Advanced Persistent Threat: come si muovono i cybercriminali

1.12.2016

La definizione di Advanced Persistent Threat (APT) è oggetto di accesi dibattiti nel campo della sicurezza informatica. In principio, per APT si intendevano tipologie di attacchi generati da stati-nazione, ma il termine ha iniziato a includere le attività illecite perpetrate da bande di criminali informatici organizzati che intendono eludere i controlli di sicurezza delle imprese aventi standard di sicurezza alti, quali ad esempio le istituzioni finanziarie.

Nel corso del tempo, le tecniche avanzate saranno adottate da attaccanti meno avanzati, e ciò significa che le aziende dovranno intensificare controlli e investimenti in sicurezza per prevenire questi attacchi. Gli attori delle minacce avanzate saranno poi in grado di sviluppare nuove tecniche di attacco per bypassare questi nuovi controlli, dando vita al gioco senza fine del gatto e del topo. 

 

Tipologie di attacco APT

Dalle ultime ricerche emerge che bande di criminali informatici, come Metel, GCMAN e Carbanak, stanno adottando tecniche di attacco APT per commettere reati finanziari. Gli step che questi gruppi stanno percorrendo consistono nella ricognizione, nello sviluppo di tecniche d’ingegneria sociale, nella creazione di malware specializzati e di strumenti per realizzare attacchi persistenti e a lungo termine attraverso movimenti laterali. La fase di ricognizione si svolge prima di pianificare l'attacco e di comprendere come personalizzare la fase di ingegneria sociale al fine di renderla più efficace. Il malware viene prima testato contro strumenti antimalware per vedere se è in grado di eludere i sistemi di rilevamento. I movimenti laterali interni alla rete vengono utilizzati per identificare i sistemi che controllano le operazioni critiche o che memorizzano i dati sensibili che potrebbero poi essere monetizzati. La persistenza a lungo termine è una tecnica utile a monetizzare gli attacchi APT nel tempo, riducendo al minimo la possibilità che gli attaccanti vengano scoperti e catturati.

La banda Carbanak usa tecniche di ingegneria sociale attraverso una e-mail di phishing che include un allegato per mettere piede inizialmente nella rete di una grande azienda e poi, attraverso il monitoraggio, permetto di identificare la posizione dei dati sensibili per modificarne i criteri di proprietà. Metel utilizza un malware per intercettare transazioni ATM (Automated Teller Machine) e violare le operazioni che avvengono tramite bancomat. GCMAN sfrutta i movimenti laterali, a partire da web server e compromettendo altri host interni a lungo termine prima di monetizzare.

 

Le imprese possono mettersi al riparo dalle Advanced Persistent Threat

Le tecniche principali utilizzate per questi attacchi APT non sono cambiate nel corso del tempo, e i sistemi di sicurezza delle aziende probabilmente hanno già controlli in essere per la protezione dei dati contro alcuni attacchi APT che utilizzano ricognizione, ingegneria sociale, malware specializzati, e movimenti laterali. Le imprese dovrebbero esaminare ogni step durante un attacco, per vedere se i loro controlli di sicurezza possono impedirlo.

Se i controlli risultano non essere efficaci, le imprese dovrebbero effettuare una valutazione dei rischi per determinare le ragioni della loro inadeguatezza, per comprendere come migliorare i controlli e per quantificare i costi necessari a migliorare i controlli. Proprio parlando di questi temi, Richard Turner, EMEA President di FireEye, durante la presentazione del report annuale sulle minacce informatiche di ultima generazione, ha affermato:

"Il panorama delle minacce cambia ogni giorno e le organizzazioni devo sfruttare ogni opportunità per cercare di rimanere un passo avanti agli aggressori. Le prove evidenziate nella presente relazione dimostrano che i cambiamenti geopolitici, economici e finanziari che avvengono nella regione si rispecchiano sempre più nel mondo della sicurezza informatica. Le organizzazioni sono tanto più forti quanto più è sviluppata la loro capacità di adattamento, ed è per questo essenziale avere gli strumenti adatti per tornare alla normalità il più rapidamente possibile in caso di violazione".

 

Il tema è di tuo interesse e vorresti saperne di più, per capire come proteggerti da queste minacce?

Contattaci → marketing@netmind.com

 

 

Marina Silvestri NETMIND

 

Articolo curato da Marina Silvestri 
Marketing Manager @ NETMIND