WhatsApp e Spyware, è solo l'inizio!
La violazione di WhatsApp e di Exodus ci ha spaventato. Ma che tipo di attacco è stato quello che ha colpito l'applicazione di messaggistica più popolare in Europa?
Due casi di alto profilo in pochi mesi. E il trend sembra destinato solo a salire. Stiamo ovviamente parlando dello spyware Pegasus, colpevole della recente violazione di WhatsApp, e del meno noto, ma italianissimo Exodus. Infezioni che si annidano nel dispositivo mobile bersaglio e li rimangono silenti per spiare e sottrarre tutte le informazioni contenute. La vera curiosità di questi casi, di cui si è detto e scritto molto, non è però solo data dal clamore causato, ma quanto da come essi siano simili per “sintomi” e modus operandi al temuto Advanced Persistent Threat (comunemente noto come APT), uno dei tipi di Cyber attacco più pericolosi.
Silenzioso e devastante
Ma di cosa si tratta precisamente? L’APT si distingue per due fattori principali: una durata (che comprende studio del bersaglio e assalto vero e proprio) prolungata nel tempo e – come Pegasus e Exodus – una bassissima rilevabilità. Altro punto è legato agli attori. I criminal hacker che usano questa modalità, infatti, sono spesso e volentieri sostenuti economicamente da governi o grandi gruppi imprenditoriali e quindi godono della totale immunità giuridica.
Tipicamente un Advanced Persistent Threat inizia, come accennato, da un’attenta fase di studio del bersaglio prescelto in cui vengono individuate le possibili vulnerabilità da sfruttare per ottenere un ingresso sicuro. Una volta ottenuta questa "testa di ponte" i criminal hacker si avvalgono di malware (come gli Spyware che hanno colpito WhatsApp) tailor-made per il loro bersaglio così da non destare sospetti.
Criminali con un’agenda
A cosa punta un APT? La principale fonte di guadagno per un hacker al giorno d’oggi sono le informazioni e l’Advanced Persistent Threat qui non differisce. Attenzione però chi utilizza questa soluzione, agendo anche su commissione, può inoltre utilizzarlo per la sorveglianza non autorizzata o piantare codice distructive tale da danneggiare un competitor di business o addirittura uno stato “nemico”. Da questo breve sunto potremmo dedurre che stiamo descrivendo quello che gli anglosassoni definirebbero un no-win scenario, ma non è così. Per conoscere e sconfiggere un APT però dobbiamo imparare a individuarne i segnali.
La prima fondamentale considerazione da tenere bene a mente è che l’hacker che lo porta avanti non lascia le classiche tracce delle sue controparti più “mondane”. Per scovarle, fortunatamente, una lunga sequela di case history ha permesso di compilare una sorta di vademecum di punti a cui prestare attenzione. Un consiglio però: ognuno degli esempi riportati qui sotto, presi singolarmente, potrebbero solo essere regolare attività interna. I KPI di un APT sono legati a tempi e volumi dell’attività che ci ha fatto insospettire più che alla tipologia stessa di questa. Ecco alcuni indicatori:
- Attività insolita di log-on durante i periodi notturni: Una volta entrati gli APT si spostano rapidamente da una macchina all’altra. Fanno questo rubando le credenziali di accesso di una singola postazione – per esempio – e le riutilizzano per compromettere le risorse all'interno dell'ambiente. Il motivo per cui si verifica un alto volume di accessi di notte perché gli aggressori vivono dall'altra parte del mondo;
- Campagne di spear phishing mirate: Questo è uno degli indizi più evidenti: è stato infatti appurato che il phishing sia uno dei metodi preferiti dai Criminal hacker per stabilire un primo punto d’ingresso;
- Flussi e pacchetti di informazioni inattesi: Grandi flussi di dati provenienti da punti interni e diretti verso l’esterno sono ovviamente un semaforo rosso. Potrebbe trattarsi di scambi da server a server, da server a client o da rete a rete. Naturalmente, per rilevare un possibile APT, è necessario capire come si comportano i flussi interni di dati prima che il vostro ambiente sia stato compromesso. Bisogna anche fare attenzione a grandi (gigabyte, non megabyte) pezzi di dati che appaiono in luoghi dove non dovrebbero essere, specialmente se compressi in formati di archivio non utilizzati di norma dalla vostra azienda. Questo è un segnale inequivocabile di un tentativo di estrusione di dati sensibili verso l’esterno.
- Trojan: Gli hacker spesso infettano con dei Trojan i computer dell’ambiente bersaglio. Lo fanno per assicurarsi di poter sempre rientrare, anche se le credenziali di accesso precedentemente sottratte vengono cambiate. Una volta scoperti, gli hacker APT non se ne vanno come i normali aggressori, una delle caratteristiche che li rende particolarmente temuti. I Trojan oramai sono distribuiti attraverso metodi come il social engineering, una strada molto semplice per ottenere un primo caposaldo nell’azienda bersaglio.
Una questione di competenze
Una parola di cautela: anche se riconosciuto in tempo l’APT che infetta un sistema complesso può essere veramente difficile da rimuovere. Per questo motivo per affrontarlo c’è bisogno del giusto pacchetto di competenze che solo una Cyber Security Firm può fornire. La professionalità e l’abilità degli esperti di Cyber Security nell’analizzare comportamenti e flussi anomali, in sinergia con una buona formazione e awareness da parte del personale aziendale sono i pilastri su cui fondare un Cyber Security Framework sicuro nei confronti degli APT.
Questo cardine può facilitare notevolmente nello svolgimento dei successivi step, riportati di seguito, utili a contrastare un APT.
- Cooperazione trasversale: La condivisione è uno dei punti di forza dei Criminal hacker, ma sfortunatamente la stessa sinergia non è riscontrabile nel mondo delle aziende. Trattenere informazioni potenzialmente cruciali per un’altra organizzazione nel lungo periodo rischia di avere effetti catastrofici su tutto il sistema economico e finire per danneggiare anche la società stessa che ha deciso non rendere pubbliche le sue scoperte;
- Riconoscere la “kill chain”: gli APT operano per step: ricognizione, creazione del malware tailor made, consegna, exploit, installazione, command&control e azione. Fortunatamente, anche se flebile, gli aggressori lasciano una scia di “briciole di pane” a ogni passo che può portare direttamente al sistema infetto e permettere di intervenire;
- Testare regolarmente le proprie difese: Uno dei metodi più utili per rilevare incongruenze e vulnerabilità del proprio sistema è proprio quello di “stressarlo” regolarmente.
Testare, testare, testare…
Il mercato della Cyber Security offre diversi strumenti che permettono di mettere alla prova le difese del tuo network, tra i più efficaci vanno sicuramente menzionati:
- Penetration Test: questo esamina i punti deboli relativi ad una infrastruttura IT aziendale e, dopo averli scoperti, prova ad exploitarli in maniera sicura e controllata. Un Penetration Test si spinge il più a fondo possibile nell’infrastruttura IT aziendale per arrivare agli asset elettronici di una azienda. L’obiettivo non è quello di colpire duramente il bersaglio al primo tentativo, ma è quelli di colpire anche più duramente nei tentativi seguenti così da esplorare tutti i possibili scenari a cui possono essere soggette le aziende;
- Phishing Simulation Attack: Le soluzioni di Phishing Simulation Attack permettono alle aziende di contrastare questo fenomeno attraverso un test dell’Human factor e garantendo anche una efficace attività di training e awareness, fattori fondamentali, come accennato precedentemente;
- Network Scan: Si tratta di uno scan specifico e dettagliato che analizza l’IP di un network in modo da identificare le sue vulnerabilità e i suoi punti deboli. Questo strumento può essere usato da chiunque, che sia una multinazionale con centinaia e centinaia di computer o che sia una piccola compagnia con un network di soli pochi dispositivi;
- Vulnerability Assessment: si tratta di un’analisi di sicurezza che ha l’obiettivo di identificare tutti le vulnerabilità potenziali dei sistemi e delle applicazioni. Come? Spottando e valutando il danno potenziale che l’eventuale “attaccante” può infliggere all’unità produttiva attraverso tools altamente automatizzati in una prima fase, per poi avvalersi delle competenze di un personale altamente qualificato che, in un secondo momento, integra e verifica i risultati attraverso una meticolosa attività manuale. Queste attività hanno lo scopo di rifinire la ricerca evidenziando eventuali errori commessi durante il processo.