La scorsa primavera (nel 2015) abbiamo scoperto Duqu 2.0, un’operazione di cyberspionaggio professionale e costosa, probabilmente finanziata dallo stato. L’abbiamo identificata quando stavamo testando la versione beta della piattaforma Kaspersky Anti Targeted Attack (KATA), la nostra soluzione che difende dagli attacchi mirati sofisticati come Duqu 2.0.
E ora, un anno dopo, posso finalmente annunciare che… Hurrà!! Abbiamo finalmente lanciato il prodotto e siamo pronti per la battaglia!
Ma permettetemi di tornare un attimo indietro e di raccontarvi come siamo arrivati a questo punto, perché ci interessano le operazioni di cyberspionaggio finanziate dallo stato e perché abbiamo deciso di creare una specifica protezione per combatterlo.
(Per coloro che preferiscono andare direttamente al grano, cliccate qui)
“I buon vecchi tempi”, parole che si pronunciano molto spesso come ad indicare che una volta tutto era migliore. La musica era migliore, la società era più giusta, le strade erano più sicure, le birre avevano un sapore più buono e così via. In certi casi, forse, dovremmo ammettere che le cose erano davvero migliori. Per esempio, in passato, era più facile catturare i cybercriminali.
Naturalmente a quei tempi, io non la pensavo così. Lavoravamo 25 ore al giorno, 8 giorni alla settimana, dando caccia agli scrittori di virus e al loro fenomenale indice di riproduzione. Ogni mese (e qualche volta anche più spesso) c’erano delle epidemie di worm globali e vivevamo nella sensazione che tutto potesse peggiorare ulteriormente, ma ci sbagliavamo di grosso…
All’inizio di questo secolo i virus venivano scritti principalmente da studenti e cyber-hooligan. Non avevano né l’intenzione, né le capacità per creare qualcosa di serio, quindi le epidemie di cui erano responsabili venivano spazzate via in pochi giorni, spesso usando solo metodi proattivi. Spesso non avevano nemmeno la voglia di creare qualcosa di più nefasto; lo facevano per divertimento fino a quando non si sono stancati di Doom e Duke Nukem 🙂
A metà degli anni 2000 abbiamo visto come Internet ha iniziato a generare molti soldi: compaiono nuove tecnologie che si collegano a tutto, dalle centrali energetiche agli MP3. Anche i gruppi cyber-criminali professionisti si sono gettati nella mischia, visto i grandi introiti che Internet può offrire, e dietro di loro i servizi di cyber-intelligence, anch’essi molto interessati alle nuove possibilità che la tecnologia può mettere loro a disposizione. Questi gruppi avevano la voglia, i mezzi e il know how per creare malware davveeeeeero complessi e realizzare attacchi mooooolto sofisticati, e difficili da localizzare.
Più o meno verso questo stesso periodo… “l’antivirus muore”: i tradizionali metodi di protezione non potevano mantenere i comuni livelli di sicurezza. Poi è iniziata una sorta di lotta cibernetica (una versione moderna dell’eterno modello di potere basato sulla violenza). I cyberattacchi sono diventati più selettivi/individualizzati rispetto ai target che venivano scelti, più furtivi e molto più avanzati.
Nel frattempo l’AV basico si è evoluto (in quel momento ben lontano dal potersi considerare un antivirus vero e proprio) in un complesso, sistema multi-componente multi-protezione, dotato di ogni sorta di tecnologie protettive. Nello stesso tempo i sistemi di sicurezza aziendali avanzati hanno iniziato ad includere un arsenale di difesa sempre più formidabile per controllare i perimetri e individuare le intrusioni.
Comunque, quell’approccio, non importa quanto ragguardevole potesse apparire, aveva un piccolo ma critico lato negativo per le grandi aziende: non può far molto per individuare i principali attacchi mirati professionali, quelli che usano malware unici usati appositamente per l’ingegneria sociale e gli zero-day. Malware che non vengono percepiti dalle tecnologie di sicurezza.
Sto parlando di attacchi che vengono attentamente pianificati con molti mesi d’anticipo se non anni, realizzati con budget infiniti e, in alcuni casi, appoggiati dallo stato. Attacchi come questi possono a volte rimanere inosservati per molti anni; per esempio, l’operazione Equation è stata scoperta nel 2014 e affonda le sue radici nel lontano 1996!
Le banche, i governi, le infrastrutture critiche, le industrie, decine di migliaia di grandi imprese appartenenti a diversi campi e con diverse forme di titolarità (basicamente la base dell’ordine e dell’economia mondiale), tutte queste entità risultano essere altamente vulnerabili a questi attacchi professionali. E la richiesta di dati, soldi, proprietà intellettuale è alta e in continuo aumento.
Quindi cosa possiamo fare? Accettare queste minacce contemporanee come parte inevitabile della vita moderna? Arrendersi alla lotta contro gli attacchi mirati?
Assolutamente no.
Tutto quello che può essere attaccato (non importa quanto sofisticato sia) può essere protetto in grande misura se si investe tempo, sforzi e ricerca nella protezione. Non esisterà mai la protezione totale al 100%, ma esistono protezioni massimali, che rendono gli attacchi economicamente poco convenienti da portare avanti: barriere così forti da far arrendere gli aggressori perché devono impiegare troppe risorse per poterle abbattere, quindi desistono e decidono di attaccare vittime meno protette. Naturalmente ci sono eccezioni, specialmente quando ci troviamo di fronte ad attacchi con motivi politici disegnati per colpire specifiche vittime. Tali attacchi verranno tenacemente perseguiti fino alla fine, una fine vittoriosa per gli hacker. Non c’è ragione per smettere di opporre resistenza.
Ok, ora chiudiamo con la lezione sul contesto storico…
… e passiamo alla cura raccomandata dal dottore a questa malattia (gli attacchi avanzati mirati), ovvero la nostra nuova piattaforma Kaspersky Anti Targeted Attack (KATA).
Quindi esattamente che cos`è KATA, come funziona e quando costa?
Prima di tutto un po’ di anatomia degli attacchi mirati…
Un attacco mirato è sempre personalizzato: è fatto su misura per una specifica azienda o individuo.
I criminali responsabili di un attacco mirato iniziano la loro opera raccogliendo scrupolosamente informazioni sui loro target nei più piccoli dettagli. Il successo di un attacco dipende dalla completezza di questo dossier e quasi nella stessa misura dal budget dell’operazione. Tutti i soggetti scelti nell’operazione vengono studiati e analizzati: il loro stile di vita, le famiglie, gli hobby e così via. Anche la rete aziendale viene costruita attentamente. E sulla base di tutte le informazioni raccolte viene selezionato un attacco strategico.
Poi (i) la rete viene penetrata via acceso remoto (in modo silenzioso) con il massimo dei privilegi. Dopodiché, (ii) i nodi delle infrastrutture critiche vengono compromessi. E infine, (iii) “si sganciano le bombe”: si rubano o si distruggono i dati, si distruggono i processi o qualsiasi altra cosa in base all’obiettivo dell’attacco. Un’altra cosa importante è coprire le tracce di modo che non si venga a sapere chi è il responsabile.
Il perché, la durata delle varie fasi di preparazione ed esecuzione, gli attacchi vettoriali, le tecnologie di penetrazione e il malware stesso, tutto questo è personalizzato. Ma non importa quanto individuale sia un attacco, avrà sempre il suo tallone d’Achille. Un attacco lascia sempre delle piccole tracce, nonostante siano quasi invisibili (attività di rete, certi comportamenti dei file e altri oggetti, ecc), emergono delle anomalie e si osservano delle attività di rete anormali. Quindi osservando il panorama dall’alto quadro generale (il quadro generale si forma a partire da diverse risorse attorno alla rete) è possibile individuare un attacco informatico.
Per raccogliere tutti i dati sulle anomalie e sulla creazione di questo quadro generale, KATA usa dei sensori, degli speciali e-agents, che analizzano continuamente il traffico IP/web/email oltre a tutti gli eventi della workstation e dei server.
Per esempio, intercettiamo il traffico IP (HTTPs, FTP, DNS) usando TAP/SPAN; il sensore web è integrato nel server proxy via ICAP e il sensore mail viene incluso al server email via POP3 (S). Gli agenti sono davvero leggeri (stiamo parlando di circa 15 megabyte per Windows) e sono compatibili con altri software di sicurezza avendo un impatto minimo sia sulla rete che sulle risorse endpoint.
Tutti i dati raccolti (oggetti e metadata) vengono poi trasferiti al centro analisi (Analysis Center) per essere processati; si utilizzano vari metodi (sandbox, AV scanning e regole YARA, il controllo dei file e la reputazione delle URL, lo scanner delle vulnerabilità, ecc.) e l’archivio. Inoltre, è possibile collegare il sistema alla nostra cloud KSN o salvarle a livello interno (creando una copia interna di Kaspersky Private Security Network).
Una volta che il quadro completo è stato assemblato, è tempo di passare alla fase successiva! KATA rivela un’attività sospetta e informa gli amministratori e il SIEM (Sistema di Gestione delle Informazioni e degli eventi di Sicurezza, come Splunk, Qradar, ArcSight) circa tutto quello che trova. Quanto più il sistema lavora, maggiore sarà il numero dei dati accumulati sulla rete e la sua efficienza dato che i comportamenti atipici saranno facili da individuare.
Maggiori informazioni su KATA qui.
Ah giusto… quanto costa?
Beh, non c’è una solo risposta a questa domanda. Il prezzo del servizio dipende da una dozzina di fattori, tra cui la dimensione e la tipologia della rete aziendale, come la soluzione viene configurata e quanti servizi vengono usati. Una cosa è sicura: il costo non è nulla se comparato ai danni che la soluzione può prevenire.