Una minaccia persistente avanzata (APT) è un attacco informatico sofisticato e prolungato in cui un intruso stabilisce una presenza non rilevata in una rete al fine di rubare dati sensibili per un periodo di tempo prolungato. Un attacco APT è attentamente pianificato e progettato per infiltrarsi in un’organizzazione specifica, eludere le misure di sicurezza esistenti e volare sotto il radar.

L’esecuzione di un attacco APT richiede un livello più alto di personalizzazione e raffinatezza rispetto a un attacco tradizionale. Gli avversari sono in genere team di criminali informatici ben finanziati ed esperti che prendono di mira organizzazioni di alto valore. Di solito parliamo di governi, gruppi crimanali con grossi fondi, gruppi di hackers con sopi ben precisi.

Hanno dedicato molto tempo e risorse alla ricerca e all’identificazione delle vulnerabilità all’interno dell’organizzazione.

Gli obiettivi degli APT rientrano in quattro categorie generali:

  1. Spia, incluso il furto di proprietà intellettuale o segreti di stato.
  2. Crimine per guadagno finanziario
  3. hacktivism
  4. Distruzione

Come funziona un attacco APT

Per prevenire, rilevare e risolvere un APT, è necessario riconoscerne le caratteristiche. La maggior parte degli APT segue lo stesso ciclo di vita di base per infiltrarsi in una rete, espandere l’accesso e raggiungere l’obiettivo dell’attacco, che di solito ruba i dati estraendoli dalla rete.

Nella prima fase, l’APT ottiene l’accesso tramite una vulnerabilità di solito invio email con allegato o link, rete, file o applicazione. Un’indicazione di un APT è un’e-mail di phishing che si rivolge selettivamente a persone di alto livello come dirigenti senior o leader tecnologici, spesso utilizzando le informazioni ottenute da altri membri del team che sono già state compromesse. Gli attacchi via e-mail che colpiscono individui specifici sono chiamati “spear-phishing”.

L’e-mail potrebbe sembrare provenire da un membro del team e includere riferimenti a un progetto in corso.

 

Escalation e movimento laterale

Una volta ottenuto l’accesso iniziale, gli aggressori inseriscono malware nella rete di un’organizzazione per passare alla seconda fase, l’espansione. Si spostano lateralmente per mappare la rete e raccogliere credenziali come nomi di account e password per accedere a informazioni aziendali importanti.

Possono anche stabilire una “backdoor” – uno schema che consente loro di intrufolarsi nella rete in seguito per condurre operazioni invisibili. Spesso vengono stabiliti punti di ingresso aggiuntivi per garantire che l’attacco possa continuare se viene scoperto.

 

exfiltration

Per prepararsi alla terza fase, i criminali informatici in genere archiviano le informazioni rubate in un luogo sicuro all’interno della rete fino a quando non sono stati raccolti dati sufficienti. Quindi estraggono o “esfiltrano” senza essere rilevati. Possono usare tattiche come un attacco denial-of-service (DoS) per distrarre il team di sicurezza e legare il personale di rete mentre i dati vengono esfiltrati.

Caratteristiche di un attacco APT

Poiché gli attaccanti APT usano tecniche diverse dagli hacker ordinari, lasciano segni diversi. Oltre alle campagne di spear-phishing rivolte ai leader dell’organizzazione, i sintomi di un attacco APT includono:

  • Attività insolite sugli account utente, come un aumento degli accessi di alto livello a tarda notte
  • Diffusa presenza di Trojan backdoor
  • Dati imprevisti o insoliti, che possono indicare che i dati sono stati raccolti in preparazione all’esfiltrazione
  • Flussi di informazioni imprevisti, come anomalie nei dati in uscita o un aumento improvviso e insolito delle operazioni del database che coinvolgono enormi quantità di dati