Cosa sono le minacce avanzate persistenti (APT)?

Quali sono le caratteristiche delle minacce persistenti avanzate (APT)?

Le APT sono molto diverse dagli attacchi opportunistici come il phishing ad ampio spettro, che tendono a basarsi su tattiche di sfruttamento di massa e possono essere lanciati anche da individui meno esperti. Ecco alcune delle caratteristiche distintive delle APT:

• Natura altamente mirata: le APT sono progettate in modo molto scrupoloso, con lo scopo preciso di violare determinate organizzazioni, settori, individui o governi. I loro obiettivi, solitamente, possiedono dati preziosi o sensibili che gli aggressori possono manipolare, distruggere o vendere.
• Presenza prolungata: le ATP sono progettate per infiltrarsi e rimanere latenti all'interno di una rete per mesi o addirittura anni. Questo dà agli aggressori il tempo di analizzare attentamente il loro obiettivo e di incrementare il valore e la portata dei loro attacchi.
• Furtività ed elusione: le ATP utilizzano tecniche che sfuggono ai controlli di sicurezza tradizionali. Alcune delle strategie più comuni sono la crittografia, il camuffamento sotto forma di codice o app legittime (spoofing) e la riscrittura automatica del proprio codice (polimorfismo).
• Supporto da parte di Stati nazionali o criminalità organizzata: le APT sono spesso sponsorizzate da enti governativi o criminali che perseguono obiettivi politici, vantaggi competitivi o profitti. Gli autori delle minacce possono utilizzare queste risorse per accedere a strumenti ed exploit specifici.

Come funzionano le minacce avanzate persistenti

Le ATP seguono un ciclo suddiviso in fasi per infiltrarsi in un obiettivo, assumerne il controllo ed evitare di essere rilevate. Le fasi principali sono:

1. Ricognizione: gli aggressori raccolgono informazioni sul loro bersaglio per trovare il punto ideale per lanciare l'attacco. Queste informazioni possono includere dettagli su rete, app, utenti (ad esempio, nomi, credenziali di accesso), partner, ecc.
2. Compromissione iniziale: gli hacker ottengono l'accesso alla rete target, spesso tramite tattiche di ingegneria sociale (ad esempio, e-mail di spear phishing, compromissione delle e-mail aziendali), exploit 0-day o attacchi watering hole.
3. Ottenimento dell'accesso iniziale: gli aggressori distribuiscono malware, come trojan di accesso remoto (RAT) o backdoor, che consentono loro di ottenere nuovamente l'accesso in caso di chiusura del punto di ingresso originario.
4. Escalation dei privilegi: gli utenti malintenzionati utilizzano credenziali di accesso rubate o sfruttano falle nella sicurezza interna (come policy di accesso troppo blande o errori di configurazione) per ottenere autorizzazioni di alto livello o un accesso da amministratore.
5. Movimento laterale: gli hacker sfruttano i loro nuovi privilegi per muoversi sulla rete senza essere rilevati, consolidando ulteriormente la loro presenza mentre esplorano l'ambiente.
6. Esfiltrazione dei dati: gli aggressori trasferiscono dati preziosi (ad esempio, proprietà intellettuale, registri finanziari, informazioni sui clienti) a una sede esterna sotto il loro controllo, spesso cifrandoli o incorporandoli nel traffico legittimo per eludere il rilevamento.
7. Copertura delle tracce: per mantenere l'accesso alla rete e continuare a eludere il rilevamento, gli aggressori possono modificare o eliminare i log, modificare le marche temporali e altro.
    

Le nuove tattiche, tecniche e procedure (TTP) delle APT

Oltre a quanto riportato qui sopra, i gruppi APT continuano a sviluppare nuove tecniche per aggirare i metodi di sicurezza consolidati contro le APT.

Abuso dei servizi cloud

I gruppi APT stanno abusando sempre più di servizi cloud legittimi, come GitHub e Dropbox, per sferrare attacchi elusivi. Questi servizi sono dotati di una crittografia nativa che facilita l'occultamento delle APT mentre si impiegano tattiche come:

• Abuso delle API, con l'uso di integrazioni software attendibili per aggirare i controlli di sicurezza
• Abuso dei webhook, con comunicazioni automatizzate tra app per nascondere la propria posizione
• Risolutori di dead drop, utilizzando l'archiviazione cloud per proteggere la posizione dell'infrastruttura dannosa
• Hosting di payload, archiviando payload dannosi su piattaforme che utilizzano strumenti di sicurezza affidabili

Abuso dei social media

Gli aggressori che lanciano APT possono inoltre utilizzare i social media per coprire le proprie sofisticate tecniche di ingegneria sociale, dead drop e altro. Fingendosi reclutatori e ricercatori di sicurezza su piattaforme come LinkedIn e X (Twitter), possono condurre alcune parti dei loro attacchi alla luce del sole.

Per saperne di più, leggi il Report di ThreatLabz sugli attacchi cifrati.

Chi lancia le minacce avanzate persistenti?

Gli aggressori che lanciano APT rientrano principalmente in una delle seguenti categorie:

• Operatori con il supporto di Stati nazionali
• Gruppi di hacktivisti
• Organizzazioni criminali informatiche
• Collaboratori interni spinti da influenze esterne

Gli autori degli attacchi APT sono hacker altamente qualificati, solitamente dotati di ampie risorse e di un sostegno finanziario che consente loro di accedere a metodi e strumenti avanzati. I loro mandanti a volte sono gruppi criminali organizzati mossi dal profitto, ma nella maggior parte dei casi si tratta di Stati nazionali impegnati in attività di spionaggio informatico. I gruppi con sede in Cina, Iran, Corea del Nord e Russia vengono regolarmente associati a campagne APT di alto profilo.

Esempi reali di attacchi APT

Le ATP rappresentano una minaccia attiva e crescente. Alcuni incidenti recenti includono:

• Lavoratori a distanza nordcoreani che colpiscono l'Occidente: alcuni aggressori nordcoreani hanno utilizzato l'ingegneria sociale, la GenAI e dati rubati, tra cui codice sorgente, dati personali e portafogli di criptovalute, per infiltrarsi come collaboratori da remoto in aziende occidentali.
• Kimsuky (APT43): questo gruppo hacker sostenuto dalla Corea del Nord utilizza varie tecniche, tra cui estensioni Chrome dannose, per rubare credenziali di accesso, dati di tracciamento e altro da think tank, agenzie governative e scuole sudcoreane.
• Earth Baku (APT41): questo aggressore con sede in Cina utilizza il loader elusivo DodgeBox per diffondere il malware backdoor MoonWalk. Originariamente noto per aver preso di mira organizzazioni nel sud-est asiatico, il gruppo ha esteso i suoi attacchi anche alla regione EMEA.

Nel frattempo, altri attacchi APT meno recenti hanno lasciato tracce indelebili:

• Attacco a SolarWinds (2020): alcuni attori statali russi hanno distribuito aggiornamenti contenenti trojan per il software SolarWinds Orion, riuscendo a installare malware sui sistemi di circa 18.000 clienti, tra cui anche agenzie governative statunitensi.
• Stuxnet (2010): presumibilmente parte di un'operazione segreta di sabotaggio informatico, questo malware worm ha interrotto i processi industriali degli impianti nucleari iraniani, danneggiando gravemente circa 1.000 centrifughe nucleari.
• Operazione Aurora (2009): un gruppo di hacker supportati dalla Cina ha utilizzato un exploit 0-day nel browser Internet Explorer per rubare dati da decine di grandi aziende, tra cui Adobe, Google e Yahoo. L'incidente ha portato Google a interrompere le operazioni in Cina.

L'impatto di queste campagne

Gli attacchi APT possono avere gravi conseguenze, e le violazioni dei dati sono solo la punta dell'iceberg. In seguito a una violazione, le vittime possono subire perdite finanziarie, oltre a ripercussioni legali, normative e reputazionali, con tempi di ripresa spesso lunghi e complessi.

Se un'APT compromette operazioni o sistemi critici, può causare interruzioni nelle catene di approvvigionamento, nella produzione o nei servizi essenziali, o addirittura disordini politici o economici più estesi. Gli attacchi Operazione Aurora e Stuxnet sono esempi concreti di come le ATP possono contribuire a tensioni sociopolitiche e geopolitiche a lungo termine.

Come rilevare gli attacchi APT e difendersi

I gruppi APT progettano sapientemente i propri attacchi in modo che siano difficili (ma non impossibili) da rilevare. Per difendersi, è necessaria un'architettura di sicurezza solida e proattiva, che offra:

• Visibilità completa: il monitoraggio continuo elimina i punti ciechi su endpoint, reti e cloud per rilevare le attività sospette.
• Rilevamento delle anomalie: gli strumenti basati sull'AI riescono a identificare i pattern insoliti, come flussi di traffico anomali o tentativi mascherati di esfiltrazione dei dati.
• Intelligence sulle minacce integrata: l'intelligence sulle minacce in tempo reale collega i dati esterni all'attività interna, consentendo un'identificazione più rapida delle tattiche specifiche impiegate dalle APT.
• Ricerca proattiva delle minacce: gli esperti in ricerca delle minacce sono in grado di individuare attività come l'escalation dei privilegi o il movimento laterale prima che si attivino avvisi automatici.
• Strumenti di rilevamento avanzati: strumenti come EDR (Endpoint Detection and Response), IDS (Intrusion Detection System) e sandbox possono rilevare segnali di comportamenti tipici delle APT che gli strumenti tradizionali non sono in grado di rilevare.
• Architettura zero trust: i controlli degli accessi con privilegi minimi e la verifica continua delle identità e dei dispositivi riducono al minimo i rischi di movimento laterale o escalation dei privilegi.
   

L'approccio di Zscaler per combattere le ATP

Zscaler unisce alcune funzionalità essenziali a un'architettura zero trust nativa del cloud e analisi avanzate, per offrire una sicurezza integrale contro le APT. Il nostro approccio combina:

• Ispezione completa del traffico inline: la nostra architettura proxy nativa del cloud ispeziona tutto il traffico in entrata e in uscita, incluso il traffico cifrato con TLS/SSL, con una scalabilità senza limiti.
• Analisi inline in sandbox cloud: la nostra sandbox basata sull'AI fornisce ispezioni illimitate e senza latenza e verdetti in tempo reale per bloccare le minacce prima che raggiungano gli endpoint.
• Intelligence di esperti sulle minacce: ThreatLabz, il nostro team di ricerca sulle minacce, monitora attivamente i gruppi APT più sofisticati al mondo per comprenderne le tendenze e individuare le tattiche emergenti.