Cyber (in)sicurezza: gli attacchi informatici meno visibili e più pericolosi
Cyber (in)sicurezza: gli attacchi informatici meno visibili e più pericolosi

Cyber (in)sicurezza: gli attacchi informatici meno visibili e più pericolosi

Autore: 4wardPRO

Abituati a rivendicazioni online da parte di più o meno noti collettivi di hacker e alle esplicite richieste di riscatto fatte pervenire alle vittime a seguito di attacchi ransomware, ormai si dà quasi per scontato che gli eventi informatici avversi finiscano sotto la luce dei riflettori. Alcuni lasciano tracce ben visibili del loro passaggio attraverso i sistemi IT, altri vengono “denunciati” dagli stessi autori, desiderosi di intestarsi il merito di essere riusciti a violare le infrastrutture più blindate.

Eppure, esistono anche attacchi cyber che hanno fatto dell’invisibilità il proprio tratto distintivo, puntando proprio sulla capacità di passare inosservati. Si tratta, infatti, di minacce che i sistemi antivirus non sono in grado di rilevare perché, apparentemente, non viene individuata alcuna operazione anomala.

 

Attacchi invisibili: il modus operandi di Apt41

Minimizzando l’impatto, questi attacchi compiono azioni troppo piccole per essere intercettate e si nascondono all’interno del normale traffico di dati. Proprio questa capacità di essere “invisibili” rende queste minacce estremamente pericolose: non essendo rilevate immediatamente dai tradizionali sistemi di sicurezza, causano danni di entità maggiore prolungati nel tempo.

È quello che è riuscito a fare il gruppo cinese Apt41 (Advanced Persistent Threat), rimasto pressoché fuori dai radar degli esperti di cybersecurity per anni. Noto anche con lo pseudonimo di Winnti Group, il gruppo di hacker ha preso di mira soprattutto il settore dei giochi online, utilizzando il trojan backdoor Winnti e spacciandolo ai giocatori per un falso aggiornamento.

Negli anni, è stato potenziato lo strumento, in modo da lasciare tracce minime della sua attività dannosa e rimanere nascosto il più a lungo possibile. Questa elevata capacità di mimetizzazione gli ha consentito di ottenere brevetti, diritti d’autore, marchi commerciali e altri dati aziendali in Asia orientale, Europa occidentale e Nord America.

 

Attacchi invisibili: le nuove minacce con il browser-in-the-browser e i malware fileless

Il trojan utilizzato da Apt41 non è l’unico strumento sperimentato per passare inosservati. Una nuova tecnica di phishing, ribattezzata browser-in-the-browser (BitB), simula una finestra del browser all’interno dello stesso, in modo da carpire le credenziali di accesso incorporate in numerosi siti web.

La trappola è quasi del tutto invisibile: l’URL che compare nella barra di navigazione tranquillizza l’utente, convinto di autenticarsi inserendo e-mail e password in un dominio noto e affidabile, tra cui i tradizionali “accedi come” di Google, Facebook e Microsoft. In realtà, quello che viene mostrato è un collegamento falso, che conduce al sito malevolo.

Ancora più insidiosi appaiono i malware “fileless”, ovvero privi di file. Lanciati attraverso la RAM del computer, i codici malevoli vengono recuperati ed eseguiti da remoto senza richiedere file intermedi locali e non lasciano file o tracce permanenti sull’hard disk.

Il primo attacco fileless conosciuto risale al 2001, con il nome di “Code Red”, e mandò in crash circa 360 mila server web. Estremamente silenziosi, i malware fileless operano direttamente in memoria o nel registro e non richiedono l’installazione di tool esterni. Utilizzando i cosiddetti “exploit kit”, sono in grado di rilevare e sfruttare vulnerabilità, falle o debolezze dei sistemi e delle applicazioni per ottenere accesso ai computer presi di mira.

 

Come difendersi dagli attacchi invisibili

Mantenere i sistemi aggiornati, con le necessarie patch di sicurezza, è il primo passo per tutelare il perimetro aziendale da attacchi invisibili. Minori sono le vulnerabilità del software, minore sarà la superficie di attacco disponibile e, di conseguenza, si riduce il rischio di diventare bersaglio dei criminali informatici.

Dal momento che i malware fileless vengono spesso recapitati con tecniche di social engineering e che lo stesso browser-in-the-browser non è altro che una sofisticatissima tecnica di phishing, è fondamentale tenere alta l’attenzione e investire nella formazione degli utenti.

Un aiuto prezioso arriva anche dai sistemi di sicurezza che sfruttano l’Intelligenza Artificiale (AI), sia per la protezione, sia per il rilevamento dei tentativi di attacco. Identificare i punti deboli di tecnologie, infrastrutture e applicativi su cui intervenire, così come conoscere le più diffuse tattiche di social engineering per non farsi trarre in inganno, contribuisce a migliorare la security posture aziendale.

Investire su awareness e protection, dall’identity all’endpoint, dai dati all’infrastruttura, è quindi il modo migliore per ridurre il rischio e mettere l’organizzazione quanto più possibile al riparo da nuove minacce – visibili o invisibili che siano.

4wardPRO