Che cos’è una APT?

11 Giu 2013

APT significa advanced persistent threat, una tipologia di attacchi mirati e persistenti diventati particolarmente famosi in seguito alla campagna malware che ha colpito il New York Times e divulgata dalla stessa testata giornalistica. Un’unità militare cinese, conosciuta come “APT 1”, sarebbe riuscita a penetrare nella rete della compagnia, colpendola con una serie di e-mail phishing e una valanga di campioni malware su misura.

Attacchi APT

 

In realtà, il termine APT ingloba due concetti: APT come ‘attacco’ e APT come ‘gruppo hacker’. Nel primo caso, si intente un cyberattacco mirato e persistente. Nel secondo caso, ci riferiamo al gruppo, spesso ben finanziato, che ha organizzato l’attacco.

Gli attacchi APT non funzionano come gli attacchi normali. Quando si pensa ai cybercriminali o agli hacker che diffondono malware, si pensa in genere che il loro obiettivo sia infettare il maggior numero di computer possibile (li si immagina operando attraverso furto di credenziali, costruzione di botnet o altri tipi di software dannosi). Quanto più ampia è la rete, maggiore sarà l’opportunità di rubare soldi, risorse informatiche e qualsiasi altro dato prezioso. A un hacker APT, invece, interessa principalmente infettare un computer di una persona specifica.

L’obiettivo finale di un attacco in stile APT è compromettere un computer che contiene specifici dati di valore. L’ideale sarebbe piazzare un keylogger o un backdoor nel computer del capo esecutivo o del dirigente di una importante azienda – ma per fregare un pesce grosso, l’hacker dovrebbe svegliarsi molto presto la mattina, e questa è gente che non si fa ingannare facilmente. I dirigenti hanno a loro disposizione team specializzati in sicurezza IT e strumenti di ultima generazione che proteggono i loro sistemi. In altre parole, hackerare il computer di un capo esecutivo è un compito estremamente arduo.

Ecco perché, al posto di puntare al CEO, gli hacker APT preferiscono colpire un impiegato che si trovi un po’ più in basso nella scala gerarchica, per esempio, un copywriter o un graphic designer. Il computer di questo impiegato non avrà dati di particolare valore, ma trovandosi all’interno della rete in cui si trovano i computer con più valore, verrà usato per raggiungere e infettare quest’ultimi. Ricapitoliamo: 1. compromettere un computer di un copywriter; 2. usare la sua mail per attaccare il CEO via phishing.

Tuttavia, si tratta di una tattica complessa. Non è facile, soprattutto tenendo in considerazione che le aziende di oggi investono sempre più soldi nelle misure di sicurezza aziendali e nella formazione dei propri impiegati. Gli hacker APT hanno quindi iniziato a colpire obiettivi sempre più ‘oscuri’ e lontani dall’obiettivo finale, organizzando attacchi a catena per raggiungere i dati di valore. Per esempio, immaginiamo che il tuo prozio sia un pezzo grosso di qualche compagnia aerea e che tu lavori come ingegnere in un’importante azienda specializzata nello sviluppo di uno speciale componente per questi aerei. I criminali APT cercheranno di colpire te per giungere poco a poco ai segreti della azienda del tuo prozio.

Il punto è proprio questo: non è necessario essere il CEO dell’azienda per essere tra i potenziali bersagli di un attacco APT. Chiunque con una connessione a Internet può essere un bersaglio potenziale.

Proprio la settimana scorsa uno dei nostri colleghi di Securelist ha scoperto una potente campagna di spionaggio in stile APT chiamata “NetTraveler” che ha preso di mira diplomatici, agenti militari e agenzie governative in 40 paesi diversi. Questo attacco, come molti altri in stile APT, sono iniziati con il lancio di e-mail phishing in grado di sfruttare alcune vulnerabilità di Microsoft, per poi estrarre informazioni di sistema, modificare configurazioni e rubare progetti Corel Draw e file di AutoCAD. Questo genere di attacchi dovrebbero essere considerati attacchi APT perché attaccano computer e persone che nascondo specifici file. Come menzionato poco fa, con il termine APT si intende sia l’attacco, che il gruppo che organizza l’attacco – e quando si tratta del secondo caso, i danni sono seri. Magari non così seri come nel caso di “Comment Crew” (alias “APT 1”), ma i ricercatori di Kaspersky Lab affermano che chi ha lanciato la campagna “NetTraveler” è probabilmente responsabile anche degli attacchi Titan Rain e GhostNet.