APT: Cosa Significa Questo Acronimo nel Mondo della Sicurezza Informatica

La sigla APT, acronimo di Advanced Persistent Threat, indica una tipologia di attacchi mirati e persistenti portati avanti da avversari dotati di notevole expertise tecnico e grandi risorse.

Cos'è una APT

L'acronimo APT, Advanced Persistent Threat, rappresenta una minaccia portata avanti da un avversario dotato di notevole expertise tecnico e grandi risorse, in grado di effettuare attacchi su vasta scala, utilizzando molteplici vettori, e per periodi di tempo molto estesi. La maggior parte delle APT, ma non tutte, sono gestite da gruppi organici a stati sovrani.

Per comprendere meglio cosa sia una APT occorre analizzare nel dettaglio le singole componenti dell'acronimo:

• Advanced: l'avversario dietro la minaccia è avanzato, cioè dotato sia di elevate competenze tecniche sia di cospicue risorse tecnologiche ed economiche. Questo significa che per gli attacchi è in grado utilizzare non solo software pubblicamente disponibili ma anche creati ad hoc, più versatili e complessi da rilevare. Inoltre, per raccogliere informazioni sui propri obiettivi il gruppo potrebbe servirsi di tool estremamente sofisticati, e, potenzialmente, anche appoggiarsi ai servizi di intelligence del paese di provenienza.
• Persistent: l'avversario non è guidato da una mentalità predatoria e opportunistica mirata al raggiungimento di obiettivi immediati. L'approccio è persistente, mantenere l'accesso ai sistemi per il più lungo tempo possibile è un fattore chiave di ogni APT. Maggiore il tempo speso all'interno dell'infrastruttura bersaglio senza venire identificati, maggiori saranno le possibilità di pivoting e movimento laterale, maggiori saranno le informazioni raccolte, il guadagno per l'attaccante e il danno per la vittima.
• Threat: questa è una minaccia organizzata, dotata di scopi, volontà ben precisa e visione strategica. Non è un tool automatico che effettua attacchi a strascico sperando di ottenere qualcosa, uno script kiddie senza meta, o un hacktivist con degli ideali.

La definizione secondo il National Institute of Standards and Technology è disponibile qui per chi volesse approfondire in maniera più dettagliata.

I bersagli delle APT

Una APT richiede ingenti risorse, tecnologie, e tempi molto lunghi, ha quindi costi estremamente elevati. Questa considerazione è fondamentale per capire quali siano le vittime prescelte per attacchi simili: perché ci sia un ritorno sugli investimenti positivo, i bersagli delle APT devono sempre essere di alto profilo come stati sovrani o grandi imprese.

Leggi anche: Guida agli acronimi turistici

È importante sottolineare come le piccole e medie imprese non siano però al sicuro da eventuali attacchi ricollegabili a delle APT. Le PMI spesso fanno parte della supply-chain di grosse imprese, ma non ne condividono gli elevati standard di sicurezza.

Un dato interessante per quanto riguarda i bersagli delle APT è come ci sia un trend crescente, consolidato negli ultimi anni, di retargeting. Infatti, per quanto riguarda l’area EMEA, il 57% delle vittime colpite in passato da APT è stato nuovamente bersaglio degli stessi gruppi o di altri molto simili per obiettivi e TTP (Tecniche, Tattiche, e Procedure).

Il dato è perfino più alto nelle Americhe, con il 63%, e nell’area APAC, con un incredibile 78% di retargeting.

Il fine ultimo delle APT

La maggioranza dei gruppi che sponsorizzano le APT ha come obiettivo l’ottenimento di informazioni, di proprietà intellettuale, di brevetti, di segreti industriali e/o militari con lo scopo di ottenere un vantaggio competitivo in ambito commerciale o geopolitico.

Alcune APT hanno invece un movente puramente economico-finanziario: basti pensare al gruppo denominato FIN7, che in un periodo dal 2015 al 2018 ha rubato asset finanziari, carte di debito e di credito ed effettuato bonifici non autorizzati arrivando a colpire oltre 130 aziende.

Leggi anche: IA e il futuro del turismo

Altre Advanced Persistent Threats, soprattutto quelle mirate alle realtà industriali, mirano al sabotaggio se non alla distruzione di infrastrutture critiche. Un esempio è il recente attacco che, utilizzando il malware Triton, ha rischiato di infliggere irreversibili danni fisici ad alcuni impianti petrolchimici dell’Arabia Saudita.

Ciclo di vita di una APT

Come ci ricorda l'acronimo, stiamo parlando di minacce persistenti che hanno un ciclo di vita estremamente dilatato nel tempo. Alcuni APT sono noti per essere rimasti attivi per periodi incredibilmente lunghi.

Ricognizione iniziale

In questo caso, il codice malevolo viene inserito dall’APT in siti che la vittima visita spesso, come ad esempio quelli di fornitori nella sua supply chain. Questi siti sono identificati nella prima fase, quella di raccolta di informazioni. Alternativamente questa compromissione iniziale può avvenire attraverso l’attacco a web server o simili infrastrutture che si interfacciano con reti pubbliche.

Creazione di un punto d'appoggio

Il network è ormai compromesso e l’obiettivo immediato dell’attaccante non è l’accesso ai dati, ma il potersi garantire l’accesso futuro, permanente, a uno o più computer all’interno del network. Questo avviene attraverso l’inserimento di backdoor, ad esempio le molto comuni Gh0st RAT e Poison Ivy. Quindi per l’attore APT è necessario cercare accesso ad altri sistemi.

Spesso vengono utilizzate credenziali recuperate con i metodi accennati prima per installare malware su altri computer del network attraverso l’uso ad esempio di PsExec e/o del Task Scheduler (comando ‘at’), sempre per rimanere in ambito Windows.

Leggi anche: Analisi del rapporto turismo-PIL in Italia

Mantenimento della presenza

Questa è una fase critica e che definisce il concetto di APT: l’intruso tenterà di assicurarsi un sempre maggiore ed invisibile accesso, dall’esterno del network, ai sistemi presenti nell’infrastruttura compromessa.

Generalmente ciò avviene attraverso l’inserimento di backdoor aggiuntive rispetto a quelle già utilizzate, all’installazione di molteplici famiglie di malware su diversi sistemi. L’obiettivo ultimo è garantire elevatissima, ed invisibile, ridondanza ai propri accessi non autorizzati.

In alcuni casi, specialmente quando gli attori APT prendono possesso di certificati PKI, client VPN, o credenziali valide, questi saranno in grado di mascherarsi da utenti legittimi del network senza dover neanche più ricorrere alle backdoor.

Completamento della missione

La maggior parte degli APT ha come obiettivo il furto di informazioni, quando queste informazioni sono state raccolte, queste vengono compresse prima di venire esfiltrate.

Tipicamente viene utilizzato WinRar, mentre in minor misura ZIP e 7-ZIP per comprimere i documenti. Gli archivi compressi vengono frequentemente protetti da password prima di essere trasferiti. I trasferimenti avvengono in svariati modi, dall’utilizzo di FTP, a NC e NCAT, alle backdoor preinstallate.

Come affrontare le APT

In quanto minacce avanzate, le APT sono per definizione estremamente complesse da mitigare. Esistono però delle soluzioni di buon senso che, se implementate correttamente, possono rendere la vita estremamente difficile ai nostri avversari.

Ovviamente la presenza di una robusta security posture, una revisione periodica delle policy, delle procedure, delle linee guida, della compliance agli standard sono prerequisiti imprescindibili e fondamentali per poter poi implementare in modo organico i suggerimenti qui sotto elencati.

Possiamo dividere queste soluzioni nelle quattro macroaree qui sotto elencate. Questa lista di precauzioni non vuole essere esaustiva né completa, è solo la raccolta delle best practice consigliate dalla maggioranza degli analisti quando si ha a che fare con la mitigazione di APT.

Logging

Auditing e logging sono fondamentali per permettere ai team di incident response e successivamente ai team forensi di lavorare nel migliore dei modi. Va garantito il logging di:

• attività di logon e logoff, come le operazioni dei ticket di servizio Kerberos;
• eventi di esecuzione dei processi, come ad esempio il logging della riga di comando;
• accessi e modifiche al servizio directory, utile per individuare potenziali DCSync e DCShadow in ambiente AD;
• attività PowerShell come Scriptblock e Module;
• logging delle richieste ed eventi DNS;
• accessi remoti e connessioni VPN;
• load balancers, incluso il capturing degli header XFF;
• accesso e autenticazione a servizi cloud (AWS, Azure, Office 365).

Account Hardening

L’applicazione dei principi di least privilege, separation of duties e need-to-know diventa ancora più importante quando si parla di APT. Vanno limitati i privilegi degli account degli utenti e degli account di servizio, i privilegi amministrativi non dovrebbero mai essere necessari per effettuare lavori di routine.

Vanno utilizzati i gruppi di sicurezza Utenti protetti per gli account ad altri privilegi, quelli critici e quelli sensibili. Quando è necessario accesso amministrativo via RDP agli endpoint è consigliato usare sistemi sicuri, come ad esempio le feature di restricted admin. Implementare ed utilizzare PAW (workstation con accesso con privilegi) isolate.

Active Directory Hardening

Una revisione delle architetture a foresta è fondamentale. (ad esempio bloccando l’embedding OLE di specifiche estensioni come .py,.iqy,rb.) Disabilitare protocolli e funzionalità deprecate, come ad esempio SMB v1.0 o PowerShell v2.0, disabilitare l’autenticazione WDigest.

Inoltre, è fondamentale segmentare il network a livello di endpoint, anche attraverso l’uso di host-based firewall, incluso Windows Firewall.

TAG: #Turismo

Più utile per te:

• Consolati svizzeri: dove trovarli?
• Prezzi Escursioni a Cavallo Catania
• Come funziona il Pass Veloce a Mirabilandia?
• Guida al Matrimonio Civile in Italia
• Panoramica villaggi vacanze Corfù