Che cos’è una minaccia persistente avanzata (APT)?

Una minaccia persistente avanzata (APT) è un attacco informatico sofisticato e sistematico che continua per un periodo di tempo prolungato ed è spesso orchestrato da un gruppo di hacker esperti. L'attacco sviluppato dal gruppo di hacker o l'APT punta a un obiettivo specifico, che può andare dal sabotaggio allo spionaggio industriale.

Dal furto della proprietà intellettuale a quello di dati finanziari personali, le APT sono progettate per aggirare le disposizioni di sicurezza in essere e causare il massimo livello possibile di danni e distruzione. Un criminale (o più probabilmente un gruppo di criminali) determinato ed esperto può usare vari vettori e punti di ingresso per realizzare il suo obiettivo e può eludere il rilevamento per mesi o addirittura anni.

Un’APT si sviluppa nel tempo e solitamente segue specifici passaggi:

1. L’autore della minaccia si infiltra nella rete. L'infiltrazione può avvenire tramite un’e-mail di phishing, un allegato dannoso o una vulnerabilità nelle applicazioni e solitamente consiste nell’introduzione del malware in un punto della rete.
2. Il software dannoso cerca le vulnerabilità o comunica con server command-and-control (CnC) esterni per ulteriori istruzioni o per ottenere un codice aggiuntivo.
3. Spesso il malware crea ulteriori punti di compromissione per assicurare che l'attacco possa continuare se un punto di ingresso o una vulnerabilità specifica vengono chiusi o rafforzati.
4. Quando il criminale informatico capisce di essere riuscito ad accedere alla rete, si mette al lavoro, ad esempio impossessandosi di nomi e password degli account, rubando file riservati o eliminando dati.
5. Il malware usa un server di staging per raccogliere i dati che poi, sotto il controllo dell’autore della minaccia, vengono poi esfiltrati in un server esterno. A questo punto la violazione della rete è totale, anche se l’autore della minaccia farà il possibile per coprire le sue tracce e rimuovere le prove, in modo da poter tornare e ripetere continuamente il processo.

Molto spesso le minacce persistenti avanzate sono sponsorizzate da organizzazioni molto grandi o da Paesi. La loro presenza risale agli anni 1980, con esempi famosi come la storia raccontata nel libro "The Cuckoo's Egg", ovvero la caccia ossessiva di un analista di sistemi sulle tracce di un hacker che era riuscito ad accedere alla rete del Lawrence Berkeley National Laboratory. La vicenda, infine culminata nella cattura dell’hacker, durò molti anni durante i quali grandi volumi di dati sensibili furono venduti al KGB.

Le APT moderne conservano ancora le stesse caratteristiche, ma usano tecniche altamente sofisticate e coinvolgono un grande numero di persone, accuratamente coordinate. La famiglia di minacce Hydraq ne è un esempio. Ha colpito molte reti di alto profilo, come Adobe Systems, Juniper Networks e Rackspace, con una campagna di Trojan presumibilmente di origine cinese. Altre aziende operanti in settori critici come quello bancario, petrolifero e della sicurezza, sono state prese di mira, ma non hanno divulgato al pubblico questi incidenti.

Purtroppo, le misure di sicurezza tradizionali come firewalls, defense-in-depth e soluzioni antivirus non sono in grado di proteggere efficacemente un’organizzazione da un attacco APT. Sono necessarie soluzioni di rilevamento delle minacce persistenti avanzate in grado di intercettare i potenziali attacchi utilizzando le informazioni più recenti disponibili sulle metodologie delle minacce e sui loro autori.

La soluzione Advanced Malware Detection di Forcepoint è la massima linea di difesa dagli attacchi APT. È studiata per evitare disastrose violazioni dai malware zero-day più evasivi e per fornire ai team di Incident Response gli strumenti e le informazioni necessari per rispondere alle minacce il più rapidamente e accuratamente possibile.