Se c'è una cosa che tiene svegli la notte i professionisti della sicurezza informatica aziendale è il pensiero di un attacco perpetrato mediante una gamma di tecniche sofisticate e finalizzato a rubare alla società informazioni preziose.
Come la parte "Advanced" del nome suggerisce, un attacco Advanced Persistent Threat (APT) utilizza tecniche di hacking continue, clandestine e sofisticate, per ottenere l'accesso a un sistema e rimanere all'interno del sistema stesso per un periodo di tempo prolungato con conseguenze potenzialmente distruttive.
I principali bersagli
Dato il livello di sforzo necessario per effettuare un attacco di questo tipo, gli attacchi APT sono generalmente rivolti a bersagli di alto valore, come stati e grandi aziende, con l'obiettivo finale di rubare informazioni per un lungo periodo di tempo, anziché operare una semplice "toccata e fuga", come fanno molti hacker black hat durante gli assalti informatici di livello più basso.
Il metodo di attacco APT dovrebbe essere una preoccupazione per le aziende di tutto il mondo. E le piccole e medie imprese non fanno eccezione.
Gli autori degli attacchi APT colpiscono sempre di più le aziende piccole, che appartengono alla filiera produttiva del loro obiettivo finale, come via d'accesso per raggiungere le organizzazioni di grandi dimensioni. Utilizzano come trampolino queste società che tipicamente sono meno difese.
Un attacco in evoluzione
Lo scopo di un attacco APT è quello di ottenere un accesso continuo al sistema. Gli hacker raggiungono questo obiettivo in una serie di fasi.
Fase uno: ottenere l'accesso
Come un ladro che forza una porta con un piede di porco, gli hacker di solito ottengono l'accesso attraverso una rete, un file infetto, posta elettronica indesiderata o un'app di vulnerabilità per inserire malware nella rete obiettivo.
Fase due: stabilire un punto di appoggio
I cybercriminali installano malware che consente loro di creare una rete di backdoor e tunnel che possono usare per spostarsi nei sistemi senza essere individuati. Nel malware sono spesso utilizzate tecniche come la riscrittura del codice che consentono agli hacker di nascondere le proprie tracce.
Fase tre: accedere a livelli più profondi
Una volta entrati nel sistema, gli hacker utilizzano tecniche quali la violazione delle password per ottenere i diritti di amministratore, in modo da poter controllare una parte maggiore del sistema e raggiungere livelli di accesso ancora superiori.
Fase quattro: spostarsi lateralmente
Arrivati più in profondità all'interno del sistema e in possesso dei diritti di amministratore, gli hacker possono muoversi come vogliono. Possono anche tentare di accedere ad altri server e ad altre parti sicure della rete.
Fase cinque: guardare, imparare e rimanere
Dall'interno del sistema, gli hacker riescono a capire pienamente come funziona, a conoscere le sue vulnerabilità e a raccogliere tutte le informazioni che vogliono.
Possono tentare di mantenere questo processo in atto potenzialmente all'infinito o ritirarsi dopo aver raggiunto un obiettivo specifico. Spesso lasciano una porta aperta per poter accedere nuovamente al sistema in futuro.
Il fattore umano
Siccome le difese informatiche aziendali tendono a essere più sofisticate rispetto a quelle degli utenti privati, i metodi di attacco spesso richiedono il coinvolgimento attivo di qualcuno all'interno dell'organizzazione per poter entrare effettivamente nella parte del sistema che interessa. Ciò non significa che qualcuno del personale partecipi consapevolmente all'attacco, ma che i malintenzionati si avvalgono spesso di tecniche di ingegneria sociale, come whaling e spear phishing.
Una minaccia che rimane
Il pericolo peggiore degli attacchi APT è che, anche quando vengono scoperti e la minaccia immediata sembra svanita, gli hacker potrebbero aver lasciato varie backdoor aperte che consentono loro di tornare quando vogliono. Inoltre, molte tradizionali difese informatiche, quali antivirus e firewall, non sempre riescono a proteggere i sistemi da questi tipi di attacchi.
Per il massimo successo di una difesa continua è necessaria la combinazione di più misure, che vanno da sofisticate soluzioni di sicurezza come Kaspersky Enterprise Security a una forza lavoro addestrata e consapevole delle tecniche di ingegneria sociale.