Attacchi mirati APT

February 2014 | PR software | www.prsoftware.it
Anno 2014 - Numero 1
Attacchi mirati APT
Evoluzione attacchi informatici
Sommario
Articoli di particolare interesse
Negli ultimi anni Internet ha assunto un'importanza vitale nel mondo
industriale e produttivo. L’utilizzo di Internet e della posta elettronica, dei
siti web, dei trasferimenti FTP e VPN per il collegamento remoto, sono
all'ordine del giorno e alla portata di tutti. Il proliferare inoltre della
tecnologia "mobile" porta oggi la connettività dal livello "azienda" al
livello "utente" in quanto ogni impiegato possedendo un tablet o uno
smartphone può collegarsi alla rete dell'azienda per scambiare dati,
introducendo tante nuove vulnerabilità difficili da controllare.
Parallelamente il "Cybercrime" si è evoluto per sfruttare queste
vulnerabilità , continuando sempre di più a comportarsi come una vera e
propria industria dedita al profitto. Non si tende più a creare virus per la
sola gratificazione personale o per dimostrazione di valore nel mondo
underground degli hacker, ma i nuovi "malware" vengono creati, spesso
su ordinazione, appositamente con lo scopo di penetrare nella rete
aziendale, rimanerci nascosti il più possibile e trafugare dati "sensibili" o di
valore dai computer aziendali.
Intorno agli anni 2000, fecero scalpore i virus di nome "Melissa" e "I love
you" che si distinsero per l'impressionante velocità di diffusione e di
attivazione, attaccando i messaggi di posta elettronica, e acquisendo la
massima popolarità in brevissimo tempo.
L’evoluzione tecnologica ha prodotto attacchi di nuova concezione, come
"Flame" o "Stuxnet". In effetti quest'ultimo, fu creato con lo scopo bene
preciso di sabotare il programma nucleare iraniano danneggiando un
determinato modello di turbine presenti appunto nelle loro centrali
nucleari. Oltre lo scopo molto "mirato", la grande differenza è che
l'attacco iniziò nel 2006 ma fu scoperto solamente nel 2010, dopo quattro
anni di invisibilità.
A partire dal 2013 assistiamo a numerose campagne di attacchi come
"Red October", "Genie" e "Bullrun" che coprono azioni di spionaggio
diplomatico ed industriale. Sono nati sono i nuovi tipi di minaccia
chiamata Attacchi mirati (APT).
Evoluzione attacchi informatici
1
Attacchi mirati (APT)
2
Il costo per le aziende
3
Come difendersi
4
Notizie singole
Le fasi di un attacco APT
2
Alcune statistiche
3
Le fasi della Difesa
4
Attacchi mirati (APT)
2
Con il termine APT o Advanced Persistent Threat si indica la nuova
tipologia di "attacco mirato".
Il termine "mirato" indica, per l'appunto, il nuovo scopo di tali attacchi
che è quello di compromettere l'infrastruttura informatica aziendale con
l'intento di trafugare i dati sensibili dell'Azienda attaccata. La differenza
sostanziale con i malware di vecchia generazione, risiede nella
componente "persistente".
In effetti l'attaccante, una volta individuata la vittima, inizia a raccogliere
informazioni pubblicamente disponibili (spesso con tecniche di Social
Engineering) e sferra una serie di attacchi continuativi, fino a trovare il
punto di accesso che gli permetterà di penetrare nella rete. Dopo la
compromissione iniziale, l'intruso crea delle "backdoor" che gli
permettono di acquisire credenziali di accesso e di attaccare altre
macchine della rete (spostamento laterale).
Lo scopo degli attacchi mirati è quello di compromettere l'infrastruttura informatica aziendale
con l'intento di trafugare i dati sensibili o di valore dell'azienda attaccata.
Le fasi di un attacco APT
L'aggressore identifica gli obiettivi
tramite risorse pubbliche (Linkedin,
Facebook, ecc) e prepara un attacco.

Punto di accesso
La compromissione avviene
attraverso attacchi zero-day

Comunicazione C&C
Permette di controllare le
macchine compromesse da
usare nelle seguenti fasi

Spostamento laterale
L'intruso compromette altre
macchine per mantenere un
controllo costante

Rilevamento risorse / dati
Vengono identificati i dati
sensibili

Estrazione illecita di dati
I dati da trafugare vengono
criptati e trasferiti su server
esterni
Queste operazioni avvengono con credenziali compromesse, ma reali
quindi risultano assolutamente invisibili ai sistemi di protezione
perimetrale come i Firewall o i sistemi di IDS (intrusion detection system).
Anche se l'azienda ripulisce un terminale compromesso, lo spostamento
laterale garantisce all'attaccante, un immediato ripristino del controllo
sulla rete. A questo punto vengono raccolti i dati sensibili e di valore,
salvati all'interno di un server chiamato "C&C" (comando e controllo) che
provvederà a spedire, in maniera anonima e criptata tali informazioni ad
uno o più server esterni di pertinenza dell'aggressore.
Tutto questo avviene nella totale insaputa dell'azienda per mesi e a volte
per anni.
Il costo per le aziende
3
Il settore del cyber crime, che sconfina
sempre più spesso nel cyber-spionaggio,
è oggi argomento corrente nel comparto
sicurezza delle aziende; resta tuttavia un
tabù il lato costi, intesi in termini di
perdite. Questo per due ragioni
principali: da una parte vi è la relativa
reticenza delle imprese ad ammettere di
essere vittime di attacchi (rischio di un
ritorno negativo in termini di immagine)
e dall'altra l'effettiva difficoltà nel poter quantificare il danno ricevuto.
La caratteristica fondamentale delle minacce APT è la capacità
dell'aggressore di sottrarre dati sensibili.
Questo favorisce la compravendita di dati trafugati per le attività di
spionaggio industriale. Conoscere i segreti o gli intenti di un'azienda
permette di anticipare le sue mosse e quindi di poter praticare una
concorrenza senza alcun rischio.
Per quanto riguarda il nostro paese i dati dimostrano infatti come la
maggioranza degli attacchi subiti dal settore produttivo negli ultimi
anni provenissero da paesi UE, seguiti da America Latina, Russia e
paesi asiatici.
Secondo uno studio della MAGLAN Information Defense Technologies
Ltd, la stima dei costi riferita al nostro paese, oscilla dai 200 mln ai 650
mln di euro riferiti all'anno appena trascorso. Come però già
accennato la quantificazione del danno è solo parziale perchè non
tiene conto delle perdite intangibili per le aziende, come il furto di
dati, know how, propietà intellettuale e via discorrendo.
A livello mondiale, stime della McAfee e CSIS parlano di un danno
economico complessivo tra i 300 ed i 1000 miliardi di dollari con un
impatto sul PIL mondiale che oscilla dallo 0,4 all'1,4%.
Secondo il rapporto CLUSIT 2013, gli attacchi al comparto economico
aumentano in maniera esponenziale: +254% nel 2012 rispetto all'anno
precedente, con un giro d'affari pari a circa 7 miliardi di dollari.
Per lo studio Ponemon del 2013, i costi medi degli attacchi informatici
per 56 grandi aziende statunitensi sono stimabili in 11,56 mln di
dollari. Lo stesso studio evidenzia che le perdite in termini economici
e reputazione per le aziende di vendita al dettaglio online
ammontano a 3,4 mln di dollari all'ora.
Alcune statistiche
Di seguito alcuni dati statistici riguardo gli
attacchi mirati:

Il 21.6% delle aziende ha subito
attacchi APT

Il 93% delle aziende ritengono gli
attachi APT una seria minaccia

il 63% delle aziende pensano che a
breve subiranno un attacco mirato

Il 79% delle aziende ritengono le
difese attuali non adeguate a questo
tipo di attacchi.
(fonte: ISACA - Advanced Persistent Threat
Awareness - 2012 )

1.8 Attacchi settimanali riusciti / per
organizzazione

67% delle infrastrutture non sono
strutturate per bloccare gli attacchi
mirati
(fonte: Ponemon Institute 2012)
4
Come difendersi
Gli attacchi mirati sono per loro natura personalizzati e quindi sviluppati
"su misura" per contrastare le difese dell'azienda da attaccare. Spesso
utilizzano vulnerabilità zero-day, quindi ancora sconosciute, e sono
mutevoli nel tempo in quanto si devono adattare alle contromisure che
l'azienda mette in atto per proteggersi. In questo scenario è facile intuire
che le difese tradizionali non sono più sufficienti per contrastare questo
tipo di attacco. Il traffico illecito avviene anche dall'interno verso l'esterno
della rete, e l'aggressore spesso utilizza credenziali reali, ma
compromesse.
Per contrastare un attacco mirato occorre una soluzione "personalizzata" che sia in grado di
riconoscere l'attacco e predisporre le corrette contromisure
Le fasi della Difesa
Per contrastare un attacco mirato
occorre una soluzione personalizzata
che sia in grado di:

Identificare l'attacco

Analizzarne le componenti

Predisporre le contromisure

Rispondere in modo rapido e
completo
L'obiettivo è impedire all'aggressore
di trafugare i dati sensibili dell'
azienda
Per contrastare un attacco "mirato" occorre una soluzione
"mirata" che sia in grado di identificare l'attacco, analizzarne le
componenti rilevanti, predisporre le contromisure e rispondere
rapidamente ed in maniera completa. Occorre spostare le
protezioni dal livello "utente" verso il bene da proteggere,
rappresentato dai dati aziendali.
La crescita esponenziale dei possibili punti di accesso alla rete,
dovuta all'introduzione in azienda dei dispositivi mobili
(smartphone e tablet), e la non conoscenza preventiva del tipo di
attacco, ci porta a considerare che se un aggressore vuole entrare
nella rete, in un modo o nell'altro lo farà. La nostra difesa, non
potendo impedire l'ingresso, può però controllare gli spostamenti
dell'intruso e bloccare le azioni illecite come il tentativo di
acquisire credenziali e privilegi di accesso cosi come il
trafugamento di dati sensibili. Dobbiamo quindi attivare il
concetto di "trust no one" e rendere protette e criptate tutte le
connessioni aziendali sia interne che esterne, aumentando il
controllo accessi interno, in modo da limitare lo spostamento
laterale.
Un'altro punto chiave è l'analisi approfondita dei log per TUTTO il
traffico, sia interno che esterno perché questo aumenta la visibilità
della rete e permette di riconoscere comportamenti tipici di
attacchi APT. L'analisi euristica di codice sospetto inoltre può
essere effettuato con la tecnologia definita "sandbox", ovvero
piattaforme virtuali personalizzabili sulle quali mandare in
esecuzione il codice in modo sicuro ed analizzarne gli effetti. Se il
codice produce azioni illecite, i pacchetti vengono bloccati e non
eseguiti nella rete aziendale.
E' molto simile ad una partita a scacchi: l'aggressore modifica le
modalità di attacco fino ad ottenere l'accesso illecito e il difensore
deve analizzare le sue mosse e fornire la contromisura adatta,
ricordando che non è importante impedire all'aggressore di
entrare nella rete, ma è fondamentale impedirgli di trafugare i dati
sensibili