Uno spyware che si intrufola nel cellulare grazie a una chiamata anonima e rimane dormiente, sottraendo informazioni e dati sensibili senza che nessuno se ne accorga… E’ ancora fresca la notizia della violazione che ha usato come tramite WhatsApp, il software di messaggistica istantanea più popolare al mondo, per infettare migliaia di device.

Lo spyware Pegasus, cavalcando i varchi lasciati aperti da una vulnerabilità non risolta (Cve-2019-3568), ha creato uno scenario da incubo per tutte le vittime di questo attacco. Ma cosa rende così pericolosa questa violazione?

Analizzando rapidamente i “sintomi” riconosciamo come questo attacco ricalchi fedelmente un Advanced Persistent Threat (Apt).

Dannoso e difficile da tracciare

L’Apt è un tipo di cyberattacco che si protrae nel tempo. Considerato dagli esperti come la più grave minaccia in ambito sicurezza informatica, i suoi riscontri sono in aumento.

Le principali caratteristiche sono due: un lungo periodo di studio del sistema bersaglio – per individuarne le vulnerabilità – e una bassissima rilevabilità da parte dei sistemi di sicurezza (proprio come l’attacco sferrato a WhatsApp).

Individuate le criticità vengono utilizzati malware (come gli spyware che hanno colpito WhatsApp) tailor-made sul sistema bersaglio così da mantenere al minimo la loro rilevabilità.

WhatsApp
WhatsApp nel mirino del cybercrime

Chi porta avanti queste attività, come accennato, non è il piccolo hacker disorganizzato che invia banali email di phishing, ma sono vere e proprie “superstar” del mondo hacker. I gruppi più attivi giungono dal sud-est asiatico, in particolare dalla Corea e dalla Cina. Nomi come Lazarus, Group123, Reaper e LuckyMouse sono la rovina di banche e isituzioni finanziarie, governi e società in tutto il mondo.

Attacchi di questo genere sono pericolosi perché, in primo luogo, vengono portati avanti da gruppi di criminal hacker sponsorizzati – in via ufficiosa – da stati o gruppi industriali in cerca di informazioni e segreti, quindi in grado di usufruire della totale immunità.

Il fine ultimo di un Apt è semplice: ottenere l’accesso a informazioni confidenziali, installare codice distructive o piantare backdoor nascoste che permettono di entrare e uscire dal network bersaglio a loro piacimento.

Se la maggior parte utilizza codici personalizzati, come detto, per portare a termine la maggior parte del lavoro, spesso il primo tentativo di ingresso avviene sfruttando vulnerabilità più comuni come Cwe o phishing email, così da non destare sospetti se individuati. La difficoltà in fase d’individuazione è quindi una delle insidiosità più critiche dell’Apt.

Come accorgersi?

Prima considerazione: gli hacker Apt utilizzano tecniche diverse dalle loro controparti più “mondane” e per questo lasciano in scia anche tracce differenti. Usando le case history di svariati Apt provenienti da attori differenti è stato possibile isolare alcuni segnali che potrebbero suggerire l’inizio di una campagna di attacco.

Alcuni esempi:

  • I log-on sono in aumento: spesso, un alto volume di accessi elevati si verifica di notte perché gli aggressori vivono dall’altra parte del mondo. Se all’improvviso si nota un elevato volume di connessioni elevate su più server o su singoli computer di alto valore mentre il personale di lavoro è a casa, dobbiamo iniziare a preoccuparsi.
  • Sono stati rilevati dei trojan: questo è un classico esempio di approccio, i criminal hacker infettano le macchine bersaglio per assicurarsi di poter sempre rientrare, anche se le credenziali di accesso precedentemente sottratte vengono cambiate. Gli hacker Apt non se ne vanno come i normali aggressori, una delle caratteristiche che li rende particolarmente temuti.
    I trojan oramai sono distribuiti attraverso metodi come il social engineering, una strada molto semplice per ottenere un primo caposaldo nell’azienda bersaglio. Gli Apt grazie ai trojan passano rapidamente da un computer all’altro in poche ore. Lo fanno leggendo un database di autenticazione, rubando le credenziali e riutilizzandole, imparano quali account hanno privilegi e permessi elevati, quindi passano attraverso questi account per compromettere le risorse all’interno dell’ambiente.
  • Flussi inattesi: per rilevare un possibile Apt, è necessario capire come si comportano i flussi interni di dati prima che il vostro ambiente sia compromesso. Iniziate subito e imparate a conoscere e riconoscere le caratteristiche dei vostri sistemi, solo così sarete in grado di accorgervi in fretta di irregolarità nei flussi. Bisogna anche fare attenzione a grandi (gigabyte, non megabyte) pezzi di dati che appaiono in luoghi dove non dovrebbero essere, specialmente se compressi in formati di archivio non utilizzati di norma dalla vostra azienda. Questo è un segnale inequivocabile di un tentativo di estrusione di dati sensibili verso l’esterno.
  • Campagne di spear phishing mirate: senza dubbio questo è uno dei migliori indicatori di un primo tentativo di ottenere un punto d’ingresso. È stato appurato infatti che questo sia uno dei metodi preferiti dagli Apt hacker di stabilire una testa di ponte: attenzione, queste campagne hanno sovente un target fortemente mirato e non è raro che queste siano indirizzate ai quadri dell’azienda, possessori di credenziali più alte.

Un consiglio però: ognuno degli esempi elencati, presi singolarmente, potrebbero solo essere regolare attività interna. I Kpi di un Apt sono legati a tempi e volumi dell’attività che ci ha fatto insospettire più che alla tipologia stessa di questa.

Stabilire un perimetro di difesa

Ovviamente non è semplice mettere in piedi un cybersecurity framework impregnabile, ma con le misure qui riportate è possibile diminuire sensibilmente la loro incidenza:

  • Collaborare! La condivisione è uno dei punti di forza dei criminal hacker. Sfortunatamente lo stesso non si può dire nel mondo delle aziende, per questo motivo c’è bisogno di un cambio di paradigma: per sconfiggere gli hacker a volte dobbiamo adottare anche le loro misure… Trattenere informazioni potenzialmente cruciali per un’altra organizzazione nel lungo periodo rischia di avere effetti catastrofici su tutto il sistema economico e finire per danneggiare anche la società stessa che ha deciso non rendere pubbliche le sue scoperte.
  • Fare attenzione ai segnali: i team IT hanno necessità di sapere come cercare i sintomi (le tracce accennate poco prima). Gli Apt spesso personalizzano i loro strumenti in base alle proprie esigenze e utilizzano anche una varietà di programmi comuni come applicazioni desktop remote, proxy o tunnel criptati per comunicare. L’uso insolito di queste e di altre applicazioni può essere la chiave per trovare un vero Apt. Questo, naturalmente, richiede che l’IT abbia una base di riferimento molto solida di ciò che non è conforme nelle loro reti.
  • Fare analisi periodiche: testare è uno dei metodi più utili per rilevare incongruenze e vulnerabilità del proprio sistema. In questo senso non c’è metodo migliore che affidarsi a un’azienda di cybersecurity per effettuare periodiche analisi.
  • Riconoscere la “kill chain”: gli Apt operano per step: ricognizione, creazione del malware tailor made, consegna, exploit, installazione, command&control e azione. Fortunatamente, anche se flebile, gli aggressori lasciano una scia di “briciole di pane” a ogni passo che può portare direttamente al sistema infetto e permettere di intervenire.

Competenze, non solo tecnologie

Purtroppo anche con le corrette misure tecnologiche – vista l’insidiosità dell’attacco – non è sempre possibile fermare tutti gli Apt.

Non è comunque uno scenario senza speranza: per scongiurare il pericolo c’è però bisogno di evolvere non solo tatticamente nel modo in cui rispondiamo, ma anche strategicamente, soprattutto nel mondo del business.

La cybersecurity deve imprimere una svolta in senso creativo. La difesa non può basarsi solo sull’automazione delle risposte, ma deve passare anche dalla professionalità e dall’abilità degli esperti nell’analizzare comportamenti e flussi anomali.
E non dobbiamo fermarci qui, oltre alle skill degli esperti di sicurezza che garantiscono la salvaguardia aziendale, è tempo che le lezioni derivanti dalle best practice di cybersecurity vengano adottate da tutte le figure che operano nella società

Analisi regolari salvano l’azienda

Quindi solo con il giusto mix di competenze e strumenti saremo in grado di essere efficaci nella cybersecurity contro gli Apt. Ma quali sono i tools più indicati al compito?

Penetration Test: esamina l’infrastruttura IT aziendale e i suoi punti deboli. Dopo averli scoperti, prova a exploitarli in maniera sicura e controllata.

Le attività di penetration testing possono essere condotte sia attraverso processi automatici che manuali. Solitamente, il target di questa attività è focalizzato sui seguenti endpoint:

  • Network endpoint;
  • Dispositivi mobile e wireless;
  • Network security device;
  • Server;
  • Altre aree esposte come il codice che sta dietro alle applicazioni.

Il penetration test nasce per andare il più a fondo possibile nell’infrastruttura IT aziendale per arrivare agli asset elettronici di una azienda. L’obiettivo non è quello di colpire duramente il bersaglio al primo tentativo, ma è quello di colpire anche più duramente nei tentativi seguenti così da esplorare tutti i possibili scenari a cui possono essere soggette le aziende.

Network Scan: è l’analisi dettagliata dell’IP di un network per identificarne i punti deboli.

La procedura sviscera i dettagli di tutti gli IP pubblici che un IP arbitrario ci assegna. Avrai la necessità di effettuare una scansione di ogni singolo IP pubblico, se possibile, provando ogni indirizzo di network pubblici su ogni porta Tcp e Udp. Ci potrebbe volere un po’ di tempo, ma è assolutamente raccomandato per assicurarsi la massima resilience anche in quest’area.

Vulnerability assessment: un’analisi di sicurezza che ha l’obiettivo di identificare tutti le vulnerabilità potenziali dei sistemi e delle applicazioni.

Questo accade individuando e valutando il danno potenziale che l’eventuale hacker può infliggere all’unità produttiva. Queste attività hanno lo scopo di rifinire la ricerca evidenziando eventuali errori commessi durante il processo.

Uno degli aspetti chiave di questa tipologia di analisi è l’isolamento tempestivo delle vulnerabilità reali. Uno strumento di vulnerability assessment permette all’utente di avere un’overview aggiornata del livello di sicurezza degli asset IT. In breve, il VA è il primo mattone per costruire un framework di sicurezza aggiornato ed in grado di resistere anche agli attacchi più violenti.

Phishing Simulation Attack: Ormai il phishing si è evoluto ad altissimi livelli di sofisticazione, destinata solo ad aumentare nel prossimo futuro. Le soluzioni di phishing simulation attack permettono alle aziende di contrastare questo fenomeno attraverso un test dell’Human factor e garantendo anche una efficace attività di training e awareness.

Il servizio adotta lo stesso modello di un attacco standard (di fatto simulandolo) permettendo di misurare il livello di esposizione al rischio phishing aziendale e al contempo effettua un’attività di formazione e awareness efficace dei dipendenti. È riduttivo sottolinearlo, ma anche le misure più efficaci di cyber difesa si possono rivelare inutili se in azienda le persone continuano a cadere vittima di questi inganni.

© RIPRODUZIONE RISERVATA