Di solito le minacce avanzate persistenti (APT) sono associate allo spionaggio in generale: sì, è un problema importante ma non colpisce direttamente noi comuni mortali, vero? La maggior parte di noi non custodisce importanti segreti commerciali o di stato sul proprio telefono o non lavora con informazioni classificate presenti sul proprio computer, per cui perché preoccuparsene?
Ebbene, in generale è un ragionamento che ha senso. È molto improbabile che una persona comune diventi obiettivo di un gruppo sponsorizzato da uno stato o da una nazione; tuttavia, possiamo diventare un danno collaterale delle APT. Daniel Creus del Global Reasearch and Analysis Team (GreAT) di Kaspersky ne ha parlato di recente durante un evento a Barcellona. In questo post e descriveremo brevemente tre modi in cui il cittadino medio può sperimentare degli inconvenienti dovuti a un attacco APT.
Danno collaterale delle minacce APT, scenario nº1: il sito sbagliato nel momento sbagliato
In confronto ad attori più piccoli, le minacce APT dispongono di abbastanza denaro per un bel po’ di exploit zero day, compresi quelli che rendono possibili gli attacchi watering hole da remoto. Una ricerca condotta nel 2019 da Project Zero di Google ha rivelato che durante un attacco sono state utilizzate ben 14 vulnerabilità differenti in 5 catene di exploit diverse per poter infettare gli obiettivi con spyware.
Alcune di queste vulerabilità sono state utilizzate per infettare da remoto gli utenti iOS che avevano visitato siti di tematica politica, i quali si sono visti recapitare spyware sui propri telefoni. I cybercriminali non hanno fatto distinzione tra i visitatori del sito, cosicché sono stati infettati tutti gli utenti iOS del sito, indipendentemente se fossero di interesse o meno per i cybercriminali.
E non si tratta dell’unico attacco APT che ha coinvolto un watering hole. Ad esempio, uno dei vettori di attacco del purtroppo noto NotPetya (conosciuto anche come ExPetr) è partito dall’infezione di un sito governativo. Molti utenti avevano visitato il sito, scaricando ed eseguendo il malware sul proprio computer. Sicuramente ricorderete i danno collaterali provocati da NotPetya.
Uno dei problemi delle APT, quindi, è che i cybercriminali dietro queste minacce non hanno alcun interesse nel colpire voi in particolare, ma se capita che visitiate il sito sbagliato o scarichiate l’app sbagliata, verrete comunque infettati e le informazioni riservate presenti sul vostro dispositivo potrebbero diventare di dominio pubblico o potrebbero essere danneggiate, come nel caso di NotPetya o altri ransomware vincolati ad APT.
Danno collaterale delle minacce APT, scenario nº2: giocattoli pericolosi nelle mani dei cybercriminali
Tra le alter cose, le minacce APT spesso vanno alla ricerca di segreti di altre APT. Tendono ad hackerarsi a vicenda, svelando a volte gli strumenti utilizzati dalla concorrenza. Altri cybercriminali più piccoli e meno esperti sfruttano queste armi già pronte per creare malware, il che a volte fa andare fuori controllo la situazione. Ricordiamo che il purtroppo famoso wiper WannaCry è stato creato sfruttando EternalBlue, uno degli exploit filtrati da ShadowBrokers quando hanno deciso di pubblicare l’arsenale di armi informatiche di Equation Group.
Altre minacce, comprese NotPetya/ExPetr, Bad Rabbit o EternalRocks si affidavano all’exploit EternalBlue. Un exploit filtrato è servito, quindi, in numerose importanti epidemie e in eventi minori ma che nel complesso hanno colpito centinaia di migliaia di computer e hanno interrotto il lavoro di numerose aziende e organismi governativi di tutto il mondo.
Riassumendo, il secondo problema che gli utenti normali hanno sperimentato con le minacce APT è stato il seguente: i cybercriminali dietro queste minacce creano strumenti davvero pericolosi e a volte non riescono a evitare che si espandano. Di conseguenza, questi strumenti pericolosi possono finire nelle mani dei cybercriminali (con vari livelli di esperienza) che non ci pensano due volte a utilizzarli, a volte a scapito di persone innocenti.
Danno collaterale delle minacce APT, scenario nº3: fuga di dati
Come abbiamo appena descritto, i responsabili di alcune minacce APT hanno la tendenza ad hackerarsi l’un l’altro. A volte non solo pubblicano i tool di cui si sono appropriati ma anche qualsiasi informazione che hanno raccolto grazie a questi strumenti. Ad esempio, è proprio così che sono diventati di dominio pubblico i dati rastrellati dall’insidioso strumento di spionaggio informatico ZooPark.
Negli ultimi due anni, sono stati hackerati ben 13 vendor di stalkerware o sono state pubblicate online le informazioni raccolte su un server web non protetto e aperto a tutti. Le fughe di questi dati hanno interessato altri importanti cybercriminali: sono stati hackerati i creatori del famoso FinFisher e anche l’ancor più noto Hacking Team, che erano soliti sviluppare tool di sorveglianza.
Ecco il terzo problema: anche se una minaccia APT non ha niente a che vedere con l’utente medio e accumula semplicemente delle informazioni senza servirsene, se un’APT subisce una fuga di dati, i pesci più piccoli si ciberanno volentieri di queste informazioni a scopo di estorsione o per ricercare dati privati (da numeri di carte di credito a scansioni di documenti) per ottenere informazioni di contatto e foto compromettenti.
Come difendersi dalle minacce APT
Sebbene siano minacce molto più sofisticate dei normali malware, per proteggerci dalle APT possiamo utilizzare le stesse tecniche che applichiamo alle minacce comuni:
- Sugli smartphone Android disattivate l’installazione di app di terze parti. Se davvero avete bisogno di installare un’app che non c’è su Google Play ma che ritenete affidabile, fate uno strappo alla regola solo una volta ma, una volta scaricata l’app, non dimenticatevi di riportare le impostazioni alla normalità;
- Revisionate regolarmente le autorizzazioni concesse alle app installate sul vostro dispositivo e revocate qualsiasi permesso che non sia strettamente necessario per l’app. Una buona idea è anche verificare l’elenco della autorizzazioni prima di installare una applicazione (lo troverete su Google Play);
- Evitate siti di dubbia provenienza e cercate di non cliccare su link di fonti di cui non vi fidate completamente. Se una persona sconosciuta vi manda un link o vi invita a installare una appm, sicuramente non ha buone intenzioni. Alcune APT sono in grado di infettare siti legittimi, ma molte di queste minacce continuano ad affidarsi al caro, vecchio phishing;
- Avvaletevi di una soluzione di sicurezza affidabile che analizzi tutto ciò che viene scaricato e installato sul dispositivo, verificando ogni link e ogni pacchetto di dati. Si tratta dell’ultima linea di difesa: anche se un cybercriminale riesce a ingannarvi o utilizza un exploit per trovare un modo di insinuarsi nel vostro dispositivo, ci sarà la soluzione di sicurezza a proteggervi dalle minacce APT.