Advanced Persistent Threat: perché nessuna azienda è al sicuro

Advanced Persistent Threat (APT) è un termine coniato nel 2009 per indicare una nuova generazione di minacce particolarmente insidiose. La pericolosità delle APT risiede nel tipo di tecniche e vettori di attacco utilizzate e nella caratteristica di restare invisibili e nascoste per evitare il rilevamento, in modo che gli attaccanti malevoli possano mantenere il controllo sui sistemi infettati. Una Advanced Persistent Threat permette di studiare un ambiente operativo informatizzato, recuperare informazioni, eventualmente estendere l’infezione, restando completamente inosservata per lunghi periodi di tempo, fino al momento in cui il criminale informatico decide di sferrare l’attacco vero e proprio. Per questo motivo costituisce una minaccia silente, come una infezione in incubazione che quando sfocia non lascia scampo. Combatterle, significa instaurare difese di base e dotarsi di misure di sicurezza capaci di prevenire o almeno di individuare prodromi di attacco, ovvero i primi segnali di contaminazione, per impedire che l’infezione arrivi al punto di non ritorno


Definizione formale di Advanced Persistent Threat

Il National Institute of Standard And Technology (NIST) nella pubblicazione SP-800-39 (DOI) definisce formalmente una Advanced Persistent Threat come “un avversario che possiede sofisticati livelli di competenza e una quantità significativa di risorse che gli permettono di creare le opportunità di raggiungere i propri obiettivi, utilizzando molteplici vettori di attacco (ad esempio di tipo software, di tipo fisico o tramite l’uso dell’inganno). Questi obiettivi includono tipicamente stabilire ed estendere la propria presenza all’interno dell’infrastruttura tecnologica delle organizzazioni “bersaglio” allo scopo di “esfiltrare” informazioni, indebolire o impedire aspetti critici di una missione, di un programma o dell’organizzazione stessa; ovvero insinuarsi all’interno dell’infrastruttura per portare a termine i propri obiettivi in futuro. In sintesi, l’Advanced Persistent Threat (APT) persegue i suoi scopi in maniera continua e per un esteso periodo di tempo, si adatta agli sforzi di chi si difende per resistere ed è determinata a mantenere il necessario livello di interazione con la vittima per portare a termine i propri scopi”.

La caratteristica di “Persistenza” indica che l’attaccante mantiene viva e attiva la propria presenza nell’ambiente target per il tempo necessario a concludere il suo obiettivo primario. La qualità di essere una minaccia “avanzata” significa che sfrutta exploit ad hoc su vulnerabilità non note (0-day), all’occorrenza specializzandole sulle caratteristiche dell’obiettivo (in questo senso si definiscono targettizzate) infine, si parla di minaccia e non di solo codice malevolo (malware) perché l’Advanced Persistent Threat rappresenta un la strategia di un attaccante (o gruppo di attacco) organizzato, finanziato e motivato.


Ciclo di vita della Advanced Persistent Threat

Un attacco Advanced Persistent Threat dipendentemente dal tipo di obiettivo da perseguire che può spaziare dal politico al militare, dal tecnico all’economico, si sviluppa in una serie di fasi che ne caratterizzano il “ciclo di vita” (fonte MiTre Att&CK).

  1. Reconnaissance: attività di analisi iniziale dell’ambiente target, profilazione e recupero contatti delle potenziali vittime.

  2. Weaponization: introduzione di un exploit mediante vulnerabilità non nota (sui sistemi del target) per effettuare la compromissione iniziale.

  3. Delivery: il momento in cui l’attaccante fa in modo che l’exploit sia consegnato al target (via mail, USB, alto vettore di attacco).

  4. Exploitation: sfruttamento della vulnerabilità non nota per eseguire il codice malevolo da un punto di appoggio-base, un laptop, un PC, o una macchina compromessa.

  5. Installation: installazione del Malware sull’asset target.

  6. Command&Control: invio comandi al codice malware perché effettui escalation dei privilegi, movimenti laterali, o semplicemente mantenere la presenza nell’ambiente infettato.

  7. Actions & objectives: attuazione degli obiettivi definiti inizialmente per la Advanced Persistent Threat. Può trattarsi di esfiltrazione o danneggiamento dei dati, crittografia per ricatto, oppure il blocco delle attività informatiche del target.

 

Le difese tradizionali che riconoscono le minacce note non sono più sufficienti contro gli exploit utilizzati per condurre attacchi di tipo APT. A causa dell’uso di 0-day, ovvero malware non noto e di cui non esistono firme antivirus utilizzabili, il contrasto di questo tipo di minaccia richiede una strategia di difesa approfondita, che miri a monitorare costantemente le reti e i controlli di sicurezza per la loro efficacia. È necessario un approccio interdisciplinare al problema (spesso indicato come olistico), che faccia riferimento ai criteri della difesa multilivello. Spesso questo significa rendere la vita difficile all’attaccante in ogni fase del ciclo di vita dell’Advanced Persistent Threat o almeno nelle fasi in cui è più debole, come la Reconnaissance e la Delivery e in cui l’individuazione di indizi di un attacco APT ha maggiori possibilità di successo.


New call-to-action