Cosè un APT?

Nella sicurezza informatica, esiste un vasto numero di minacce dannose. Molte di queste minacce scrivono malware, anche se ci sono molti altri modi in cui i criminali informatici possono essere malintenzionati. Tuttavia, il livello di abilità tra di loro varia molto. Molti "hacker" sono solo script kiddies , in grado di eseguire solo strumenti esistenti e privi delle capacità per crearne di propri. Molti hacker hanno le capacità per creare il loro malware, anche se il calibro esatto varia notevolmente. C'è un altro livello esclusivo, tuttavia, l'APT.

APT sta per Advanced Persistent Threat. Sono la crema del raccolto per gli hacker e sono generalmente i migliori del settore. Gli APT non sono solo tecnicamente esperti nello sviluppo di exploit; impiegano anche una serie di altre abilità, tra cui sottigliezza, pazienza e sicurezza operativa. In generale, si presume che la maggior parte, se non tutte, le APT siano attori statali o almeno sponsorizzate dallo stato. Questa ipotesi è costruita dal tempo, dall'impegno e dalla dedizione che mostrano nel raggiungere il loro obiettivo.

Impronte digitali di un APT

Gli obiettivi precisi di un APT variano a seconda del paese, dell'APT e dell'attacco. La maggior parte degli hacker è motivata dal guadagno personale e quindi irrompe e cerca di impossessarsi di quanti più dati preziosi il più rapidamente possibile. Gli APT eseguono sabotaggio, spionaggio o attacchi dirompenti e sono generalmente motivati ​​politicamente o talvolta economicamente.

Mentre la maggior parte degli attori delle minacce sono tipicamente opportunisti, gli APT tendono a essere silenziosi o addirittura molto mirati. Invece di limitarsi a sviluppare exploit per le vulnerabilità che trovano, identificheranno un obiettivo, elaboreranno il modo migliore per infettarli, quindi ricercheranno e svilupperanno un exploit. In genere, questi exploit saranno configurati con molta attenzione per essere il più silenziosi e sottili possibile. Ciò riduce al minimo il rischio di rilevamento, il che significa che l'exploit può essere utilizzato su altri obiettivi scelti prima che venga scoperto e la vulnerabilità sottostante risolta.

Lo sviluppo di exploit è un'attività tecnica e richiede tempo. Questo lo rende un affare costoso, soprattutto quando si ha a che fare con sistemi altamente complessi senza vulnerabilità note. Poiché i fondi statali sono disponibili per gli APT, in genere possono dedicare molto più tempo e sforzi all'identificazione di queste vulnerabilità sottili ma gravi e quindi allo sviluppo di exploit estremamente complessi per loro.

L'attribuzione è difficile

Attribuire un attacco a un qualsiasi gruppo o stato-nazione può essere difficile. Eseguendo approfondimenti sul malware effettivo utilizzato, sui sistemi di supporto e persino sugli obiettivi di tracciamento, è possibile collegare i singoli ceppi di malware a un APT in modo abbastanza sicuro e collegare tale APT a un paese.

Molti di questi exploit altamente avanzati condividono bit di codice di altri exploit. Attacchi specifici possono persino utilizzare le stesse vulnerabilità zero-day. Questi consentono di collegare e tracciare gli incidenti piuttosto che come malware straordinario e una tantum.

Tracciare molte azioni da un APT rende possibile costruire una mappa degli obiettivi scelti. Questo, unito alla conoscenza delle tensioni geopolitiche, può almeno restringere l'elenco dei potenziali sponsor statali. Un'ulteriore analisi del linguaggio utilizzato all'interno del malware può fornire suggerimenti, sebbene questi possano anche essere falsificati per incoraggiare l'attribuzione errata.

La maggior parte degli attacchi informatici da APT arriva con una plausibile negabilità perché nessuno li riconosce. Ciò consente a ciascuna nazione responsabile di compiere azioni a cui non vorrebbe necessariamente essere associata o accusata. Poiché la maggior parte dei gruppi APT sono attribuiti con sicurezza a stati-nazione specifici e si presume che tali stati-nazione abbiano ancora più informazioni su cui basare tale attribuzione, è ragionevolmente probabile che tutti sappiano chi è responsabile di cosa. Se una nazione accusasse ufficialmente un'altra di un attacco, sarebbe probabilmente oggetto di un'attribuzione di ritorsione. Facendo finta di niente, tutti riescono a mantenere la loro plausibile negabilità.

Esempi

Molti gruppi diversi chiamano APT altre cose, il che complica il loro monitoraggio. Alcuni nomi sono solo designazioni numerate. Alcuni sono basati su nomi di exploit collegati basati su nomi stereotipati.

Ci sono almeno 17 APT attribuiti alla Cina. Un numero APT, come APT 1, si riferisce ad alcuni. APT 1 è anche specificamente PLA Unit 61398. Ad almeno due APT cinesi sono stati dati nomi con draghi: Double Dragon e Dragon Bridge. C'è anche Panda numerato e Apollo rosso.

Molti APT attribuiti all'Iran contengono "gattino" nel nome. Ad esempio, Helix Kitten, Charming Kitten, Remix Kitten e Pioneer Kitten. L'APT russo presenta spesso nomi di orsi, tra cui Fancy Bear, Cozy Bear, Bezerk Bear, Venomous Bear e Primitive Bear. La Corea del Nord è stata attribuita a tre APT: Ricochet Chollima, Lazarus Group e Kimsuky.

Israele, Vietnam, Uzbekistan, Turchia e Stati Uniti hanno almeno un APT attribuito. Un APT attribuito dagli Stati Uniti si chiama Equation Group, che si ritiene sia l'unità TAO o Tailored Access Operations della NSA. Il gruppo prende il nome dal nome di alcuni dei suoi exploit e dal suo uso massiccio della crittografia.

Il gruppo di equazioni è generalmente considerato il più avanzato di tutti gli APT. È noto che ha interdetto i dispositivi e li ha modificati per includere malware. Aveva anche più pezzi di malware che erano in grado di infettare in modo univoco il firmware dei dischi rigidi di vari produttori, consentendo al malware di persistere attraverso la cancellazione completa dell'unità, la reinstallazione del sistema operativo e qualsiasi cosa diversa dalla distruzione dell'unità. Questo malware era impossibile da rilevare o rimuovere e avrebbe richiesto l'accesso al codice sorgente del firmware dell'unità per svilupparsi.

Conclusione

APT è l'acronimo di Advanced Persistent Threat ed è un termine usato per riferirsi a gruppi di hacking altamente avanzati, generalmente con presunti legami con stati-nazione. Il livello di abilità, pazienza e dedizione mostrato dagli APT non ha eguali nel mondo criminale. In combinazione con gli obiettivi spesso politici, è abbastanza chiaro che questi non sono i soliti gruppi di hacking per soldi. Piuttosto che andare per forti violazioni dei dati, gli APT tendono ad essere sottili e a coprire le loro tracce il più possibile.

In generale, l'utente medio non deve preoccuparsi degli APT. Trascorrono il loro tempo solo su obiettivi che sono particolarmente preziosi per loro. La persona media non nasconde segreti che uno stato-nazione considera preziosi. Sono solo le aziende più grandi, specialmente quelle che svolgono lavori governativi, e le persone particolarmente influenti che rischiano realisticamente di essere prese di mira. Naturalmente, tutti dovrebbero prendere sul serio la propria sicurezza, così come quella della propria azienda.

L'opinione generale nel mondo della sicurezza, tuttavia, è che se un APT decide che sei interessante, sarà in grado di hackerare i tuoi dispositivi in ​​qualche modo, anche se dovrà spendere milioni di dollari di tempo in ricerca e sviluppo. Questo può essere visto nei pochi casi in cui il malware è stato attentamente progettato per saltare "lacune d'aria" come il worm Stuxnet .