Casa Sicurezza Minacce persistenti avanzate: prima salva nel prossimo cyberwar?

Minacce persistenti avanzate: prima salva nel prossimo cyberwar?

Sommario:

Anonim

Un attacco a una rete di computer non è più notizia principale, ma esiste un diverso tipo di attacco che porta i problemi di sicurezza informatica al livello successivo. Questi attacchi sono chiamati minacce persistenti avanzate (APT). Scopri in che modo differiscono dalle minacce quotidiane e perché sono in grado di infliggere così tanti danni nella nostra recensione di alcuni casi di alto profilo verificatisi negli ultimi anni. (Per la lettura di sfondo, controlla Le 5 minacce più spaventose nella tecnologia.)

Che cos'è un APT?

Il termine minaccia persistente avanzata (APT) può riferirsi a un aggressore con mezzi, organizzazione e motivazione sostanziali per effettuare un attacco informatico prolungato contro un bersaglio.


Un APT, non a caso, è avanzato, persistente e minaccioso. È avanzato perché utilizza metodi di attacco furtivo e multipli per compromettere un obiettivo, spesso una risorsa aziendale o governativa di alto valore. Questo tipo di attacco è anche difficile da rilevare, rimuovere e attribuire a un determinato attaccante. Peggio ancora, una volta che un bersaglio viene violato, vengono spesso create backdoor per fornire all'attaccante un accesso continuo al sistema compromesso.


Gli APT sono considerati persistenti, nel senso che l'attaccante può impiegare mesi a raccogliere informazioni sull'obiettivo e usare quell'intelligenza per lanciare attacchi multipli per un lungo periodo di tempo. È minaccioso perché gli autori sono spesso alla ricerca di informazioni altamente sensibili, come la disposizione di centrali nucleari o codici per irrompere negli appaltatori della difesa statunitensi.


Un attacco APT ha generalmente tre obiettivi principali:

  • Furto di informazioni sensibili dal bersaglio
  • Sorveglianza del bersaglio
  • Sabotaggio del bersaglio
L'attaccante spera di essere in grado di raggiungere i suoi obiettivi rimanendo inosservato.


Gli autori di APT utilizzano spesso connessioni affidabili per accedere a reti e sistemi. Queste connessioni possono essere trovate, ad esempio, attraverso un insider simpatico o un dipendente inconsapevole che cade in preda a un attacco di spear phishing.

In cosa differiscono gli APT?

Gli APT sono diversi dagli altri attacchi informatici in vari modi. Innanzitutto, gli APT usano spesso strumenti personalizzati e tecniche di intrusione - come exploit vulnerabilità, virus, worm e rootkit - progettati specificamente per penetrare nell'organizzazione target. Inoltre, gli APT lanciano spesso più attacchi simultaneamente per violare i loro obiettivi e garantire un accesso continuo ai sistemi bersaglio, a volte includendo un esca per indurre il bersaglio a pensare che l'attacco sia stato respinto con successo.


In secondo luogo, gli attacchi APT si verificano per lunghi periodi di tempo durante i quali gli attaccanti si muovono lentamente e silenziosamente per evitare il rilevamento. Contrariamente alla rapida tattica di molti attacchi lanciati da tipici criminali informatici, l'obiettivo dell'APT è di non essere rilevato spostandosi "basso e lento" con monitoraggio e interazione continui fino a quando gli attaccanti raggiungono i loro obiettivi definiti.


In terzo luogo, gli APT sono progettati per soddisfare i requisiti di spionaggio e / o sabotaggio, coinvolgendo solitamente attori statali segreti. L'obiettivo di un APT include la raccolta di informazioni militari, politiche o economiche, dati confidenziali o minacce segrete commerciali, interruzioni delle operazioni o persino distruzione di attrezzature.


In quarto luogo, gli APT mirano a una gamma limitata di obiettivi di grande valore. Sono stati lanciati attacchi APT contro agenzie e strutture governative, appaltatori della difesa e produttori di prodotti ad alta tecnologia. Anche le organizzazioni e le società che gestiscono e gestiscono le infrastrutture nazionali sono probabilmente obiettivi.

Alcuni esempi di APT

L'operazione Aurora è stata una delle prime APT ampiamente pubblicizzate; la serie di attacchi contro le società statunitensi era sofisticata, mirata, furtiva e progettata per manipolare obiettivi.

Gli attacchi, condotti a metà del 2009, hanno sfruttato una vulnerabilità nel browser Internet Explorer, consentendo agli aggressori di accedere ai sistemi informatici e scaricare malware su tali sistemi. I sistemi di computer erano collegati a un server remoto e la proprietà intellettuale è stata rubata dalle società, tra cui Google, Northrop Grumman e Dow Chemical. (Leggi altri attacchi dannosi nel software dannoso: worm, trojan e bot, oh mio!)


Stuxnet è stato il primo APT a utilizzare un attacco informatico per interrompere l'infrastruttura fisica. Si ritiene che sia stato sviluppato dagli Stati Uniti e da Israele, il worm Stuxnet ha preso di mira i sistemi di controllo industriale di una centrale nucleare iraniana.


Anche se Stuxnet sembra essere stato sviluppato per attaccare gli impianti nucleari iraniani, si è diffuso ben oltre l'obiettivo prefissato e potrebbe anche essere usato contro impianti industriali nei paesi occidentali, compresi gli Stati Uniti.


Uno degli esempi più importanti di un APT è stata la violazione di RSA, una società di sicurezza informatica e di rete. Nel marzo 2011, RSA ha avuto una falla quando è stata penetrata da un attacco di spear-phishing che ha attaccato uno dei suoi dipendenti e ha provocato un'enorme cattura per i cyberattaccanti.


In una lettera aperta a RSA pubblicata dai clienti sul sito Web della società nel marzo 2011, il presidente esecutivo Art Coviello ha dichiarato che un sofisticato attacco APT aveva estratto preziose informazioni relative al suo prodotto di autenticazione a due fattori SecurID utilizzato dai lavoratori remoti per accedere in modo sicuro alla rete della loro azienda .


"Mentre al momento siamo certi che le informazioni estratte non consentano un attacco diretto di successo a nessuno dei nostri clienti RSA SecurID, queste informazioni potrebbero potenzialmente essere utilizzate per ridurre l'efficacia di un'implementazione di autenticazione a due fattori attuale come parte di un più ampio attacco ", ha detto Coviello.


Ma Coviello, a quanto pare, si sbagliava, poiché numerosi clienti di token RSA SecurID, tra cui il colosso della difesa statunitense Lockheed Martin, hanno riferito di attacchi derivanti dalla violazione di RSA. Nel tentativo di limitare i danni, RSA ha accettato di sostituire i token per i suoi clienti chiave.

Quali APT?

Una cosa è certa: gli APT continueranno. Finché ci sono informazioni sensibili da rubare, i gruppi organizzati li seguiranno. E finché esisteranno le nazioni, ci saranno spionaggio e sabotaggi - fisici o informatici.


Esiste già un seguito al worm Stuxnet, soprannominato Duqu, che è stato scoperto nell'autunno del 2011. Come un agente dormiente, Duqu si è rapidamente incorporato in sistemi industriali chiave e sta raccogliendo informazioni e aspettando il suo tempo. State tranquilli che sta studiando documenti di progettazione per trovare punti deboli per attacchi futuri.

Minacce alla sicurezza del 21 ° secolo

Certamente, Stuxnet, Duqu e i loro eredi affliggeranno sempre più governi, operatori di infrastrutture critiche e professionisti della sicurezza delle informazioni. È tempo di prendere sul serio queste minacce quanto i banali problemi di sicurezza delle informazioni della vita quotidiana nel 21 ° secolo.

Minacce persistenti avanzate: prima salva nel prossimo cyberwar?