ULTIME NEWS: Gyala riconosciuta Sample Vendor nel documento “Emerging Tech: AI in CPS Security” di Gartner Leggi

Focus Advanced Persistent Threat (APT)

Cosa sappiamo degli attacchi silenti finalizzati al rubare dati?

Le APT sono minacce che operano sotto il radar e rappresentano uno degli strumenti più insidiosi nelle mani degli hacker. Non sono attacchi “esplosivi” o immediatamente visibili, ma operazioni silenti, prolungate e meticolose che mirano a sottrarre informazioni sensibili senza destare sospetti.

Cosa sono le APT (Advanced Persistent Threat)


Le APT sono vere e proprie campagne di cyber spionaggio: si distinguono per la loro capacità di penetrare nei sistemi e mantenere un accesso non autorizzato per periodi prolungati, con l’obiettivo di esfiltrare dati. La loro forza risiede nell’essere silenti: gli hacker non cercano di causare danni immediati e visibili, ma piuttosto di rimanere inosservati il più a lungo possibile, per massimizzare il valore delle informazioni rubate.

Il caso Target: la compromissione della supply chain

Il Supply Chain Attack è un attacco informatico che mira a danneggiare un’organizzazione prendendo di mira gli elementi meno sicuri nella sua catena di fornitura. In sostanza, un attacco di questo tipo sfrutta la fiducia e l’accesso privilegiato tra le entità coinvolte nella catena, approfittando dei punti deboli per ottenere accessi non autorizzati e compiere azioni dannose.

Un esempio emblematico risale al 2013. Parliamo dell’attacco subito dalla catena di distribuzione Target. Gli aggressori hanno prima compromesso un piccolo fornitore di sistemi HVAC per ottenere l’accesso alla rete interna (Supply Chain Attack) e, una volta all’interno, si sono mossi lateralmente attraverso la rete, fino a raggiungere i sistemi di pagamento. L’attacco è durato diversi mesi e ha portato al furto di informazioni su oltre 40 milioni di carte di credito e dati personali di 70 milioni di clienti. 

Il cyber kill-chain di un APT

Per comprendere la dinamica di un APT, è utile analizzare la cosiddetta “cyber kill-chain “, un modello che suddivide l’attacco in diverse fasi:

  1. Ottenere l’accesso: Gli aggressori sfruttano vulnerabilità o tecniche di ingegneria sociale, come lo spear phishing, per ottenere le credenziali di accesso.
  2. Consolidare la propria presenza: Una volta dentro, stabiliscono backdoor e modificano i log per evitare il rilevamento, creando le condizioni per un attacco prolungato.
  3. Privilege escalation: Gli attaccanti cercano di ottenere privilegi amministrativi per estendere il loro controllo sulla rete e accedere a dati più sensibili.
  4. Movimento laterale: Utilizzano le credenziali compromesse per spostarsi all’interno della rete, sondando altri segmenti e cercando ulteriori informazioni utili.
  5. Acquisizione di informazioni: Infine, esfiltrano i dati. Spesso gli attaccanti e il loro operato non vengono scoperti per mesi, se non addirittura anni.

Il furto di dati di Sony Pictures

Un altro caso significativo è l’attacco del 2014 a Sony Pictures, attribuito al gruppo APT conosciuto come Lazarus, presumibilmente legato alla Corea del Nord. 
Questo attacco ha seguito la cyber kill-chain in modo esemplare: gli hacker hanno ottenuto l’accesso iniziale tramite spear phishing, consolidato la loro presenza con backdoor e poi esfiltrato dati sensibili, tra cui e-mail aziendali e film non ancora rilasciati. L’attacco ha causato danni reputazionali e finanziari enormi, dimostrando l’impatto devastante che un APT può avere su una grande azienda.

Come prevenire e contrastare le APT:

Contrastare una minaccia come le APT richiede una strategia di sicurezza proattiva e multilivello. 
Ecco alcune misure che possono fare la differenza:

  • Monitoraggio continuo del traffico di rete: cruciale per rilevare attività sospette e individuare tentativi di esfiltrazione di dati. 
  • Implementazione di whitelisting: Limitare l’accesso ai soli domini e software approvati riduce drasticamente le possibilità di successo di un attacco.
  • Formazione del personale: Il primo punto d’accesso per gli attaccanti sono spesso gli utenti; quindi, la formazione continua sul phishing e sull’ingegneria sociale è essenziale.
  • Controllo degli accessi: Implementare rigorose politiche di controllo degli accessi, includendo l’autenticazione a più fattori (MFA), per limitare i danni in caso di compromissione delle credenziali.

Nessuna preoccupazione con la soluzione di Cyber Security Agger

Gli attacchi APT rappresentano una delle minacce più serie e difficili da individuare nel mondo della cybersecurity, ma Agger grazie al suo sofisticato sistema multilivello di controllo e reazione, è il tuo alleato ideale.