Invasione malware, come ti catturo la PA in cinque fasi

I malware aumentano sempre di più. Le più recenti analisi dei laboratori di ricerca Trend Micro stimano in decine di migliaia il numero delle nuove minacce che compaiono ogni giorno, mentre l’impressionante numero di minacce mobile ha già superato quota 20 milioni. L’escalation delle minacce non è però solo quantitativa ma anche qualitativa. Come il resto delle tecnologie software, infatti, anche il malware è in costante miglioramento in termini di funzionalità, efficienza ed efficacia. Siamo di fronte a una nuova generazione di attacchi che non è altro che il riflesso di un’evoluzione nelle logiche e metodiche del mondo degli hacker. Tutti gli operatori del settore informatico sono ormai definitivamente concordi sul fatto che l’era goliardica dell’hacker si sia definitivamente chiusa. Gli hacker attuali sono professionisti del crimine che preferiscono decisamente il profitto alla notorietà e che operano in modo organizzato e strutturato, con logiche e modalità identiche a quelle del business legale, vendendo servizi illeciti a listino, coperti persino da garanzie contrattuali sul livello di servizio fornito.

Sul mercato clandestino online esiste un prezzo di listino associabile a ogni dato personale raccolto e consegnato nelle mani del cyber crime; un valore che aumenta al crescere del numero e della tipologia di informazioni associate al medesimo soggetto. La PA rappresenta certamente un target “a valore” per il cyber crimine poiché gestisce un enorme volume di dati e poiché, purtroppo, è poco complicato trovare un anello debole nella catena della sicurezza. Il numero e la gravità degli attacchi informatici che ha avuto come destinatari Pubbliche Amministrazioni o Enti pubblici nel nostro Paese è molto consistente. Il Rapporto 2106 sulla sicurezza ICT in Italia redatto da Clusit, l’Associazione italiana per la sicurezza informatica, ha evidenziato come anche nel nostro Paese, in linea con i trend internazionali, il numero di attacchi indirizzati verso Enti governativi sia quello prevalente e rappresenti una percentuale rilevante di quelli totali.

Il Clusit stima che ben il 22% degli attacchi totali perpetrati in Italia nel 2015 sia stato indirizzato in modo specifico contro Enti governativi. Le tipologie di attacco che la PA si trova a dover fronteggiare comprendono tutte le tecniche e i vettori di diffusione attualmente noti. In aggiunta agli attacchi “tipici” che interessano il mondo aziendale quali la diffusione di malware, il furto di credenziali per impersonare un soggetto o un’organizzazione, il Distributed Denial of Service, l’oscuramento di siti per danneggiare l’immagine dello Stato rispetto all’opinione pubblica o inibirne l’operatività, la PA si trova a dover affrontare anche minacce molto serie legate ai fenomeni di cyber terrorismo e messe in atto con i metodi più innovativi, come quelli che vengono generalmente indicati con il termine APT. I rischi sono elevatissimi e riguardano sia le Informazioni gestite dalla PA, che possono essere sottratte, modificate o cancellate, sia i servizi che possono essere interrotti o alterati. L’indisponibilità dei servizi, l’inaffidabilità dei registri, la distruzione di documenti o la diffusione di informazioni riservate genera non soltanto danni d’immagine, ma anche di tipo economico legati ad aspetti quali, per esempio, le spese di ripristino o del contenzioso legale. In aggiunta a tutto ciò, si deve tenere conto anche dell’impatto che potrebbe avere l’alterazione dei livelli autoritativi e delle autorizzazioni legati alla Pubblica Amministrazione (si pensi a regolamenti edilizi, concessioni, bandi di gara, forniture) o la compromissione di sistemi di controllo legati all’erogazione di servizi di pubblica utilità in carico alla PA (per esempio si pensi all’impatto che potrebbe avere un intervento malevolo in grado di modificare una stazione di controllo della pressione dell’acqua di un acquedotto pubblico). Tra le novità in fatto di minaccia un posto di rilievo lo stanno conquistando gli APT (Advanced Persistent Threat), che sono attacchi condotti in modo mirato verso specifici target, per periodi di tempo prolungati (anche anni) utilizzando tecniche avanzate e diversificate. Gli APT stanno conquistando una crescente notorietà per l’elevato danno che sono in grado di arrecare, ulteriormente aggravato dall’alto livello di efficacia che solitamente riescono a conseguire, favorito dalla difficoltà incontrata dalle soluzioni di protezione tradizionale nel contrastarli. Il target di questi attacchi è prevalentemente quello delle organizzazioni governative, delle realtà Enterprise, delle utility, delle aziende del settore energetico o delle grandi imprese industriali. Si tratta di processi di attacco sofisticati che si protraggono nel tempo e fanno ricorso a tecniche diversificate, con un uso massiccio del social engineering favorito anche dalla disponibilità di informazioni presenti online e sui social network.

Un Advanced Persistent Threat è un processo di attacco che segue regole precise e determinate e che è stato studiato e definito tanto da poter essere ricondotto a sei fasi specifiche. La prima fase è quella di preparazione dell’attacco, in cui viene effettuata l’investigazione e sono utilizzati semplici tool per raccogliere le informazioni sull’organizzazione target e sui soggetti indirettamente collegati a essa. Tra questi ultimi possono esserci aziende partner, collaboratori o clienti dell’organizzazione sotto attacco, spesso aggirati con l’uso di tecniche di social engineering al fine di ottenere informazioni che, separatamente, possono sembrare poco rilevanti ma che, se correlate tra loro, possono fornire chiavi per la compromissione della sicurezza. La fase 2 di un attacco mirato è quella della penetrazione iniziale in cui si cerca di installare un malware per ottenere la compromissione del primo sistema (solitamente uno poco importante e quindi più vulnerabile) che sarà deputato a costituire il tassello di partenza per la costruzione di una vera e propria piattaforma di attacco. La fase successiva prevede la predisposizione di un centro di comando e controllo (Command & Control) ovvero di un server che sarà utilizzato per la comunicazione con l’host compromesso. Con la fase 4 ha inizio lo spostamento all’interno della rete alla ricerca di sistemi che ospitano informazioni sensibili o in grado di fornire un accesso di livello superiore alle altre risorse di rete, in modo da consentire al cyber criminale di espandere la propria presenza e il livello di controllo. La fase 5 prevede un’investigazione sui sistemi interni, resa possibile dal fatto di essere già saldamente presenti all’interno della rete: prevede l’analisi delle vulnerabilità sui server, degli hot-fix installati o della tipologia di comunicazione utilizzata. A questo livello i criminali informatici sfruttano una backdoor per scaricare informazioni. L’ultima fase è quella dell’attacco vero e proprio verso il target prefissato; durante questa fase vengono sottratte informazioni chiave attraverso la backdoor e l’attacco viene costantemente ripetuto nel tempo poiché, in molti casi, le aziende non si accorgono che qualcuno sta copiando le loro preziose informazioni.