Le Advanced Persistent Threat o APT rappresentano una delle linee di frontiera negli attacchi informatici, che si trova sempre più al centro dell’attenzione per due primati "negativi".
Il primo è l'elevato danno che sono in grado di arrecare, ulteriormente aggravato dall’alto livello di efficacia che solitamente riescono a conseguire. Il secondo è la difficoltà incontrata dalle soluzioni di protezione di tipo più tradizionale nel contrastarle efficacemente.
Questo perché le APT rappresentano una minaccia che non si limita a una semplice intrusione rivolta a inserire un malware ma che punta, invece, a predisporre un attacco continuativo nel tempo che prosegue fino a quando l’attaccante non è riuscito nel suo intento di penetrare all’interno della rete del suo target.
Le motivazioni che spingono i cyber criminali verso questo accanimento possono essere di tipo politico, sociale o finanziario. Un attacco APT non si affida solo alla tecnologia ma anche e soprattutto allo studio dei soggetti che utilizzano le tecnologie, per riuscire a individuare il punto di maggiore vulnerabilità all'interno dell’organizzazione attaccata.
APT è un processo di attacco che segue regole precise e determinate e che è stato studiato e definito tanto da poter essere ricondotto a cinque fasi specifiche.
Le 5 fasi di un attacco mirato
Le cinque fasi di un attacco mirato
Il livello zero è quello di preparazione dell'attacco, in cui viene effettuata l'investigazione e sono utilizzati semplici tool per raccogliere le informazioni sull’organizzazione target e sui soggetti indirettamente collegati a essa. Tra questi ultimi possono esserci aziende partner, collaboratori o clienti dell’organizzazione sotto attacco, spesso aggirati con l'uso di tecniche di social engineering al fine di ottenere informazioni che, separatamente, possono sembrare poco rilevanti ma che, se correlate tra loro, possono fornire chiavi per la compromissione della sicurezza.
La fase 1 di un attacco mirato è quella di penetrazione iniziale in cui si cerca di installare un malware per ottenere la compromissione del primo sistema (solitamente uno poco importante e quindi più vulnerabile) che sarà deputato a costituire il tassello di partenza per la costruzione di una vera e propria piattaforma di attacco.
La seconda fase prevede la messa a punto della piattaforma di attacco, in cui l'hacker partendo dal primo pc compromesso, riesce a espandere la propria presenza e controllo a una pluralità di sistemi collegati all’interno della rete.
La terza fase prevede un’investigazione sui sistemi interni, resa possibile dal fatto di essere già saldamente presenti all'interno della rete: prevede l'analisi delle vulnerabilità sui server, degli hot-fix installati o della tipologia di comunicazione utilizzata. A questo livello gli hacker sfruttano una backdoor per scaricare informazioni.
L’ultima fase è quella dell’attacco vero e proprio verso il target prefissato, durante la quale vengono sottratte informazioni chiave attraverso la backdoor e in cui l’attacco viene costantemente ripetuto.
La predisposizione di una protezione efficace dovrà quindi confrontarsi con le vulnerabilità associate a ognuna di queste fasi, predisponendo contromisure in grado di operare non solo in modo efficace ma anche sinergico tra loro.