Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Misteriosi APT nell'ombra digitale: Un'immersione profonda nelle minacce cibernetiche altamente sofisticate. Scopri chi sono, cosa li muove e come proteggerti in questo viaggio attraverso il mondo delle Advanced Persistent Threat (APT)

Cos’è un Advanced Persistent Threat (APT). Un viaggio tra attori malevoli e hacker di stato

Massimiliano Brolli : 16 Ottobre 2023 10:59

Gli Advanced Persistent Threat (APT) sono attori malevoli che operano nell’ombra della rete, conducendo attacchi altamente sofisticati e mirati. Questi gruppi, spesso associati a stati-nazione, rappresentano una minaccia significativa per la sicurezza informatica a livello globale.

Questo articolo si propone di gettare luce sul complesso mondo delle minacce APT, analizzando in dettaglio chi sono, cosa li spinge e come operano. Attraverso diversi capitoli, esploreremo le fondamenta degli APT, passando dalle motivazioni che li guidano alla comprensione delle loro tattiche avanzate e al modo in cui le organizzazioni possono difendersi da queste minacce pervasive. Il nostro viaggio ci porterà dall’identificazione degli APT fino alle implicazioni legali e diplomatiche legate a questa categoria di attacchi cibernetici sofisticati.

Nel prossimo capitolo esamineremo l’essenza degli APT, definendo chi sono e cosa li rende una minaccia così formidabile. Attraverso questa panoramica iniziale, gettiamo le basi per una comprensione più approfondita di questo mondo in continua evoluzione.

Introduzione agli Advanced Persistent Threat (APT)

Prova Gratuitamente Business Log! L'Adaptive SOC italiano

Proteggi la tua azienda e ottimizza il tuo lavoro grazie al SOC di Business Log, il software leader per audit, log management e cybersicurezza realizzato in Italia. Business Log garantisce:

  • Conformità a NIS2, GDPR e ISO 27001
  • Analisi avanzata e prevenzione del dossieraggio
  • Semplice da installare, potente da usare

  • Scarica ora la versione di prova gratuita per 30 giorni e scopri come Business Log può rivoluzionare la tua gestione dei log e la sicurezza IT!

    Promo Corso CTI

    Gli Advanced Persistent Threat (abbreviati in APT) costituiscono una delle forme più insidiose di minacce cibernetiche nel panorama della sicurezza informatica. Questi attori malevoli, noti per la loro capacità di operare in modo silente, persistente e mirato, rappresentano una seria preoccupazione per organizzazioni di tutto il mondo.

    Per comprendere meglio chi sono gli APT e quale sia la loro rilevanza, è essenziale iniziare con una solida introduzione a questa temibile categoria di minacce.

    Gli Advanced Persistent Threat, traducibile in italiano come “Minaccia Persistente Avanzata”, sono gruppi di hacker altamente sofisticati, spesso associati a entità statali o gruppi criminali altamente organizzati. La caratteristica distintiva degli APT è la loro capacità di operare in modo persistente all’interno delle reti informatiche, con l’obiettivo di ottenere accesso non autorizzato, raccogliere informazioni sensibili o condurre attacchi mirati. La “persistenza” si riferisce al fatto che gli APT lavorano a lungo termine, spesso rimanendo all’interno di una rete per periodi prolungati, sfuggendo così alla rilevazione.

    Per comprendere appieno la minaccia rappresentata dagli APT, è fondamentale conoscere alcune delle loro caratteristiche chiave:

    1. Sofisticazione: Gli APT operano con strumenti e tecniche altamente sofisticate, spesso personalizzati per il loro obiettivo specifico. Questa sofisticazione li rende estremamente difficili da rilevare.
    2. Obiettivi Mirati: Gli APT non agiscono casualmente come il cybercrime da profitto, ma selezionano specifici obiettivi. Questi obiettivi possono includere organizzazioni governative, aziende di difesa, istituzioni finanziarie o aziende ad alto valore. La loro mira precisa è ciò che li rende particolarmente pericolosi.
    3. Persistenza: La caratteristica chiave degli APT è la loro persistenza. Dopo l’iniziale infiltrazione, lavorano costantemente in modo silente per mantenere l’accesso, raccogliere informazioni o conducendo attacchi a lungo termine.
    4. Furtività: Gli APT cercano di rimanere il più possibile invisibili. Utilizzano tecniche per evitare la rilevazione, eludendo i sistemi di sicurezza e nascondendo le loro tracce.

    La storia degli APT risale agli anni ’90, ma è negli ultimi due decenni che hanno iniziato a destare preoccupazioni significative. Alcuni degli attacchi APT più noti includono Stuxnet, un malware che colpì le centrifughe di arricchimento dell’uranio, all’interno della centrale nucleare iraniana di Natanz e NotPetya, un attacco che ha causato danni su vasta scala a livello globale.

    Mahmud Ahmadinejad osserva delle centrifughe di arricchimento dell’Uranio all’interno della centrale nucleare di Natanz (fonte Natanz Enrichment Complex – Iran)

    Gli obiettivi degli attacchi APT

    Gli Advanced Persistent Threat (APT) sono noti per la loro mira precisa e i loro obiettivi ben definiti. La comprensione delle motivazioni dietro gli attacchi APT è fondamentale per riconoscere la portata delle minacce che rappresentano e per sviluppare strategie di difesa efficaci. In questo capitolo, esploreremo gli obiettivi comuni degli attacchi APT e le motivazioni che li guidano.

    Gli APT selezionano obiettivi specifici che spaziano dalle organizzazioni governative alle aziende private di settori chiave. Ecco alcuni degli obiettivi più comuni degli attacchi APT:

    1. Spionaggio Industriale: Molti APT sono alla ricerca di informazioni confidenziali, segreti commerciali (proprietà intellettuale) e dati di ricerca e sviluppo per ottenere vantaggi competitivi o per vendere queste informazioni a terzi. Settori quali l’industria manifatturiera, la tecnologia e l’energia sono spesso bersagli di questi attacchi.
    2. Acquisizione di Informazioni Sensibili: Gli APT mirano spesso a ottenere informazioni sensibili, come dati finanziari, segreti militari o informazioni personali. Questi dati possono essere utilizzati per estorsione, frode o per raggiungere obiettivi geopolitici.
    3. Sabotaggio: In alcuni casi, gli APT mirano a sabotare sistemi critici, come reti energetiche o infrastrutture chiave, al fine di causare interruzioni e danni significativi. Questi attacchi possono avere gravi conseguenze sulla sicurezza nazionale e sulla stabilità economica e geopolitica.
    4. Spionaggio Governativo: Gli obiettivi degli APT possono anche includere il monitoraggio delle comunicazioni e delle attività di organizzazioni governative, diplomatiche o militari. Questo spionaggio può essere finalizzato a raccogliere informazioni politiche o a influenzare decisioni chiave.
    5. Attività Terroristiche: In alcuni casi, gruppi terroristici possono utilizzare tattiche APT per pianificare e condurre attacchi. Questi obiettivi possono includere comunicazioni criptate o la raccolta di informazioni sulle forze di sicurezza.

    Le motivazioni dietro gli attacchi APT

    Le motivazioni che guidano gli APT variano a seconda degli attori coinvolti. Alcune delle motivazioni più comuni includono:

    1. Interessi Statali: Gli APT spesso agiscono per conto di nazioni o governi, cercando di ottenere vantaggi politici, economici o militari.
    2. Guadagno Finanziario: Alcuni gruppi APT sono motivati da profitti finanziari, vendendo dati o informazioni rubate sul mercato nero.
    3. Motivazioni Ideologiche: Alcuni APT operano per sostenere cause ideologiche o politiche specifiche, cercando di danneggiare organizzazioni o governi che rappresentano ideali opposti (come abbiamo visto nel conflitto Russia Ucraina o Israele Hamas).
    4. Criminalità Organizzata: Gruppi APT con legami alla criminalità organizzata cercano di trarre vantaggio da attività illegali come il furto di informazioni finanziarie o estorsioni.
    5. Terrorismo: Gruppi terroristici possono utilizzare attacchi APT per ottenere informazioni o per condurre operazioni di spionaggio.

    La comprensione delle motivazioni dietro gli attacchi APT è cruciale per sviluppare strategie di difesa adeguate. Nel capitolo successivo, esamineremo le interconnessioni tra Stati nazione e gruppi di criminalità informatica.

    Schema di attacco del malware industroyer (noto anche come Crashoverride), sviluppato dagli hacker statuali russi di Sandworm, il quale riuscì a colpire il 17 dicembre 2016 la capitale Ucraina Kiev, lasciandola per alcune ore senza energia elettrica (Fonte Eset)

    Stati nazione vs. Gruppi di criminali informatici

    La comprensione delle dinamiche tra stati-nazione e gruppi di criminali informatici è essenziale per valutare la portata e la complessità degli Advanced Persistent Threat (APT). In questo capitolo, esamineremo le differenze fondamentali tra queste due categorie di attori e come interagiscono nel mondo della cibersicurezza.

    Stati-Nazione: Gli Attori di Stato

    Gli stati-nazione rappresentano uno dei principali attori dietro gli APT. Questi attacchi sono spesso condotti o sponsorizzati da governi e agenzie governative. Ecco alcune delle caratteristiche chiave degli stati-nazione come attori di APT:

    1. Risorse Illimitate: Gli stati-nazione hanno risorse finanziarie e umane praticamente illimitate a disposizione. Possono condurre attacchi APT altamente sofisticati e prolungati senza doversi preoccupare dei costi.
    2. Obiettivi Strategici: Gli stati-nazione mirano a raggiungere obiettivi strategici a lungo termine. Gli attacchi APT da parte di governi possono includere spionaggio industriale, raccolta di informazioni diplomatiche e militari o sabotaggio di infrastrutture critiche.
    3. Impunità Relativa: Gli stati-nazione spesso operano con una certa impunità, poiché sono in grado di evitare le conseguenze legali o diplomatiche dei loro attacchi. Questo li rende particolarmente pericolosi.

    Gruppi di Criminali Informatici: Motivazione Profitto

    I gruppi di criminali informatici, al contrario, sono spesso mossi da motivazioni di lucro. Questi gruppi cercano di ottenere guadagni finanziari attraverso attività illegali online. Alcune delle loro caratteristiche includono:

    1. Risorse Limitate: A differenza degli stati-nazione, i gruppi di criminali informatici possono avere risorse finanziarie limitate e spesso cercano di massimizzare i profitti con risorse minime.
    2. Obiettivi Economici: La loro principale motivazione è il guadagno finanziario. Operano attraverso attività come il furto di informazioni personali, il ransomware o il furto di dati finanziari.
    3. Maggiore Rilevabilità: A causa della loro natura criminale, i gruppi di criminali informatici sono spesso più inclini a essere rintracciati e perseguiti legalmente.
    4. Attacchi Mirati: Nonostante la loro motivazione finanziaria, alcuni gruppi di criminali informatici condurranno attacchi mirati contro organizzazioni o individui specifici se ritengono che ciò porterà a guadagni maggiori.

    Interazioni tra Stati-Nazione e Criminali Informatici

    È importante notare che, in alcuni casi, gli stati-nazione possono sfruttare o collaborare con gruppi di criminali informatici per raggiungere i propri obiettivi. Questo rende il panorama della cibersicurezza ancora più complesso, poiché le linee tra attori statali e criminali possono sfumare.

    La comprensione delle dinamiche tra stati-nazione e gruppi di criminali informatici è cruciale per sviluppare strategie di difesa efficaci contro gli APT. Nel prossimo capitolo, esamineremo i gruppi APT più noti.

    Documento pubblicato dall’FBI con i volti dei 7 presunti affiliati a Fancy Bear (Fonte Federal Bureau of Investigation)

    I gruppi APT più noti

    Gli Advanced Persistent Threat (APT) sono spesso associati a gruppi specifici che si distinguono per le loro tecniche tattiche e procedure (TTP), le risorse e la persistenza nelle loro operazioni. In questo capitolo, esamineremo alcuni dei gruppi APT più noti e i loro notevoli attacchi nel corso degli anni.

    • Equaton Group: L’Equation Group è un’unità APT e di guerra informatica della National Security Agency (NSA) degli Stati Uniti D’America afferente al Computer Network Operations (CNO), precedentemente chiamata Office of Tailored Access Operations (TAO). Il gruppo ha preso parte ad operazioni di spionaggio cibernetico di alto livello. La conferma ufficiale della sua affiliazione rimane non definita.
    • APT28 (Fancy Bear): APT28 è un gruppo APT noto per il suo presunto legame con il governo russo. Hanno condotto una serie di attacchi, tra cui il noto attacco al Comitato Nazionale Democratico degli Stati Uniti nel 2016. Le loro attività si sono concentrate sullo spionaggio politico e militare.
    • APT29 (Cozy Bear): Anche APT29 è associato al governo russo. Hanno partecipato all’attacco al Comitato Nazionale Democratico degli Stati Uniti nel 2016 insieme ad APT28. Questo gruppo è noto per il suo alto grado di sofisticazione e la capacità di rimanere nascosto nelle reti per lunghi periodi.
    • APT1 (Unit 61398): APT1 è un gruppo APT presumibilmente con sede in Cina. Nel 2013, è stato esposto da un rapporto di una società di sicurezza informatica, che ha svelato le loro operazioni di spionaggio industriale, con un focus particolare sulla sottrazione di proprietà intellettuale.
    • Sandworm: Il gruppo hacker Sandworm è noto per essere un’unità cibernetica russa attiva dal 2007. Sono stati associati a diversi attacchi di rilevanza internazionale, tra cui il noto attacco al governo ucraino nel 2015 e il malware NotPetya del 2017, che ha causato danni significativi in tutto il mondo. Sandworm è noto per utilizzare tecniche sofisticate e il suo operato sembra essere legato al governo russo, anche se non esiste una conferma ufficiale. Il gruppo è attivo nel campo del ciberspionaggio e ha dimostrato una capacità significativa di attaccare infrastrutture critiche e sistemi governativi.
    • APT35 (Charming Kitten): APT35 è un gruppo APT iraniano noto per condurre attacchi contro obiettivi governativi e organizzazioni politiche. Sono stati coinvolti in campagne di phishing mirate, cercando di rubare informazioni sensibili.
    • APT10 (Stone Panda): APT10 è un gruppo APT cinese noto per il furto di dati e la spionaggio industriale. Hanno mirato a organizzazioni in Giappone e negli Stati Uniti, rubando informazioni su tecnologie avanzate e proprietà intellettuale.
    • APT34 (OilRig): APT34 è un gruppo APT iraniano noto per il suo coinvolgimento in attacchi di spionaggio informatico contro organizzazioni governative, aziende di petrolio e gas e istituzioni finanziarie. Hanno utilizzato tattiche di spear-phishing per ottenere l’accesso alle reti.
    • APT15 (Vixen Panda): APT15 è un gruppo APT presumibilmente associato alla Cina noto per il suo coinvolgimento in attacchi di spionaggio contro organizzazioni militari e diplomatiche. Hanno utilizzato malware sofisticati per mantenere l’accesso a lungo termine.
    • APT41 (Barium): APT41 è un gruppo APT cinese noto per la sua duplice attività: conducendo attacchi di spionaggio a favore dello stato cinese e attività di cyber-crimine per profitto personale. Questo gruppo è noto per la sua versatilità.

    Questi sono solo alcuni degli APT noti nel panorama della sicurezza informatica. Gli attacchi condotti da questi gruppi hanno avuto un impatto significativo su organizzazioni governative, aziende e individui in tutto il mondo e come avete modo di vedere, tutti gli stati altamente industrializzati hanno delle fazioni interconnesse. Nel capitolo successivo, esamineremo le fasi di attacco di un Advanced Persistent Threat.

    Le fasi di un attacco APT: Infiltrazione, Espansione, Persistenza

    Gli Advanced Persistent Threat (APT) sono noti per la loro capacità di condurre attacchi sofisticati che si sviluppano attraverso diverse fasi, ognuna delle quali contribuisce al successo dell’operazione APT. In questo capitolo, esamineremo le fasi chiave di un attacco APT: l’infiltrazione, l’espansione e la persistenza.

    Le fasi di un Advanced Persistent Threat possono essere sintetizzate in tre e sono Infiltrazione, Espansione e persistenza.

    1. Infiltrazione

    La fase di infiltrazione rappresenta l’inizio dell’attacco APT, in cui gli aggressori cercano di ottenere accesso non autorizzato a una rete o a un sistema obiettivo. Questa fase include:

    • Selezione del bersaglio: Gli aggressori identificano il loro obiettivo, che può essere un’organizzazione governativa, un’azienda, o un individuo. La selezione è basata su obiettivi specifici come il furto di dati, il sabotaggio o il monitoraggio.
    • Raccolta di informazioni: Gli aggressori raccolgono informazioni sul bersaglio, come la topologia di rete, le vulnerabilità conosciute e le abitudini degli utenti. Queste informazioni sono cruciali per pianificare l’attacco in modo efficace.
    • Fase di Attacco: Gli aggressori cercano di infiltrarsi nel sistema bersaglio utilizzando varie tecniche, tra cui phishing, malware o sfruttando vulnerabilità note. Una volta all’interno, cercano di ottenere ulteriori privilegi per ampliare il loro accesso.

    2. Espansione

    Una volta all’interno della rete obiettivo, gli aggressori passano alla fase di espansione. Durante questa fase, cercano di ottenere un maggiore controllo e accesso alla rete per raggiungere i loro obiettivi. Questa fase include:

    • Movimento laterale: Gli aggressori cercano di spostarsi attraverso la rete per scoprire altri sistemi e risorse. Questo può comportare l’uso di credenziali rubate o la ricerca di sistemi vulnerabili.
    • Elevazione dei privilegi: Gli aggressori cercano di ottenere accesso a sistemi o account di alto valore, come account di amministratore, per ampliare la loro influenza sulla rete.
    • Raccolta informazioni: Gli aggressori iniziano a raccogliere dati sensibili o informazioni rilevanti per il loro obiettivo. Questo può includere dati aziendali, informazioni personali o documenti sensibili.

    3. Persistenza

    La fase di persistenza è la fase finale in cui gli aggressori cercano di mantenere l’accesso e il controllo sulla rete a lungo termine. Questo è ciò che rende gli APT “persistenti”. Questa fase include:

    • Eliminazione delle tracce: Gli aggressori cercano di rimuovere qualsiasi evidenza del loro accesso o delle loro attività all’interno della rete. Questo può includere l’eliminazione di registri o la modifica delle tracce digitali.
    • Creazione backdoor: Gli aggressori creano spesso backdoor o canali di accesso segreti che possono utilizzare per rientrare nella rete in seguito senza dover ripetere la fase di infiltrazione.
    • Persistenza: Gli aggressori possono continuare a raccogliere dati, eseguire attacchi o monitorare l’ambiente della rete per un periodo esteso, spesso rimanendo inosservati.

    Comprendere queste fasi di un attacco APT è cruciale per sviluppare strategie di difesa efficaci. Nel prossimo capitolo, esamineremo le migliori pratiche di difesa contro gli APT e come le organizzazioni possono proteggersi da queste minacce sofisticate.

    Metodi di difesa contro gli Advanced Persistent Threat

    Gli Advanced Persistent Threat (APT) rappresentano una minaccia grave e costante per la sicurezza informatica. Per proteggersi da queste minacce altamente sofisticate, le organizzazioni devono adottare un’ampia gamma di metodi di difesa. In questo capitolo, esamineremo alcuni dei principali metodi di difesa contro gli APT e valuteremo l’efficacia degli strumenti di rilevamento e risposta degli endpoint (EDR) in questa lotta.

    1. EDR – Strumenti di Rilevamento e Risposta degli Endpoint

    Gli strumenti di rilevamento e risposta degli endpoint (EDR) svolgono un ruolo cruciale nella protezione contro gli APT. Questi strumenti sono progettati per monitorare e proteggere i dispositivi endpoint all’interno di una rete, come computer e dispositivi mobili. Ecco come gli EDR contribuiscono alla difesa contro gli APT:

    • Monitoraggio in tempo reale: Gli strumenti EDR monitorano costantemente il comportamento dei dispositivi endpoint, rilevando attività sospette o anomalie. Questo permette di individuare attacchi in fase iniziale prima che possano causare danni significativi.
    • Risposta automatizzata: Gli EDR possono intraprendere azioni immediate per isolare dispositivi compromessi o bloccare attività sospette. Questa capacità di risposta automatizzata è essenziale per contenere rapidamente gli attacchi e prevenire la loro propagazione.
    • Analisi forense: Gli EDR consentono di condurre analisi forensi approfondite sulle attività sospette, contribuendo a capire come è avvenuta l’infiltrazione e quali dati sono stati compromessi.
    • Report e analisi: Gli strumenti EDR forniscono report dettagliati e analisi delle minacce, consentendo agli amministratori di rete di comprendere meglio le minacce in corso e di migliorare le strategie di difesa.

    2. Strategie di Sicurezza Multistrato

    Per proteggersi da APT, le organizzazioni devono adottare una strategia di sicurezza multistrato che includa:

    • Firewall avanzati: I firewall avanzati possono rilevare e bloccare traffico sospetto e malware in fase iniziale.
    • Sicurezza della posta elettronica: L’utilizzo di filtri e protezione avanzata della posta elettronica può ridurre il rischio di cadere vittima di phishing e altri attacchi tramite e-mail.
    • Patch e aggiornamenti regolari: Mantenere i sistemi e le applicazioni aggiornate con un processo di patching management militare risulta fondamentale per rimuovere le vulnerabilità note.
    • Sicurezza della rete: Implementare strumenti di sicurezza di rete avanzati per il monitoraggio del traffico e la rilevazione delle intrusioni.

    3. Educazione degli Utenti

    L’educazione degli utenti è un aspetto critico della difesa contro gli APT. Gli utenti devono essere formati per riconoscere segnali di potenziali minacce, come e-mail di phishing o collegamenti sospetti. La consapevolezza degli utenti è un elemento chiave nella prevenzione di attacchi.

    4. Monitoraggio Continuo

    Il monitoraggio continuo delle reti e degli endpoint è essenziale. L’analisi dei dati in tempo reale e la rilevazione delle minacce consentono di intervenire prontamente contro gli attacchi APT prima che causino danni gravi.

    5. Accesso Basato sul Ruolo

    Limitare l’accesso alle risorse solo agli utenti autorizzati e basato sul ruolo riduce le opportunità per gli aggressori di muoversi lateralmente all’interno della rete.

    In sintesi, gli strumenti EDR giocano un ruolo cruciale nella difesa contro gli APT, ma devono essere parte di una strategia di sicurezza complessa che comprenda diverse misure preventive e reattive. Il monitoraggio costante, l’educazione degli utenti e la risposta rapida sono fondamentali per ridurre al minimo il rischio di successo di un attacco APT.

    Il presidente degli Stati Uniti D’America Joe Biden e il presidente della Federazione Russa Vladimir Putin discutono del crimine informatico al vertice Martedì 25 agosto 2021.

    Implicazioni legali e diplomatiche degli APT

    Gli Advanced Persistent Threat (APT) rappresentano una minaccia che va ben oltre il mondo della tecnologia e della sicurezza informatica. Le operazioni APT possono avere gravi implicazioni legali e diplomatiche, in quanto spesso coinvolgono stati-nazione, organizzazioni governative o entità internazionali. In questo capitolo, esamineremo le complesse implicazioni legali e diplomatiche degli APT.

    1. Attribuzione e Responsabilità

    Uno dei principali ostacoli legali nella gestione degli APT è l’attribuzione, ovvero la capacità di identificare con certezza gli autori di un attacco APT. Gli aggressori APT spesso cercano di nascondere la loro identità attraverso tecniche di occultamento avanzate. Questo può rendere difficile stabilire la responsabilità di un attacco.

    Quando gli APT sono attribuiti a uno stato-nazione o a una specifica entità, le vittime possono cercare di intraprendere azioni legali contro i responsabili. Queste azioni possono includere denunce a livello nazionale o denunce presso organizzazioni internazionali anche se spesso l’accusato riporta sempre la non veridicità delle affermazioni.

    2. Convenzioni Internazionali e Norme di Condotta

    Anche se non esiste ancora un trattato internazionale vincolante, esistono delle convenzioni internazionali (come il Manuale di Tallinn 2.0 o la Convenzione di Budapest sulla criminalità informatica) che regolano il comportamento degli stati-nazione in materia di cyber-attacchi. Ad esempio, il diritto internazionale stabilisce che gli stati dovrebbero astenersi dal condurre attacchi che danneggiano infrastrutture critiche di altri stati o interferiscono con le loro operazioni politiche.

    Nel contesto degli APT, ci sono norme di condotta internazionali che delineano comportamenti accettabili e inaccettabili nello spazio cibernetico, anche se non c’è nulla di condiviso unilateralmente. Queste norme sono ancora in evoluzione e sono oggetto di discussioni diplomatiche, anche se sono stati fatti degli sforzi verso una regolamentazione del cyberspazio.

    3. Rappresaglie e Difesa Attiva

    Le vittime di attacchi APT possono cercare di prendere misure di difesa attiva, ad esempio attraverso la ricerca di vulnerabilità nel sistema dell’attaccante o la neutralizzazione delle minacce. Queste azioni possono innescare ritorsioni e complicare ulteriormente le implicazioni diplomatiche.

    Le azioni di rappresaglia possono sfociare in un ciclo di escalation, con rappresaglie da parte dell’aggressore e ulteriori misure di difesa attiva. Questo può avere gravi conseguenze diplomatiche.

    4. Trattative Diplomatiche e Denunce

    Le vittime di attacchi APT possono intraprendere azioni diplomatiche, come denunciare l’attacco alle autorità competenti o cercare di risolvere la questione attraverso trattative bilaterali o multilaterali.

    La diplomazia è spesso la via preferita per affrontare le implicazioni degli attacchi APT, in quanto mira a risolvere le controversie in modo pacifico e negoziato.

    Ricordiamo però sempre che Il quinto dominio dopo terra, mare, cielo e spazio, è l’estensione di quest’ultimo, noto a tutti come cyberspace, è stato dichiarato nel 2016 dalla NATO come “Operational Domain”. Si tratta quindi di un motivo di una possibile richiamo alla clausola di difesa collettiva presente nell’articolo 5. Tale articolo afferma che un “attacco armato” contro uno o più alleati si considera come un attacco contro ogni componente della Nato e quindi ognuno di essi può, secondo il diritto all’autodifesa sancito dall’articolo 51 della carta dell’Onu, decidere le azioni che ritiene necessarie a “ristabilire e mantenere la sicurezza”, compreso “l’uso delle forze armate”.

    5. Vulnerabilità delle Relazioni Internazionali

    Gli APT possono minare le relazioni internazionali tra gli stati, causando tensioni e sfiducia reciproca. Gli attacchi APT possono portare a una crescente sospetto tra gli stati e complicare le relazioni diplomatiche. Le implicazioni delle operazioni APT possono avere ripercussioni a lungo termine sulle relazioni tra gli stati e le organizzazioni internazionali.

    In sintesi, gli APT non sono solo una minaccia tecnologica, ma anche una questione complessa con implicazioni legali e diplomatiche. La gestione degli APT richiede una combinazione di misure di sicurezza informatica, cooperazione internazionale e diplomazia per affrontare le sfide che queste minacce rappresentano.

    Tendenze emergenti nei cyber-attacchi APT

    Gli Advanced Persistent Threat (APT) sono una minaccia in continua evoluzione e, di conseguenza, le tendenze nei loro attacchi sono in costante mutamento. Per affrontare questa sfida in continua evoluzione, è importante riconoscere le tendenze emergenti nei cyber-attacchi APT. In questo capitolo, esamineremo alcune delle tendenze più rilevanti e all’avanguardia in questo campo.

    1. Utilizzo di Intelligenza Artificiale e Machine Learning

    Gli aggressori APT stanno sfruttando sempre più l’intelligenza artificiale (AI) e il machine learning (ML) per rendere i loro attacchi più sofisticati e difficili da rilevare. L’IA può essere utilizzata per automatizzare il processo di infiltrazione, scoprire nuove vulnerabilità e adattarsi alle contromisure di sicurezza.

    2. Targeting dell’Internet delle Cose (IoT)

    L’Internet delle Cose è diventato un bersaglio sempre più allettante per gli APT. Dispositivi IoT spesso meno sicuri, come telecamere di sorveglianza e dispositivi di rete, possono essere compromessi e utilizzati come punti di accesso per le reti aziendali.

    3. Utilizzo di attacchi a catena

    Gli APT stanno combinando più tecniche di attacco in una serie di azioni coordinate, creando così attacchi a catena più complessi. Questi attacchi possono iniziare con una campagna di phishing, passare a un exploit di una vulnerabilità e culminare con l’infiltrazione e il furto di dati.

    Vettore di infezione per l’attacco a Solarwinds di Dicembre 2023, opera di APT29 (alias Cozy Bear, Dukes, Nobelium).

    4. Maggiori attacchi basati sul social engineering

    L’ingegneria sociale continua a essere un vettore di attacco efficace per gli APT. Gli aggressori si affidano sempre più a messaggi di phishing sofisticati e inganni mirati per indurre gli utenti a rivelare informazioni sensibili o fare clic su link dannosi.

    5. Uso di malware evasivo

    Gli APT stanno sviluppando malware sempre più evasivi, in grado di evitare la rilevazione da parte dei software antivirus tradizionali. Questo può comportare l’uso di tecniche di evasione, come la firma dinamica, per rimanere nascosti.

    6. Attacchi Zero-Day

    Gli APT continuano a sfruttare le vulnerabilità Zero-Day, ovvero vulnerabilità software precedentemente sconosciute, per condurre attacchi. Questi attacchi sono particolarmente difficili da difendere poiché non esistono patch o contromisure conosciute.

    7. Concentrazione su Settori Chiave:

    Gli APT continuano a concentrarsi su settori chiave, come quelli legati all’energia, alla difesa e alla sanità. Questi settori sono spesso obiettivi appetibili a causa delle informazioni sensibili che contengono.

    Conclusioni

    Nella nostra esplorazione delle Advanced Persistent Threat (APT), emergono alcune conclusioni chiave che sottolineano l’importanza di affrontare queste minacce con grande attenzione e consapevolezza.

    Gli APT sono chiamate “persistenti” per una ragione. La loro determinazione a raggiungere i loro obiettivi è notevole, e possono continuare a operare all’interno di una rete per lunghi periodi senza essere scoperti. Possono provenire da diverse fonti, compresi stati-nazione, gruppi criminali informatici e attori con motivazioni ideologiche. Questa diversità di attori rende gli APT una minaccia ancora più complessa da affrontare.

    Questi aggressori utilizzano tecniche avanzate, tra cui il phishing mirato, l’ingegneria sociale, il malware evasivo e l’uso di vulnerabilità Zero-Day. Queste tattiche richiedono misure di sicurezza altamente sofisticate per essere rilevate ed affrontate con immediatezza. Inoltre, vanno oltre il mondo della tecnologia e della sicurezza informatica, avendo implicazioni legali e diplomatiche significative. L’attribuzione degli attacchi e le risposte a livello internazionale sono sfide complesse.

    In conclusione, affrontare le minacce APT richiede una combinazione di tecnologia avanzata, strategie di sicurezza multistrato, educazione degli utenti, cooperazione internazionale e alte skill tecniche. Rimanere vigili e pronti ad affrontare le sfide in continua evoluzione delle APT è essenziale per proteggere le organizzazioni. Pertanto Collaborazione e Condivisione rappresentano come al solito il modello vincente anche per questa sfida altamente tecnologica del mondo di oggi.

    Massimiliano Brolli
    Responsabile del RED Team e della Cyber Threat Intelligence di una grande azienda di Telecomunicazioni e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali che vanno dal ICT Risk Management all’ingegneria del software alla docenza in master universitari.
    Visita il sito web dell'autore