Gli attacchi Apt sono sempre più indirizzati a colpire organizzazioni governative e del mondo industriale

Gli attacchi provenienti dalla rete hanno una storia ormai decennale, in quanto iniziarono già nei primi Anni Duemila con virus sviluppati per inibire l’uso dei pc. Si trattava di soluzioni, spesso sviluppate “in cantina”, nate con l’obiettivo di dimostrare la propria capacità. Gli autori, infatti, si vantavano poi delle proprie gesta. Allo stesso modo, negli anni successivi, gli attacchi informatici assunsero il ruolo di sfida personale, spesso finalizzata ad ottenere un posto da esperto informatico.
Negli ultimi tempi, invece, l’approccio è radicalmente cambiato. Gli attacchi sono diventati una grande opportunità di Business, ma anche un’arma strategica per attaccare un’azienda concorrente o persino uno stato nemico. Così come la sottrazione di dati riservati o segreti industriali è sempre più diffusa.
Chi subisce una simile violazione, ovviamente, preferisce non dare rilevanza alla notizia. Così come gli attaccanti, più interessati agli obiettivi economici che non all’effimera gloria, non divulgano i propri successi criminali.
Per tale ragione si parla troppo poco delle conseguenze degli attacchi informatici e le stesse stime ufficiali non forniscono un quadro corretto del fenomeno. Anche per questa ragione Raimund Genes, Chief Technology Officer di Trend Micro, durante l’incontro con la stampa italiana ha illustrato alcuni dati reali, frutto del costante monitoraggio effettuato dai 1200 esperti della stessa Trend Micro.
Dal 2Q Report on Targeted Attack Campaigns, condotto su scala internazionale, emerge il progressivo incremento degli Apt – Advanced Persistent Threat. Proprio le “minacce costanti evolute” e gli attacchi altamente mirati rappresentano la nuova frontiera della cyberware. Una guerra, non dichiarata, che segue schemi precisi e si basa su una serie continua di tentativi volti a compromettere la funzionalità delle rete attaccata, stabilendo delle persistenze nelle reti violate. Il tutto per trafugare informazioni sensibili, sabotare le organizzazioni, danneggiare…
In genere, come spiega Genes, il malware viene utilizzato come vettore di attacco, ma la vera minaccia è rappresentata dagli individui malintenzionati, che ogni giorno migliorano e mettono a punto nuove metodologie mirate.
Un fatto sempre più invasivo. Al punto che, secondo le indagini Trend Micro, gli attacchi stanno diventando sempre più sofisticati e diretti. Se l’obiettivo principale dei malintenzionati restano i governi e le organizzazioni governative, con una maggiore concentrazione in Asia e in Europa (86% degli attacchi), crescono le campagne indirizzate alle aziende.

Persone vulnerabili
Il punto debole dei sistemi di difesa, in molti casi, continua a rimanere l’operatore umano. Trend Micro ha infatti rilevato che lo spear phishing rimane il principale veicolo di attacco. Usi tratta, infatti, di una categoria di phishing altamente mirato e capace di sfruttare le informazioni disponibili su un utente-obiettivo per rendere gli attacchi maggiormente specifici e “personali”. Una vulnerabilità sfruttata, nel 92% degli attacchi, per iniziare le azioni ostili. I criminali online, infatti, inducono un determinato individuo ad aprire allegati pericolosi o a cliccare su un link, che rimanda a un sito dove sono nascosti exploit o malware in grado di compromettere la rete della vittima. Tra gli allegati più utilizzati, il report dell’ultimo trimestre evidenzia che nel 59% sono stati adottati file compressi (la maggior parte archivi zip) che una volta avviata la compressione avviavano direttamente il processo di attacco.

Italia patria del cybercrime
Gli attacchi mirati sono in genere orchestrati a distanza tramite comunicazioni C&C tra i sistemi infiltrati e gli stessi cybercriminali. Durante l’attacco, i criminali utilizzano questo canale per aprire e modificare l’accesso alle backdoor di rete, in modo da trovare e appropriarsi dei dati-obiettivo.
I pc infettati con il malware, attraverso le email di spam o altri veicoli, svolgono quindi un ruolo fondamentale negli attacchi, perché, trasformati in server di C&C, possono essere utilizzati in qualsiasi momento, anche a distanza di tempo per promuovere gli attacchi mirati su larga scala.
Trend Micro ha monitorato il volume delle attività dei server di C&C e ha scoperto come la maggior parte degli attacchi sia partita dall’Australia (32%) . Ma anche l’Italia svolge il suo ruolo importante per il cybercrime internazionale ed è al quinto posto nella classifica con il 6% delle attività C&C.
Contro gli attacchi, mirati Trend Micro propone una Difesa Personalizzata che integra software, informazioni e intelligence globale con strumenti e servizi specializzati per garantire nozioni personalizzate sulla minaccia specifica e sui criminali informatici coinvolti. In particolare, la soluzione Trend Micro Deep Discovery non solo consente di analizzare e rivelare le minacce in tempo reale, ma anche di adattare rapidamente i sistemi di protezione, garantendo la visibilità e l’intelligence necessarie a identificare e rispondere agli attacchi, prima che l’azienda subisca il danno.