Attacchi APT: cinque segnali di allarme per riconoscerli

Avete dati preziosi sulla vostra rete? Avete notato qualche comportamento strano all’interno della stessa rete? Potreste essere vittime di un attacco APT.

I malware e gli hacker Advanced Persistent Threat (APT) sono più diffusi e sofisticati che mai. Gli APT, termine che può essere intero anche come un tipo di attacco, sono hacker professionisti che lavorano sia per governi, sia per grandi gruppi industriali con lo scopo di sabotare società e obiettivi specifici. Eseguono azioni rilevanti per gli interessi del loro committente che possono includere l’accesso a informazioni riservate, l’introduzione di codice malevolo o l’installazione di programmi backdoor che consentono loro di rientrare di nascosto e a proprio piacimento nella rete o nei computer dei bersagli designati. Gli hacker APT sono molto abili e hanno un enorme vantaggio operativo in quanto non verranno mai arrestati. Immaginate quanto potrebbe essere più efficace qualsiasi altro ladro se potesse ottenere la stessa garanzia. Tuttavia, non vogliono che le loro attività vengano immediatamente notate dai loro bersagli, perché ciò complicherebbe la loro missione. Un APT di successo penetra in reti e computer, ottiene ciò di cui ha bisogno e scivola via inosservato. Questi hacker preferiscono mantenere un basso profilo e non vogliono generare eventi sospetti, messaggi di errore, congestione del traffico o causare interruzioni del servizio.

La maggior parte degli APT utilizza codice personalizzato per svolgere le proprie attività, ma preferisce, almeno all’inizio, utilizzare vulnerabilità già note per svolgere il proprio lavoro sporco. In questo modo, se le loro attività vengono notate, è più difficile per la vittima rendersi conto che si tratta di un APT rispetto a un hacker normale. Detto questo, come è possibile riconoscere qualcosa che dovrebbe essere silenzioso e inosservato?

Riconoscimento di un APT

Poiché gli hacker di APT utilizzano tecniche diverse dagli hacker ordinari, lasciano segni diversi. Negli ultimi due decenni si è scoperto come i seguenti cinque segnali indichino molto probabilmente che la vostra azienda è stata compromessa da un APT. Ognuno di questi “allarmi” potrebbe far parte di azioni legittime all’interno dell’azienda, ma la loro natura inaspettata o il volume dell’attività possono testimoniare un exploit APT.

1 – Aumento degli accessi elevati a tarda notte

Gli APT riescono in poche ore a passare dalla compromissione di un singolo a quella di più macchine. Lo fanno leggendo un database di autenticazione, rubando le credenziali e riutilizzandole. Imparano quali account hanno privilegi e autorizzazioni elevati, quindi passano attraverso quegli account per compromettere le risorse. Spesso un elevato volume di accessi si verifica durante la notte perché gli aggressori vivono dall’altra parte del mondo. Se notate improvvisamente un volume elevato di accessi tra più server o singoli computer mentre i vostri dipendenti sono a casa, dovreste iniziare a preoccuparvi.

2 – Trojan diffusi

Gli hacker APT spesso installano programmi trojan su computer compromessi all’interno dell’ambiente attaccato. Lo fanno per garantirsi la possibilità di tornare indietro, anche se le credenziali di accesso acquisite vengono cambiate quando la vittima capisce che c’è qualcosa che non va. Al giorno d’oggi i trojan distribuiti attraverso il social engineering forniscono la via principale attraverso la quale vengono attaccate la maggior parte delle aziende. Questi trojan sono abbastanza comuni in ogni ambiente e proliferano negli attacchi APT.

3 – Flussi di informazioni inattese

Andate alla ricerca di grandi e inattesi flussi di dati dai punti di origine interni ad altri computer interni o a computer esterni; potrebbe essere da server a server, da server a client o da rete a rete. Questi flussi di dati potrebbero anche essere limitati ma mirati, come ad esempio il download di e-mail da un Paese estero. Sarebbe una gran bella cosa che ogni client di posta elettronica avesse la possibilità di mostrare dove l’ultimo utente ha effettuato l’accesso per scaricare i messaggi e dove è stato effettuato l’accesso all’ultimo messaggio. Per fortuna Gmail e altri sistemi di posta elettronica cloud offrono già questa feature.

4 – Bundle di dati inattesi

Gli APT spesso aggregano i dati rubati in punti di raccolta interni prima di spostarli all’esterno. Cercate quindi grosse quantità di dati (nell’ordine dei GB, non MB) che appaiono in luoghi in cui tali dati non dovrebbero essere, soprattutto se compressi in formati di archivio non normalmente utilizzati dalla vostra azienda.

5 – Campagne mirate di spear-phishing

L’indicatore forse più valido per riconoscere un APT è quello delle campagne di spear-phishing (rivolte contro i dipendenti di un’azienda) che sfruttano file PDF, Word, Excel o PowerPoint contenenti codice eseguibile o link a URL malevoli. Questo tipo di attacchi è alla base della stragrande maggioranza degli APT. Il segnale più importante è che l’e-mail di phishing dell’attaccante non viene inviata a tutti i membri dell’azienda, ma a un target più selettivo di individui di maggior importanza (ad esempio, CEO, CFO, CISO e altre figure dirigenziali), spesso utilizzando informazioni che potevano essere apprese solo da intrusi che avevano già compromesso altri membri del team. Le e-mail potrebbero essere false, ma contengono parole chiave che si riferiscono a progetti e argomenti reali attualmente in lavorazione all’interno dell’azienda. Invece di formule di phishing generiche (del tipo Ehi, leggi questo!), questi messaggi apparentemente affidabili contengono qualcosa di molto rilevante per il un progetto in corso e provengono da un altro membro del team al lavoro sullo stesso progetto. Se avete già visto una di queste email di phishing specifiche e mirate, vi sarete accorti di quanto reali e insospettabili possano sembrare. Se quindi sentite parlare di un attacco mirato di spear-phishing, specialmente se alcuni dirigenti hanno segnalato di essere stati ingannati facendo clic su un allegato, iniziate a cercare tracce degli altri quattro segnali di allarme.