- Conoscere l’obiettivo. Questo può variare dal capire se c’è qualcosa che vale la pena rubare alla compilazione di una lista di impiegati, o meglio ancora, di ex impiegati scontenti. Scoprire cosa interessa ai soggetti, in modo da poter utilizzare tali informazioni. in o attacchi di spear-phishing.
- Trovare un ingresso. Questo di solito coinvolge tecniche di ingegneria sociale come lo spear phishing e i buchi nell’acqua, al fine di fornire malware personalizzato.
- Completare un punto d’appoggio. Ottenere un bersaglio per eseguire il malware sul suo sistema che si trova all’interno della rete del bersaglio.
- Allargare accuratamente il raggio d’azione dal punto d’appoggio creato. Per esempio la ricognizione della rete da un computer infetto. Questo include mettere malware e altri strumenti sul sistema compromesso e nasconderli.
- Trovare e rubare le informazioni ricercate o altre informazioni preziose. Per farlo, può essere necessario aumentare i privilegi del sistema compromesso nella rete.
- Una volta stabilita una solida presa sulla rete, può essere necessario spostare o ampliare i punti di ingresso nella rete in modo da garantire un accesso più permanente alle informazioni. Se non c’è bisogno di un monitoraggio permanente, gli strumenti di solito vengono rimossi per coprire le tracce. A volte una backdoor viene lasciata sul posto per rendere più facile un ritorno.
Pieter Arntz 
Un advanced persistent threat (APT) è un attacco prolungato, mirato su un obiettivo specifico con l’intenzione di compromettere il suo sistema e ottenere informazioni da o su quell’obiettivo.
L’obiettivo può essere una persona, un’organizzazione o un’azienda. Quando queste minacce sono state soprannominate i loro obiettivi erano i governi e le organizzazioni militari. La parola minaccia non significa che c’è solo un tipo di malware coinvolto, perché un APT di solito consiste in diversi attacchi diversi.
Troppi professionisti della sicurezza considerano un attacco come un APT solo se è iniziato da un governo (agenzia) o un’organizzazione simile. Date le risorse necessarie e la pazienza, questo ha certamente senso.
Quindi cosa significa questo nel panorama attuale delle minacce?
Gli attori delle minacce utilizzano diversi “strumenti” e metodi per ottenere un punto d’appoggio e per ampliare la breccia una volta che sono entrati. Quando si tratta di rubare informazioni, una parte importante del lavoro è mantenere la violazione segreta. Questo perché spesso le informazioni rubate perdono il loro valore piuttosto velocemente una volta che l’oggetto della violazione è consapevole della situazione.
Ovviamente, è anche importante nascondere l’identità degli aggressori, poiché l’attribuzione APT potrebbe portare ad alcuni conflitti nel mondo reale. Quindi gli aggressori vorranno nascondere le loro tracce. Non è raro vedere l’uso di vulnerabilità senza patch (zero-days) in questo tipo di operazioni.
Fasi di una minaccia persistente avanzata
Non tutte le fasi elencate di seguito saranno necessarie in ogni situazione e, a seconda dell’obiettivo e delle informazioni che gli aggressori stanno cercando, i compiti nella lista possono essere molto diversi nel tempo, e nella quantità di sforzo, speso per essi. Questi possono essere molto diversi da caso a caso.
I professionisti della sicurezza gemono
Il motivo per cui i ricercatori di sicurezza gemono quando sentono l’espressione APT è il fatto che alcune persone tendono ad usarla nei casi in cui la minaccia non soddisfa i requisiti che abbiamo specificato nella nostra definizione.
Apparentemente, suona meno male quando si spiega che si è stati violati da qualcosa di “Avanzato” piuttosto che da qualche malware che avrebbe dovuto essere rilevato mesi fa.
Per esempio un worm che attacca solo i computer che eseguono un certo tipo di software, usato quasi esclusivamente negli ospedali non è un APT. È mirato a un tipo di organizzazioni e non a una particolare organizzazione.
Sommario
Questo articolo spiega che le Minacce Persistenti Avanzate sono attacchi specializzati e prolungati mirati a obiettivi specifici. Di solito sono sponsorizzati da nazioni o organizzazioni molto grandi.
Links
CyberCriminals e le loro tecniche APT e AVT
Kill chain
Pieter Arntz