L’attacco Advanced Persistent Threat ha la peculiarità di essere molto oneroso e di lungo periodo. Vediamo come funziona, come riconoscerlo e come difendersi.
Un attacco Advanced Persistent Threat (APT) è un tipo di attacco informatico molto particolare, perché generalmente è costoso da mettere in pratica e richiede molto tempo. Non essendo un tipo di attacco tradizionale, nemmeno le sue vittime lo sono, infatti, se generalmente un attacco hacker normale può prendere di mira una PMI o un utente privato distratto, l’APT attacca solamente bersagli molto grandi, come Stati sovrani o multinazionali, a caccia di dati riservati, brevetti o ingenti somme di denaro.
Analizzando con attenzione il nome di questo tipo di attacco informatico, è possibile coglierne più nel dettaglio le caratteristiche. Advanced, ossia avanzato, indica che chi lo svolge non è quasi mai un utente inesperto, anzi, talvolta capita che a metterlo in atto siano i migliori hacker di un Paese con l’appoggio del governo.
Persistent, ossia persistente, infatti il gruppo di hacker che attacca non si lascia guidare dalla logica «mordi e fuggi», ma agisce ponderando con grande attenzione le sue mosse e dosandole con il contagocce in modo da non farsi scoprire. Un attacco di questo tipo richiede di non avere fretta, poiché chi lo compie può impiegarci anche più di un anno per arrivare al risultato sperato.
Infine il termine Threat, ossia minaccia, indica che questo tipo di attacco non è affatto casuale, ma ha degli scopi precisi. Chi effettua questo tipo di attacco non sceglie mai il bersaglio in maniera casuale, visto soprattutto il grande esborso economico che richiede, ma prepara il colpo con grande cura, studiando i dettagli e le mosse da fare.
Attacco Advanced Persistent Threat: come funziona
Secondo Kaspersky, azienda russa leader nel settore della sicurezza informatica, è possibile dividere un Advanced Persistent Threat in 5 fasi.
- Fase uno: ottenere l’accesso. Per raggiungere questo obiettivo in genere gli hacker fanno affidamento su tecniche di ingegneria sociale oppure di phishing, in modo che un utente distratto apra un file infetto che a sua volta apre le porte dell’infrastruttura agli hacker.
- Fase due: stabilire un punto di appoggio. Gli hacker installano uno o più malware per creare una «rete di backdoor» che possono usare per muoversi all’interno dell’infrastruttura IT senza essere individuati. Nei malware sono spesso utilizzate tecniche che consento agli hacker di nascondere le proprie tracce.
- Fase tre: Accedere a livelli più profondi. Una volta entrati nel sistema, gli hacker cercano un modo per violare le password per ottenere i diritti di amministratore. In questo modo possono controllare una parte maggiore del sistema e raggiungere livelli di accesso ancora superiori.
- Fase quattro: spostarsi lateralmente. Arrivati in profondità all’interno del sistema e in possesso dei diritti di amministratore, i cybercriminali possono muoversi come vogliono senza il rischio di destare alcun sospetto.
- Fase cinque: studiare ciò che si vede. Entrati all’interno dell’infrastruttura, gli hacker possono capire con calma come questa funziona, possono studiare le sue vulnerabilità e raccogliere tutte le informazioni di cui necessitano. Se riescono ad arrivare a questo punto il rischio di essere scoperti è abbastanza basso, generalmente però viene mantenuto un livello di attenzione molto alto, per non destare sospetto coi propri movimenti. Anche quando decidono di andarsene, in genere lasciano una «porta aperta», così da poter rientrare in tranquillità e senza destare sospetti.
Naturalmente, tutti questi passaggi possono richiedere moltissimo tempo, in quanto i sistemi che vengono attaccati con l’Advanced Persistent Threat sono estremamente sofisticati e perciò complessi da permeare.
leggi anche
Cybersecurity, i 10 trend del 2023
Attacco Advanced Persistent Threat: come riconoscerlo
Questo tipo di attacco hacker non è assolutamente ordinario, dal momento che chi lo compie in genere ha capacità, esperienze e possibilità economiche non ordinarie. Per questo motivo è importante prendere delle misure idonee per provare a contrastarlo. È innanzitutto essenziale imparare a riconoscere un attacco APT per riuscire a scongiurarlo. Alcuni segnali che possono far scattare un campanello d’allarme sono l’alto numeri di accessi a tarda notte, quando cioè il personale ordinario è a dormire.
È inoltre necessario prestare attenzione ai malware Trojan, capaci di infettare i computer che hanno accesso all’infrastruttura IT senza lasciare tracce. Attenzione inoltre se vedete grandi pacchetti di dati, specialmente se in formati desueti, che sono inviati a indirizzi esterni all’azienda; questo può essere un chiaro segnale che qualcuno si sta impossessando dei vostri dati.
È infine possibile che gli hacker sappiano chi sono i dirigenti delle aziende e che prendano di mira proprio loro, in virtù del fatto che, probabilmente, i loro account aziendali hanno accesso a informazioni preziose e riservate.
Attacco Advanced Persistent Threat: come difendersi
Compresi i segnali che possono manifestarsi in caso di attacco APT, è il momento di capire come provare a difendersi. Riuscirci non è semplice, ma ci sono dei mezzi che sono molto utili. È importante innanzitutto sfruttare le nuove tecnologie disponibili, come gli strumenti di big data analytics, che permettono di vedere i movimenti sui server aziendali e di conseguenza di osservare se ce ne sono di desueti.
È poi fondamentale condividere le informazioni, specialmente quelle più riservate, soltanto con persone selezionate. Più le informazioni circolano, più è possibile che qualcuno se ne impossessi. È necessario infine testare periodicamente l’infrastruttura IT e controllare che al suo interno non ci siano falle o varchi che gli hacker possono sfruttare a loro vantaggio.
Per fare ciò è possibile utilizzare fare dei test come ad esempio il vulnerability scan oppure dei veri e propri penetration test, in cui dei veri hacker etici provano a violare le difese di un’azienda per saggiarne le capacità difensive.
© RIPRODUZIONE RISERVATA
