Gli attacchi mirati non sono sempre di tipo avanzato
Raimund Genes osserva come il problema delle minacce legate alle App non vada però correlato al sistema operativo ma, piuttosto, all'esistenza di un ecosistema aperto per la diffusione delle App. Questa è la scelta, per esempio, di Google, a cui si contrappone l'alternativa proposta da Apple di predisporre un ecosistema chiuso sottoposto a un controllo al limite dell'esasperazione, col risultato di conseguire un maggiore livello di protezione al "costo" di limitare il numero di App disponibili.
"Spesso si parla di attacchi APT ma molti di questi, non partono come attacchi sofisticati. – ha spiegato Genes -. Il concetto da comprendere è che il cyber crimine punta al minimo sforzo per ottenere il risultato prefissato: non ha senso investire un milione di dollari per attaccare in modo ultra sofisticato un'organizzazione se è possibile ottenere il medesimo risultato con pochi sforzi. Per questo motivo il punto di partenza degli attacchi mirati è solitamente un Toolkit piuttosto semplice che, tuttavia, in molti casi risulta efficace".
Per questo motivo Trend Micro punta a precisare che la denominazione APT non è sempre precisa e pone l'attenzione sul carattere "mirato" anziché sul concetto di "avanzato". In ogni caso esiste un meccanismo comune a cui può essere ricondotto il modo con cui sono organizzati questi attacchi che è strutturato in tre macro fasi successive: analisi preliminare, compromissione e sottrazione.
Alle minacce APT Trend Micro ha dedicato il "2Q Report on Targeted Attack Campaigns", scaricabile al seguente LINK che rappresenta il primo di una serie di report trimestrali che saranno dedicati dal vendor a questo specifico fenomeno.
Dal report si evidenziano una serie di interessanti risultati. L’obiettivo principale dei malintenzionati risultano essere i governi e le organizzazioni governative, con una maggiore concentrazione in Asia e in Europa (86% degli attacchi), ma crescono le campagne indirizzate alle le aziende nei diversi settori di mercato, in particolare rivolte al mondo dell’informatica e delle telecomunicazioni.
Attacchi mirati: i principali obiettivi nel Mondo
Il principale vettore di attacco per gli attacchi APT nel 2012 è risultata lo spear phishing; il 92% degli attacchi infatti è stato avviato tramite questa modalità che prevede tecniche mirate di phishing e di social engineering per indurre uno specifico utente a esporsi a malware in grado di compromettere la rete della sua azienda. Una tecnica che, secondo il report di Trend Micro, nel 59% dei casi privilegia l'utilizzo di allegati con file compressi che, una volta aperti, avviano direttamente il processo di attacco.
Gli attacchi mirati sono in genere orchestrati a distanza tramite comunicazioni C&C (Comando e Controllo) tra i sistemi infiltrati e gli stessi cyber criminali. Durante l'attacco, i cyber criminali utilizzano questo canale per aprire e modificare l’accesso alle backdoor di rete in modo da trovare e appropriarsi dei dati-obiettivo.
Trend Micro ha monitorato il volume delle attività dei server di C&C identificando che la maggior parte degli attacchi sono partiti dall’Australia (32%) mentre l’Italia si colloca al quinto posto nella classifica con il 6% delle attività C&C.
Collocazione dei server C&C implicati negli attacchi mirati per volume di attività