La sigla “APT”, acronimo di Advanced Persistent Threat, indica una tipologia di attacchi mirati e persistenti portati avanti da avversari dotati di notevole expertise tecnico e grandi risorse. Come la parte “Advanced” del nome suggerisce, un attacco APT utilizza tecniche di hacking continue, clandestine e sofisticate, per ottenere l’accesso a un sistema e rimanere all’interno del sistema stesso per un periodo di tempo prolungato con conseguenze potenzialmente distruttive.

Tuttavia, APT non è solo una tipologia di attacco informatico, ma possono anche essere gruppi di hacker o criminali informatici che sfruttano la tecnica del Advanced Persistent Threat per colpire le vittime. Esistono diversi attori APT in circolazione e sono hacker estremamente tecnici che hanno a disposizione grandi risorse (sia tecnologiche che economiche).

I principali bersagli

Dato il livello di sforzo necessario per effettuare un attacco di questo tipo, gli attacchi APT sono generalmente rivolti a bersagli di alto valore, come stati e grandi aziende, con l’obiettivo finale di rubare informazioni per un lungo periodo di tempo, anziché operare una semplice “toccata e fuga”.

Il metodo di attacco APT dovrebbe essere una preoccupazione per le aziende di tutto il mondo. E le piccole e medie imprese non fanno eccezione.

Gli autori degli attacchi APT colpiscono sempre di più le aziende piccole, che appartengono alla filiera produttiva del loro obiettivo finale, come via d’accesso per raggiungere le organizzazioni di grandi dimensioni. Utilizzano come trampolino queste società a causa della loro minore possibilità di difesa.

Le caratteristiche degli attacchi APT

L’attacco informatico APT si colloca di diritto fra le infezioni informatiche, attualmente esistenti, più difficili da identificare e da debellare.

Si sa che l’attacco APT ha due caratteristiche imprescindibili:

• dura per molto tempo: da alcuni mesi fino qualche anno (l’attacco APT più lungo finora rilevato è durato circa un quinquennio).
• è difficile da identificare: anche i più moderni sistemi faticano ad identificarlo.

È importante fare questa premessa perché stiamo parlando di tecnologie di attacco particolarmente avanzate, che richiedono arguzia e ingegno di hacker formati e particolarmente abili. Possiamo dire con certezza, che le tecnologie impiegate negli APT sono accessibili a pochi e selezionati criminali web.

Un attacco APT è letale in ogni sua forma. La sua pericolosità è data dall’assoluta certezza dell’obiettivo. L’attacco informatico ATP è studiato in ogni sua fase e adattato al soggetto da colpire. Le aziende vittima di questi attacchi vengono scelte con cura dall’hacker e la loro struttura informatica viene studiata per mesi prima di essere valicata.

Nella totalità dei casi di APT, il motivo del crimine è spionaggio industriale.

Un attacco APT in evoluzione

Lo scopo di un attacco APT è quello di ottenere un accesso continuo al sistema. Gli hacker raggiungono questo obiettivo in una serie di fasi.

Fase uno: ottenere l’accesso

Gli hacker, di solito, ottengono l’accesso attraverso una rete, un file infetto, posta elettronica indesiderata o un’app di vulnerabilità per inserire malware nella rete obiettivo.

Fase due: stabilire un punto di appoggio

I cybercriminali installano un malware che consente loro di creare una rete di backdoor e tunnel che possono usare per spostarsi nei sistemi senza essere individuati. Nel malware sono spesso utilizzate tecniche come la riscrittura del codice che consentono agli hacker di nascondere le proprie tracce.

Fase tre: accedere a livelli più profondi

Una volta entrati nel sistema, gli hacker utilizzano tecniche quali la violazione delle password per ottenere i diritti di amministratore, in modo da poter controllare una parte maggiore del sistema e raggiungere livelli di accesso ancora superiori.

Fase quattro: lateral movement

Arrivati più in profondità all’interno del sistema e in possesso dei diritti di amministratore, gli hacker possono muoversi come vogliono. Possono anche tentare di accedere ad altri server e ad altre parti sicure della rete.

Fase cinque: guardare, imparare e rimanere

Dall’interno del sistema, gli hacker riescono a capire pienamente come funziona, a conoscere le sue vulnerabilità e a raccogliere tutte le informazioni che vogliono.

Gli attaccanti sarebbero in grado di mantenere questo processo in atto potenzialmente all’infinito, o ritirarsi dopo aver raggiunto un obiettivo specifico. Spesso lasciano una porta aperta per poter accedere nuovamente al sistema in futuro.

APT e fattore umano

Siccome le difese informatiche aziendali tendono a essere più sofisticate rispetto a quelle degli utenti privati, i metodi di attacco spesso richiedono il coinvolgimento attivo di qualcuno all’interno dell’organizzazione per poter entrare effettivamente nella parte del sistema che interessa.

Ciò non significa che qualcuno del personale partecipi consapevolmente all’attacco, ma piuttosto che i malintenzionati si avvalgono spesso di tecniche di ingegneria sociale, come whaling e spear phishing.

Una minaccia che rimane

Il pericolo peggiore degli attacchi APT è che, anche quando vengono scoperti e la minaccia immediata sembra svanita, gli hacker potrebbero aver lasciato varie backdoor aperte che consentono loro di tornare quando vogliono.

Inoltre, molte tradizionali difese informatiche quali antivirus e firewall, non sempre riescono a proteggere i sistemi da questi tipi di attacchi.

Per il massimo successo di una difesa continua è necessaria la combinazione di più misure, che vanno da sofisticate soluzioni di sicurezza a una forza lavoro addestrata e consapevole delle tecniche di ingegneria sociale.

Gli strumenti di prevenzione contro le APT

È estremamente difficile identificare un attacco ATP in corso. È tuttavia possibile continuare a tutelare la salute della rete informatica aziendale applicando diversi accorgimenti. Il principale strumento di prevenzione degli attacchi ATP è il Vulnerability Assessment.

Il test di vulnerabilità o Vulnerability Assessment è lo strumento fondamentale per comprendere lo stato di salute di un sistema informatico. L’attività di Vulnerability Assessment è un campanello di allarme che permette un rapido check up e consente una panoramica veloce dell’intero sistema informatico, indicando la presenza di vulnerabilità nel sistema informatico aziendale.

Poiché le vulnerabilità note sono considerate il primo punto di accesso dell’hacker ATP, trovarle e porvi rimedio è un buon primo passo per difendersi da questi attacchi. Il Vulnerability Assessment andrebbe eseguito normalmente almeno una volta all’anno.

Leggi gli altri report sul blog di Telsy