Comprendere la distinzione tra APT e altri cyber threat actor

Nel selvaggio west del panorama informatico esistono diversi tipi di attori delle minacce, come gruppi di ransomware, hacktivisti e truffatori.

Tra questi vi sono le minacce persistenti avanzate (APT – Advanced Persistent Threat), che hanno suscitato grande attenzione per la loro natura altamente organizzata, sofisticata e mirata. Tuttavia, la loro notorietà spesso offusca i fattori che le rendono uniche e le distinguono dagli altri threat actor.

Le APT rappresentano un approccio sofisticato e a lungo termine agli attacchi informatici, tipicamente orchestrati da gruppi statali ben finanziati, organizzazioni criminali o collettivi di hacktivisti. Spesso si confonde con l'idea che si tratti di un gruppo, ma in realtà si trova in una zona grigia tra un gruppo e un tipo di campagna o cyber attacco.

Consideriamo come esempio una squadra militare fittizia, legalmente autorizzata, chiamata CatPeople. Il comandante di CatPeople ha tre ordini principali per il prossimo futuro:

1.     Attaccare e disattivare l'infrastruttura digitale di un impianto nucleare iraniano.

2.     Monitorare le azioni di un’APT russa

3.     Rubare criptovalute da un elenco di malintenzionati.

Tutti questi compiti potrebbero rientrare nella responsabilità del comandante di CatPeople, ma il pubblico probabilmente non lo saprà mai, né conoscerà la maggior parte del lavoro svolto da CatPeople. Noi, individui e ricercatori non APT, possiamo solo attribuire azioni e strumenti alle APT. Di conseguenza, a meno che un ricercatore non osservi delle somiglianze tra le operazioni, queste potrebbero essere erroneamente identificate come non-APT o provenienti da un'altra APT. Inoltre, il lavoro completato dallo stesso gruppo non significa che sia stato svolto dalle stesse persone internamente o con gli stessi strumenti.

Le APT si distinguono per i loro obiettivi primari: mantenere l'accesso a lungo termine ai sistemi compromessi, esfiltrare dati sensibili e spesso rimanere inosservate per lunghi periodi.

Inoltre, utilizzano molteplici vettori di attacco, come lo spear-phishing, gli exploit zero-day e gli attacchi watering hole, per compromettere obiettivi di alto valore, tra cui agenzie governative, aziende e infrastrutture critiche. In genere, il loro obiettivo principale è rubare informazioni piuttosto che causare danni.

·       Tecniche avanzate: Le APT sfruttano strumenti avanzati, vulnerabilità zero-day e malware complesso per violare le difese e stabilire un accesso persistente.

·       Focus a lungo termine: Le minacce persistenti avanzate mirano a mantenere una presenza prolungata all'interno della rete compromessa, consentendo l'esfiltrazione continua dei dati, il movimento laterale e l'ulteriore sfruttamento.

·       Obiettivi specifici: Le APT prendono di mira entità di alto profilo, come organizzazioni governative, installazioni militari, istituti di ricerca o società multinazionali, con l'obiettivo di rubare informazioni sensibili o interrompere operazioni critiche.

·       Operazioni coordinate: Le advanced persistent threat operano con risorse significative, impiegando hacker esperti, analisti di intelligence e altro personale specializzato, spesso sostenuti da Stati nazionali o da potenti organizzazioni criminali.

Esistono molti nomi di APT, come Fancy Bear, Lazarus Group, APT 41 e Equation Group, per citarne alcuni, e a volte i ricercatori o le organizzazioni attribuiscono un nome diverso alla stessa APT.

Le APT sono in genere segrete e non amano rivelare la propria identità, quindi i ricercatori si concentrano piuttosto sulle loro tattiche e tecniche per cercare di classificarle. Ad esempio, i ricercatori di WithSecure hanno recentemente pubblicato un rapporto su ciò che si pensava fosse in gran parte opera del gruppo Lazarus. La pagina APT di Wikipedia contiene un elenco completo dei gruppi noti suddivisi per Paese, il che è di per sé un'indicazione di come le APT siano raggruppate per la comprensione del pubblico.

Inoltre, è più difficile capire chi è responsabile se si tiene conto delle organizzazioni private e degli accordi di cooperazione. Si consideri ad esempio Stuxnet (la "prima arma informatica conosciuta"). Sebbene nessuno dei due Paesi ne abbia ammesso apertamente la responsabilità, è opinione diffusa che il worm sia un'arma informatica costruita congiuntamente da Stati Uniti e Israele in uno sforzo di collaborazione noto come "Operazione Giochi Olimpici".

La protezione di una rete o di un'organizzazione dalle APT richiede un approccio più olistico e proattivo rispetto alla gestione di altre minacce. Ciò include l'implementazione di solidi controlli di sicurezza e di monitoraggio. Le attività che possono contribuire a mitigare le vulnerabilità alle minacce persistenti avanzate comprendono il monitoraggio delle attività sospette, la conduzione di regolari security assessment, penetration test e la risoluzione delle vulnerabilità note. 

Le organizzazioni devono inoltre disporre di un chiaro piano di risposta agli incidenti per individuare, contenere e mitigare rapidamente gli attacchi APT. Al contrario, la gestione di altre minacce come ransomware, bande o hacktivisti può richiedere, ad esempio, una maggiore enfasi sulle misure preventive come l’endpoint protection e i backup sicuri. Infine, le APT sfruttano spesso il fattore umano, trovando punti deboli nei sistemi che circondano i loro obiettivi. Pertanto, la formazione è la più grande misura preventiva che può essere adottata su larga scala per contribuire a mitigare queste minacce.