Per definizione, unaminaccia persistente avanzata (APT)è un attacco prolungato e mirato contro una vittima specifica con l'intento di compromettere il suo sistema e ottenere informazioni da o su tale bersaglio.
Circa dieci anni fa, il termine era usato principalmente per indicare gli autori delle minacce sponsorizzati dallo Stato. Ho usato il termine "autori delle minacce" perché nello Stato in cui operavano e per conto del quale agivano, non erano considerati criminali informatici. Ovviamente, questa percezione cambia quando si è vittime di un attacco di questo tipo.
Quando queste minacce sono state identificate per la prima volta, i loro obiettivi erano i governi e le organizzazioni militari. Oggi, l'obiettivo può essere qualsiasi persona, organizzazione o azienda. Assistiamo comunemente ad attacchi contro il settore sanitario, le telecomunicazioni, la finanza, gli MSP, le piattaforme SaaS e i fornitori della catena di approvvigionamento.
Il termine "APT" viene spesso utilizzato come etichetta drammatica per qualsiasi violazione grave, anche se di breve durata o opportunistica. Analizziamo quindi il nome per capire cosa si intende realmente per APT.
Avanzato
Advanced non Advanced necessariamente hacking di livello hollywoodiano, ma indica che gli aggressori sono determinati e ben preparati. Spesso combinano diverse tecniche: acquistano o scoprono nuovi difetti software sconosciuti (le cosiddette vulnerabilità zero-day), sfruttano bug vecchi ma non corretti e creano e-mail di phishing molto convincenti che sembrano messaggi autentici inviati da colleghi o partner. Possono anche utilizzare strumenti di amministrazione legittimi già presenti nella rete, il che rende la loro attività più difficile da individuare perché sembra un normale lavoro IT, icosiddetti LOLbin(Living Off the Land Binaries).
In pratica, "avanzato" non significa tanto utilizzare lo strumento più sofisticato, quanto piuttosto scegliere la giusta combinazione di strumenti e tattiche per una vittima specifica. Un gruppo APT potrebbe dedicare settimane allo studio delle persone, dei sistemi e dei fornitori di un bersaglio, per poi analizzare tali dati con l'aiuto di un'intelligenza artificiale. In questo modo, quando finalmente passeranno all'azione, avranno le maggiori possibilità di riuscire al primo tentativo.
Persistente
La perseveranza è ciò che rende gli APT così pericolosi. Questi aggressori non sono interessati a un rapido attacco mordi e fuggi. Vogliono entrare, rimanere all'interno e continuare a tornare finché l'accesso è loro utile. Se i difensori scoprono la loro attività e li espellono da un sistema, possono utilizzare un'altra backdoor preparata in precedenza, oppure semplicemente riorganizzarsi e cercare un nuovo modo per entrare.
Essere persistenti significa anche muoversi lentamente e silenziosamente. Gli aggressori possono trascorrere mesi esplorando la rete, creando più punti di accesso nascosti e controllando regolarmente quali nuovi dati sono apparsi che vale la pena rubare. Dal punto di vista della difesa, questo trasforma l'incidente da un evento singolo a una campagna continua. Bisogna presumere che gli aggressori ci riproveranno, anche dopo che si pensa di averli eliminati.
Minaccia
Il termine "minaccia" non implica che sia coinvolto un solo tipo dimalware. Un APT solitamente comprende diversi tipi di attacchi. Si riferisce all'intera operazione: le persone, i loro strumenti e la loro infrastruttura, non solo un singolo malware.
Un APT può comportare phishing, sfruttamento di vulnerabilità, installazione di strumenti di accesso remoto e furto o abuso di password. Insieme, queste attività costituiscono una minaccia per i sistemi e i dati dell'organizzazione.
Dietro la minaccia c'è un team con un obiettivo (ad esempio, rubare progetti riservati, spiare le comunicazioni o prepararsi a future interruzioni) e con la pazienza e le risorse necessarie per continuare a insistere fino al raggiungimento di tale obiettivo.
Come stare al sicuro
Per evitare di cadere vittima di un APT, parti dal presupposto che potresti trovarti di fronte a un avversario formidabile.
- Presta attenzione alle e-mail, ai messaggi e agli allegati inaspettati, non solo sul posto di lavoro.
- Utilizza passkey ove possibile e password complesse e uniche ove non possibile, oltre a un gestore di password.
- Attiva l'autenticazione a più fattori (MFA) ove possibile.
- Mantieni aggiornati il software e l'hardware, in particolare le apparecchiature di rete accessibili al pubblico.
- Utilizza una soluzione anti-malware aggiornata e in tempo reale, preferibilmente con un componente di protezione web.
- Prendete nota di qualsiasi attività insolita e segnalatela, poiché anche i minimi dettagli potrebbero rivelarsi importanti in seguito.
Non ci limitiamo a segnalare le minacce, ma le eliminiamo.
I rischi per la sicurezza informatica non dovrebbero mai diffondersi al di là di un titolo di giornale. Tenete le minacce lontane dai vostri dispositivi scaricando Malwarebytes oggi stesso.
