Network Security Device;
  • Server;
  • Altre aree esposte come il codice che sta dietro alle applicazioni.

Lo scopo di un Penetration Test è quello di andare il più a fondo possibile nell’infrastruttura IT aziendale per arrivare agli asset elettronici di una azienda. L’obiettivo non è quello di colpire duramente il bersaglio al primo tentativo, ma è quelli di colpire anche più duramente nei tentativi seguenti così da esplorare tutti i possibili scenari a cui possono essere soggette le aziende.

Phishing Simulation Attack: Il phishing, di fatto, non si limita al mero invio di un’e-mail contenente link o allegati malevoli. Il livello di sofisticazione di questi attacchi ha raggiunto un’elevatissima complessità, destinata solo ad aumentare nel prossimo futuro.

Le soluzioni di Phishing Simulation Attack permettono alle aziende di contrastare questo fenomeno attraverso un test dell’Human factor e garantendo anche una efficace attività di training e awareness.

Il servzio adotta lo stesso modello di un attacco standard (di fatto simulandolo) permettendo di misurare il livello di esposizione al rischio phishing aziendale e al contempo effettua una attività di formazione e awareness efficace dei dipendenti. È riduttivo sottolinearlo, ma anche le misure più efficaci di Cyber difesa si possono rivelare inutili se in azienda le persone continuano a cadere vittima di questi inganni.

Network Scan: Si tratta di uno scan specifico e dettagliato che analizza l’IP di un network in modo da identificare le sue vulnerabilità e i suoi punti deboli. Questo strumento può essere usato da chiunque, che sia una multinazionale con centinaia e centinaia di computer o che sia una piccola compagnia con un network di soli pochi dispositivi.

Questa procedura è molto semplice, si tratta di un’analisi di tutti gli IP pubblici che un IP arbitrario ci assegna. Avrai la necessità di effettuare una scansione di ogni singolo IP pubblico, se possibile, provando ogni indirizzo di network pubblici su ogni porta TCP e UDP. Ci potrebbe volere un po’ di tempo, ma è assolutamente raccomandato per assicurarsi la massima resilience anche in quest’area.

Vulnerability Assessment: un’analisi di sicurezza che ha l’obiettivo di identificare tutti le vulnerabilità potenziali dei sistemi e delle applicazioni. Come? Spottando e valutando il danno potenziale che l’eventuale “attaccante” può infliggere all’unità produttiva attraverso tools altamente automatizzati in una prima fase, per poi avvalersi delle competenze di un personale altamente qualificato che, in un secondo momento, integra e verifica i risultati attraverso una meticolosa attività manuale. Queste attività hanno lo scopo di rifinire la ricerca evidenziando eventuali errori commessi durante il processo.

Uno degli aspetti chiave di questa tipologia di analisi è l’isolamento tempestivo delle vulnerabilità reali. Uno strumento di Vulnerability Assessment permette all’utente di avere un’overview aggiornata del livello di sicurezza degli asset IT. In breve, il VA è il primo mattone per costruire un Framework di sicurezza aggiornato ed in grado di resistere anche agli attacchi più violenti.

 

Riccardo Paglia,

Team Swascan

Contenuti sponsorizzati