Una minaccia persistente avanzata è un attacco mirato in cui utenti malintenzionati entrano in una rete e rimangono nascosti per lunghi periodi di tempo.
Gli aggressori utilizzano una gamma di moderni strumenti tecnici con il processo decisionale umano e molti sono bravi a studiare un sistema per ottenere l'accesso silenziosamente prima che raccolgano dati preziosi.
Cosa devi sapere:
- un APT è un attacco informatico mirato a lungo termine che utilizza operazioni furtive e operatori umani. Questi gruppi si concentrano sul rimanere all'interno di una rete anziché causare danni rapidi.
- Gli aggressori si affidano a tattiche come phishing, exploit zero-day, social engineering e metodi basati sull'IA per ottenere e mantenere l'accesso.
- Le APT si concentrano sulle organizzazioni, ma le persone possono risentirne a causa di dati esposti o dispositivi compromessi.
- Le gravi violazioni spesso includono informazioni personali che gli utenti malintenzionati riutilizzano o vendono.
- Gli attacchi APT si svolgono in più fasi e molti gruppi moderni ora utilizzano l'IA per ricostruire l'accesso se i difensori interromperanno parte dell'attacco.
- Gli utenti possono ridurre i rischi aggiornando i dispositivi e utilizzando buone abitudini di protezione del computer e strumenti di protezione basati sul comportamento.
- I recenti casi di APT mettono in evidenza gli attacchi alla catena di approvvigionamento e un'ingegneria sociale più realistica.
Cosa significa APT nella sicurezza informatica?
Una minaccia persistente avanzata (APT) è un attacco mirato in cui un autore di una minaccia ottiene l'accesso a un sistema e vi rimane per un lungo periodo di tempo.
Il termine avanzato si riferisce agli strumenti e alle tecniche utilizzate per effragare. exploit zero-day , malware personalizzato e metodi assistiti dall'IA sono tutti esempi di metodi utilizzati dai truffatori. Persistente significa che gli aggressori non escono una volta entrati. Continuano a monitorare il sistema e ricostruire l'accesso se i difensori li escludono. Adeguano ed evolvono il loro approccio secondo necessità.
Le APT moderne non sono completamente automatizzate. Gli operatori umani guidano l'attacco e reagiscono alle difese per offrire un approccio più mirato. L'IA svolge un ruolo sempre più importante poiché consente agli utenti malintenzionati di muoversi più velocemente e mantenere la presenza con meno sforzo. Può inoltre aiutarli a nascondere la propria identità ed evitare il rilevamento.
Le descrizioni classiche delle APT in Cybersecurity spesso elencano cinque fasi, ma questi passaggi continuano a evolversi. Gli attacchi più recenti aggiungono persistenza basata sull'intelligenza artificiale tramite l'automazione e metodi flessibili di comando e controllo possono inoltre consentire agli aggressori di rimanere sul posto anche se viene rilevata parte delle loro operazioni.
Perché il fattore umano è importante
La maggior parte degli attacchi APT inizia con qualcuno che viene ingannato. Il social engineering offre uno sbocco agli aggressori e rimane uno dei modi più affidabili per ottenere l'accesso.
Anche difese tecniche solide possono essere infrante se un utente malintenzionato convince una singola persona a fare clic su un collegamento o a rivelare una piccola informazione.
Le tattiche moderne stanno diventando più avanzate e non lanciano una rete così ampia. I messaggi di phishing di Spear ora utilizzano dettagli aziendali reali o thread e-mail rubati. La scrittura generata dall'IA può farli sembrare autentici e professionali.
Anche l'esca si è evoluta. Gli utenti malintenzionati possono utilizzare pagine di accesso cloud false e notifiche urgenti che imitano i sistemi interni. Queste tecniche rendono più difficile per gli utenti individuare una trappola, soprattutto quando i messaggi sembrano provenire in modo così convincente da un collega o da un partner fidato.
Le decisioni umane plasmano le prime fasi di molte intrusioni APT. Un momento di distrazione o un messaggio truffa ben congegnato possono offrire agli utenti malintenzionati l'accesso di cui hanno bisogno per stabilirsi in una rete.
Come funziona un attacco APT?
Un attacco APT si sviluppa in una serie di fasi che consentono agli utenti malintenzionati di entrare in una rete e operare senza attirare l'attenzione. La maggior parte degli attacchi segue uno schema familiare:
Fase uno: ottenere l'accesso
l'accesso è il primo passaggio. I criminali informatici in genere ottengono l'accesso tramite una rete, un file infetto, la posta indesiderata o la vulnerabilità di un'app per inserire malware in una rete di destinazione. Le tecniche moderne fanno sì che questa fase sia spesso automatizzata. Gli aggressori automatizzano, testano più punti di ingresso contemporaneamente e adattano il proprio approccio quando gli strumenti di protezione bloccano un tentativo.
Fase due: stabilire un punto di appoggio
I cybercriminali installano malware che consente loro di creare una rete di backdoor e tunnel che possono usare per spostarsi nei sistemi senza essere individuati. Nel malware sono spesso utilizzate tecniche come la riscrittura del codice che consentono agli hacker di nascondere le proprie tracce.
I moderni punti d'appoggio sono progettati per sopravvivere ai tentativi di rimozione e possono reinstallarsi automaticamente. Alcuni passano a nuove vie di accesso quando intervengono i difensori.
Fase tre: accedere a livelli più profondi
Una volta entrati nel sistema, gli hacker utilizzano tecniche quali la violazione delle password per ottenere i diritti di amministratore, in modo da poter controllare una parte maggiore del sistema e raggiungere livelli di accesso ancora superiori. Questo processo ora può anche essere guidato da strumenti e script automatizzati che associano le autorizzazioni e si adattano rapidamente se l'accesso è limitato o monitorato. Rende più difficile sradicare gli aggressori.
Fase quattro: spostarsi lateralmente
Arrivati più in profondità all'interno del sistema e in possesso dei diritti di amministratore, gli hacker possono muoversi come vogliono. Possono anche tentare di accedere ad altri server e ad altre parti sicure della rete. Questa è un'altra area che sempre più truffatori hanno automatizzato per cercare di ottenere un punto d'appoggio e una comprensione più ampi del sistema.
Fase cinque: guardare, imparare e rimanere
Una volta all'interno del sistema, gli aggressori acquisiscono una comprensione dettagliata di come funziona e dove sono i suoi punti deboli. Questo consente loro di raccogliere silenziosamente le informazioni che stanno cercando. Allo stesso tempo, si adattano alle misure di sicurezza e utilizzano tecniche di occultamento avanzate per rimanere all'interno del sistema il più a lungo possibile.
Protect Against APT
Le minacce persistenti Advanced sono progettate per rimanere nascoste e adattarsi nel tempo. Gli strumenti di sicurezza basati sulla protezione basata sul comportamento e sull'intelligenza artificiale possono aiutare a rilevare tempestivamente attività insolite e ridurre il rischio di accesso a lungo termine.
Esplora il portfolio Kaspersky EnterpriseIn che modo gli aggressori possono entrare e ottenere il controllo?
I gruppi APT spesso iniziano trovando un singolo punto debole e sfruttandolo lentamente. Questo può essere un difetto di un sistema aziendale, di un dispositivo personale o di un servizio online utilizzato dalle persone ogni giorno.
I loro metodi stanno diventando sempre più convincenti. Un exploit zero-day sfrutta un difetto del software che non è stato ancora corretto e può interessare sia il software aziendale che le app consumer. Gli attacchi wateringhole comportano l'infezione di siti Web visitati regolarmente da determinati gruppi di utenti. Anche l'esca si è evoluta e ora spesso include pagine di accesso cloud false o prompt di sistema urgenti che sembrano reali e sono progettati per ingannare sia i dipendenti che gli utenti privati.
Molti attacchi APT non iniziano con l'obiettivo principale stesso. Al contrario, gli aggressori spesso violano prima i provider di servizi più piccoli o gli strumenti software ampiamente utilizzati. Da lì possono raggiungere sia le organizzazioni che i singoli utenti che si affidano a tali servizi, soprattutto quando sono connessi account o dispositivi aziendali e personali.
Gli aggressori di solito creano un punto d'appoggio installando backdoor o shell remote. Questi strumenti consentono di riconnettersi al sistema in qualsiasi momento e bloccano i tentativi di rimozione dell'accesso. I truffatori di solito lavorano quindi per espandere l'accesso sfruttando le falle interne del sistema. Elevano inoltre i propri privilegi per strappare il controllo su più sistemi.
In che modo gli utenti malintenzionati spostano, nascondono e mantengono l'accesso a lungo termine
Quando dispongono di un accesso più efficace, gli aggressori iniziano a esplorare i sistemi, gli account e gli strumenti di comunicazione connessi rimanendo nascosti. Questo può includere server aziendali, servizi cloud o persino reti domestiche e personali connesse tramite dispositivi di lavoro o account condivisi.
Il loro obiettivo è capire come funziona l'ambiente e come possono passare inosservati causando danni. Questo offre loro più tempo per accedere alle informazioni personali, agli account utente connesso e ad altri dati sensibili legati sia alle organizzazioni che alle persone.
Gli aggressori si affidano a tecniche che lasciano poche tracce. Possono alterare i registri o talvolta utilizzare sofisticati malware senza file eseguiti in memoria. Alcuni instradano le comunicazioni attraverso canali criptati progettati per integrarsi con il normale traffico. È stato anche visto l'utilizzo della persistenza assistita dall'IA che può alterare il comportamento quando gli strumenti di protezione reagiscono e ricostruire l'accesso se rimosso.
Le migliori difese utilizzano anche l'IA e l'apprendimento automatico per contrattaccare. Questi strumenti ricercano comportamenti insoliti all'interno degli account e delle reti online e possono individuare schemi di accesso o attività dei dati che non corrispondono al normale utilizzo. Questo è importante perché molti attacchi avanzati non si basano su malware evidente. Si mimetizzano e aspettano.
Da un punto di vista della sicurezza personale, ciò significa che la protezione moderna si concentra sulla riduzione dei rischi tempestivamente anziché semplicemente sulla reazione in caso di problemi. Gli strumenti di protezione sono in grado di individuare piccoli segnali di avvertimento e limitare l'accesso prima che gli aggressori abbiano il tempo di spostarsi o rimanere in contatto.
Le difese APT continuano ad evolversi
Alcune difese sono ancora in via di sviluppo. Il criptaggio quantistico è un approccio emergente progettato per proteggere i dati sensibili da futuri metodi di attacco che potrebbero violare gli standard di criptaggio odierni. Sebbene non sia un aspetto che la maggior parte dei consumatori debba configurare autonomamente, è sempre più utilizzato dietro le quinte dai fornitori di servizi per rafforzare la protezione dei dati a lungo termine.
Gli incidenti recenti mostrano la velocità con cui si stanno evolvendo i metodi APT e che la definizione di minaccia persistente avanzata continua a cambiare con la tecnologia. Attacchi più recenti hanno utilizzato aggiornamenti software avvelenati e persino audio deepfake per il social engineering. Alcuni sono stati preoccupati per le nuove tecniche di "vivere dei frutti della terra" che si basano su strumenti legittimi all'interno della rete. Ogni caso evidenzia quanto possano essere flessibili e pazienti questi gruppi.
Anche quando un'operazione APT sembra essere arrestata, la minaccia potrebbe non essere scomparsa. Gli aggressori spesso lasciano backdoor nascoste e impianti secondari che consentono loro di tornare in un secondo momento. La comprensione dell'intero ciclo di vita di un'APT aiuta le organizzazioni e gli individui a capire di che tipo di minaccia si tratta.
Chi sono gli aggressori di Advanced Persistent Threats?
Gli attacchi APT vengono generalmente effettuati da gruppi ampi e dotati di risorse adeguate anziché da hacker solitari.
Molti sono legati a programmi statali-nazione, in cui i governi finanziano operazioni informatiche a lungo termine per raccogliere informazioni o ottenere un vantaggio strategico.
Ci sono anche attori ibridi che confondono il confine tra gruppi sostenuti dal governo e reti criminali. Esistono anche gruppi organizzati di criminali informatici che possono utilizzare tattiche in stile APT (tra molte altre) per rubare dati o estorcere denaro.
Questi aggressori spesso si concentrano su settori che supportano servizi critici o archiviano grandi volumi di dati sensibili.
Perché lanciano le campagne APT
I gruppi APT non sono tutti uguali: eseguono campagne per diversi motivi.
Alcuni si concentrano sullo spionaggio e sulla sorveglianza a lungo termine come parte di un vantaggio politico. Altri mirano a un guadagno finanziario a breve termine. Ciò che condividono è pazienza e pianificazione. Questi attacchi sono progettati per offrire valore nel tempo, non vittorie rapide.
Gli attacchi APT colpiscono le persone normali?
L'impatto di APT raggiunge spesso gli utenti comuni come parte di violazioni molto più gravi. Possono inoltre attaccare le persone che hanno collegamenti con organizzazioni.
In che modo le persone diventano vittime indirette
Quando gli aggressori violano un'azienda o un servizio pubblico, spesso hanno accesso a molti record personali. Anche se non eri l'obiettivo previsto, le tue informazioni potrebbero comunque essere colte nella violazione. È importante
In che modo i dispositivi personali possono abilitare gli attacchi
I dispositivi personali e di lavoro vengono spesso utilizzati come punti di ingresso. Un laptop o una rete domestica compromessa può offrire agli utenti malintenzionati un punto d'appoggio in un ambiente più ampio quando i dispositivi si connettono ai sistemi aziendali. Poiché un numero sempre maggiore di famiglie fa affidamento sui dispositivi connessi, le debolezze della sicurezza domestica possono anche esporre i sistemi per la casa intelligente, le reti personali e gli account collegati ad attacchi più ampi.
I segni che gli utenti comuni potrebbero notare
l'attività di APT è in genere sottile in base alla progettazione. Ma possono comparire alcuni segni. Questi possono includere avvisi di accesso imprevisti, attività insolita dell'account e dispositivi che funzionano più lentamente del normale. È inoltre necessario prestare attenzione ai ripetuti tentativi di phishing che sembrano altamente personalizzati.
Ignorare i segnali di pericolo rivelatori può concedere agli utenti malintenzionati più tempo per rimanere nascosti e persino aumentare il rischio di acquisizione di proprietà dell'account a lungo termine o di una più ampia esposizione dei dati.
In che modo un APT è diverso dal normale malware?
Un APT non è un attacco rapido o a dispersione. È mirato e progettato per essere nascosto e rimanere nascosto per lunghi periodi di tempo.
Il malware periodico in genere si diffonde ampiamente e provoca danni immediati, ma i gruppi APT selezionano vittime specifiche e lavorano in modo dettagliato e preciso per evitare il rilevamento. In realtà sono l' opposto di alcuni approcci malware scattergun.
Gli attacchi ransomware possono essere una forma di APT e mirare a bloccare i file e richiedere il pagamento in poche ore. Gli attori APT preferiscono un accesso silenzioso che consente loro di studiare i sistemi e raccogliere dati preziosi nell'arco di settimane o mesi. Sfruttano il processo decisionale umano e le tecniche che cambiano con la reazione dei difensori. Questo livello di controllo li separa dal malware di base che segue uno script fisso.
Come rilevare una minaccia persistente avanzata
Il rilevamento avanzato delle minacce persistenti è reso più difficile dal fatto che l'attività è progettata per integrarsi nel comportamento normale. Ciò non significa che funzioni sempre perfettamente o che non sia rilevabile e che molti segnali possono comunque avvisarti. Prestare attenzione ai comportamenti strani:
- Accesso a file in orari dispari
- Trasferimenti di dati inaspettati o inspiegabili
- Accesso agli account da posizioni sconosciute
- Prestazioni del dispositivo più lente
- Elevato utilizzo della rete
- Anche la modifica delle impostazioni senza l'input dell'utente può causare problemi
È inoltre necessario verificare la presenza di app sconosciute o attività in background non è stato installato. Il monitoraggio di file e configurazioni importanti può aiutare a notare subito le piccole modifiche, prima che gli utenti malintenzionati si diffondano ulteriormente.
Gli antivirus e i firewall tradizionali facevano molto affidamento sulle firme del malware note. I nostri strumenti di sicurezza sono passati al monitoraggio basato sul comportamento e basato sull'intelligenza artificiale, che cerca azioni insolite anziché eseguire la scansione solo alla ricerca di minacce familiari.
Il rilevamento avanzato delle minacce, nonché la verifica e la rimozione dei virus da parte di Kaspersky possono contribuire a proteggere i consumatori e rimuovere le minacce che hanno sfondato le difese.
Avvisi di sicurezza e monitoraggio dell'account
Attivare gli avvisi di accesso per gli account più importanti per avvisarti se qualcuno tenta di accedere al tuo account. Controllare i registri attività in tutti gli account e gli strumenti online per confermare che sta accedendo solo tu. Questi avvisi possono generare un avviso anticipato se qualcuno tenta di utilizzare le credenziali rubate.
Strumenti di rilevamento utili
Utilizzare sofisticati software di protezione che controllano comportamenti sospetti, non solo firme di malware note. Gli strumenti comportamentali e basati sull'IA possono rilevare prima le anomalie e impedire agli utenti malintenzionati di addentrarsi nel sistema.
Mantieni sempre abilitati gli aggiornamenti automatici in modo che il dispositivo disponga delle protezioni più recenti contro le nuove tecniche APT. Gli strumenti di Kaspersky possono inoltre proteggerti da siti e e-mail falsi creati dai criminali informatici per rubare la tua identità e denaro.
In che modo gli individui possono proteggersi dalle tattiche APT?
Aggiornamenti software regolari, autenticazione a più fattori, password complesse e costante sensibilizzazione al phishing rimuovono molte delle aperture su cui si basano questi gruppi.
Anche un singolo tentativo bloccato può impedire a utenti malintenzionati di ottenere l'accesso di cui hanno bisogno per addentrarsi in una rete. Sebbene questi attacchi in genere colpiscano le grandi organizzazioni, le abitudini personali contano comunque. Sono necessarie difese solide su tutta la linea. I dispositivi domestici, gli account e-mail personali e le password riutilizzate sono spesso l'anello più debole sfruttato dagli aggressori per raggiungere sistemi più grandi.
L'utilizzo di moderni software di protezione riduce i rischi. Gli strumenti odierni si concentrano meno sull'individuazione del malware noto e più sulla limitazione dei comportamenti sospetti e sulla prevenzione di modifiche non autorizzate. Questo aiuta a ridurre l'esposizione nel tempo, anziché reagire solo dopo che il danno è stato causato.
Grazie ai progressi tecnologici stanno inoltre emergendo nuovi approcci di protezione. Alcune piattaforme ora utilizzano il tracciamento basato su blockchain per creare record a prova di manomissione delle attività del sistema e delle modifiche ai file. Registrando gli eventi in un modo che non può essere modificato silenziosamente, questi sistemi rendono più difficile per gli utenti malintenzionati nascondere le modifiche o riscrivere la cronologia dopo aver ottenuto l'accesso. Queste tecniche rendono più difficile per gli utenti malintenzionati modificare i file o nascondere le proprie attività.
Cosa fare se si sospetta una compromissione?
Se ritieni che il tuo dispositivo o gli account siano stati compromessi, la cosa più importante è agire rapidamente.
Disconnettersi prima dalla rete. Modificare le password da un dispositivo sicuro ed esaminare l'attività dell'account per rilevare accessi o impostazioni sconosciuti. Eseguire una scansione di protezione completa utilizzando un software in grado di rilevare comportamenti insoliti e minacce moderne effettive .
Se i problemi continuano a ripresentarsi o se è stato effettuato l'accesso ad account riservati, è importante comprendere che utenti malintenzionati potrebbero aver lasciato backdoor nascoste. Questi consentono loro di riottenere l'accesso anche dopo che alcuni problemi sembrano essere stati risolti.
Nei casi in cui permangono ripetuti segni di intrusione, una cancellazione completa del dispositivo e una reinstallazione pulita possono rappresentare l'opzione più sicura. Questo può rimuovere gli strumenti nascosti che sono difficili da rilevare e possono continuare a minacciare la sicurezza.
Le buone abitudini di sicurezza informatica rimangono importanti. Attivare l'autenticazione a più fattori ove possibile per rimanere protetti. Esaminare l'attività dell'account per gli accessi o le opzioni di ripristino che non riconosci.
Esempi di APT recenti mostrano come funzionano questi attacchi
Questa non è una minaccia astratta. I recenti incidenti APT forniscono un quadro chiaro di come i veri aggressori si muovano silenziosamente attraverso le reti.
Incidenti gravi dal 2020
Solar Winds:
uno dei casi di cui si è maggiormente parlato è stato l' attacco SolarWinds Orion nel 2020, quando è stato scoperto che alcuni aggressori "erano stati in grado di aggiungere una modifica dannosa ai prodotti SolarWinds Orion che consentiva loro di inviare comandi a livello di amministratore a qualsiasi installazione interessata.”
Quando i clienti hanno installato l'aggiornamento, hanno concesso inconsapevolmente agli aggressori l'accesso remoto alle proprie reti interne. Gli aggressori hanno selezionato le vittime da approfondire e hanno utilizzato strumenti aggiuntivi per espandere l'accesso e mantenere la persistenza.
MOVEit:
Ancora più di recente, la violazione dei dati di MOVEit nel 2023 ha messo in evidenza il rischio degli strumenti di trasferimento file gestiti. Un gruppo ransomware ha sfruttato una vulnerabilità zero-day nel software MOVEit per installare shell Web nei server esposti, quindi ha rubato silenziosamente dati da migliaia di organizzazioni prima che il problema diventasse pubblico.
Cosa insegnano questi incidenti ai consumatori
Dimostrano che gli aggressori non sempre perseguono direttamente le persone. Spesso compromettono software o provider di servizi attendibili, quindi sfruttano questa posizione per raggiungere più organizzazioni contemporaneamente.
Allo stesso modo, mostrano anche come funziona nella pratica la persistenza in più fasi. Questi esempi mostrano che gli aggressori hanno installato backdoor o utilizzato shell Web nascoste. Si sono spostati attraverso i sistemi per trovare informazioni preziose.
La lezione per gli utenti comuni è semplice: si dipende da più sistemi di quelli di cui si dispone . Abitudini di protezione personale solide e azioni rapide quando si ricevono le notifiche degli incidenti contribuiscono a ridurre i rischi per i dati nel tempo.
Articoli correlati:
- Cosa sono gli exploit zero-day?
- Cos'è la protezione degli endpoint?
- Che cos'è la cybersecurity?
- Come stare al sicuro dall'hacking dell'IA?
Prodotti correlati:
- Soluzioni aziendali Kaspersky
- Kaspersky Premium
- Scaricare una prova gratuita di 30 giorni del nostro piano premium
FAQ
Quanto tempo gli utenti malintenzionati APT rimangono solitamente all'interno di un sistema?
Gli utenti malintenzionati APT possono rimanere all'interno di un sistema per settimane o addirittura anni. Il loro obiettivo è rimanere inosservati il più a lungo possibile, in modo da poter continuare a raccogliere dati e monitorare il funzionamento dell'organizzazione.
Perché gli attacchi APT sono così difficili da rilevare?
Attacchi come questo sono difficili da rilevare perché utilizzano tattiche furtive come strumenti personalizzati e normali attività di sistema. Integrano i loro attacchi nel traffico di rete quotidiano.
I gruppi APT sono collegati a paesi specifici?
Si ritiene che molti gruppi APT siano collegati o supportati da specifici stati-nazione, mentre altri sono gruppi criminali che possono operare oltre confine. I rapporti pubblici utilizzano spesso nomi in codice anziché nominare direttamente i paesi.
In che modo gli aggressori di APT scelgono le loro vittime?
Di solito scelgono destinazioni che contengono dati preziosi o che hanno accesso a sistemi importanti. È più comune vedere gli enti governativi e le grandi aziende presi di mira rispetto a individui non affiliati. A volte le organizzazioni più piccole vengono prese di mira per prime perché forniscono un percorso verso una rete più ampia.
