Una minaccia persistente avanzata (APT) è un attacco informatico sofisticato e prolungato in cui un intruso stabilisce una presenza non rilevata in una rete al fine di rubare dati sensibili per un periodo di tempo prolungato. Un attacco APT è attentamente pianificato e progettato per infiltrarsi in un’organizzazione specifica, eludere le misure di sicurezza esistenti e volare sotto il radar.
L’esecuzione di un attacco APT richiede un livello più alto di personalizzazione e raffinatezza rispetto a un attacco tradizionale. Gli avversari sono in genere team di criminali informatici ben finanziati ed esperti che prendono di mira organizzazioni di alto valore. Di solito parliamo di governi, gruppi crimanali con grossi fondi, gruppi di hackers con sopi ben precisi.
Hanno dedicato molto tempo e risorse alla ricerca e all’identificazione delle vulnerabilità all’interno dell’organizzazione.
Gli obiettivi degli APT rientrano in quattro categorie generali:
Per prevenire, rilevare e risolvere un APT, è necessario riconoscerne le caratteristiche. La maggior parte degli APT segue lo stesso ciclo di vita di base per infiltrarsi in una rete, espandere l’accesso e raggiungere l’obiettivo dell’attacco, che di solito ruba i dati estraendoli dalla rete.
Nella prima fase, l’APT ottiene l’accesso tramite una vulnerabilità di solito invio email con allegato o link, rete, file o applicazione. Un’indicazione di un APT è un’e-mail di phishing che si rivolge selettivamente a persone di alto livello come dirigenti senior o leader tecnologici, spesso utilizzando le informazioni ottenute da altri membri del team che sono già state compromesse. Gli attacchi via e-mail che colpiscono individui specifici sono chiamati “spear-phishing”.
L’e-mail potrebbe sembrare provenire da un membro del team e includere riferimenti a un progetto in corso.
Una volta ottenuto l’accesso iniziale, gli aggressori inseriscono malware nella rete di un’organizzazione per passare alla seconda fase, l’espansione. Si spostano lateralmente per mappare la rete e raccogliere credenziali come nomi di account e password per accedere a informazioni aziendali importanti.
Possono anche stabilire una “backdoor” – uno schema che consente loro di intrufolarsi nella rete in seguito per condurre operazioni invisibili. Spesso vengono stabiliti punti di ingresso aggiuntivi per garantire che l’attacco possa continuare se viene scoperto.
Per prepararsi alla terza fase, i criminali informatici in genere archiviano le informazioni rubate in un luogo sicuro all’interno della rete fino a quando non sono stati raccolti dati sufficienti. Quindi estraggono o “esfiltrano” senza essere rilevati. Possono usare tattiche come un attacco denial-of-service (DoS) per distrarre il team di sicurezza e legare il personale di rete mentre i dati vengono esfiltrati.
Poiché gli attaccanti APT usano tecniche diverse dagli hacker ordinari, lasciano segni diversi. Oltre alle campagne di spear-phishing rivolte ai leader dell’organizzazione, i sintomi di un attacco APT includono:
