Attacchi informatici: sempre più veloci ed imprevedibili

Cyber Kill Chain

I 7 passaggi della cyber kill chain. Fonte: EventTracker.

Con il termine kill chain ci si riferisce in gergo militare ad un modello a fasi che va ad identificare i vari passaggi necessari all’esecuzione di un attacco. Prima si è in grado di intervenire e più aumentano le possibilità di bloccare quest’ultimo. I passaggi che caratterizzano la kill chain sono i seguenti: find, fix, target, engage, assess.

La cyber kill chain, teorizzata dalla Lockeed Martin, è l’adattamento di quanto appena detto al mondo dell’informatica e si suddivide nelle seguenti fasi:

  • Reconnaissance. I malintenzionati vanno in cerca di vulnerabilità e/o cercano di entrare in possesso delle credenziali di accesso in grado di superare agevolmente il perimetro di sicurezza.
  • Weaponization. Creazione di un payload (esecuzione di una specifica operazione, nel caso di un attacco solitamente l’installazione di un malware e l’apertura di una connessione) utilizzabile tramite exploit o una backdoor.
  • Delivery. Fase in cui il payload viene recapitato al potenziale bersaglio (il metodo più comune è via posta elettronica – allegati o link malevoli).
  • Exploit. Il payload viene eseguito con successo nel sistema della vittima.
  • Installation. Passaggio in cui avviene l’installazione del malware.
  • Command and Control (C&C). In questa fase viene stabilita una connessione tra il “sistema della vittima” ed il computer remoto dal quale opera il malintenzionato. In questo modo l’hacker è in grado di prendere il controllo del terminale bersaglio.
  • Action/Exfiltration. Ultimo anello della catena in cui il malintenzionato passa all’azione e raggiunge teoricamente l’obiettivo prefissato.

Le strategie e gli strumenti di sicurezza sviluppati in questi anni si sono basati  principalmente sullo schema appena menzionato. Il problema è che, come sottolineano gli esperti, le linee guida della Lockeed non si rivelano più un metro di paragone totalmente affidabile, vanificando l’efficacia dei piani basati su di esse.

Evoluzione della catena e nuovi obiettivi

 Varun Badhwar (CEO RedLock ed uno degli esperti interpellati da Data Center Knowledge) cita ad esempio i bucket S3: un hacker in possesso delle credenziali, o ancora peggio, un bucket visibile a tutti, riducono la cyberkill ad un solo passaggio.

Parli con numerose organizzazioni che dicono di focalizzarsi sui dati e [sulla loro salvaguardia]. […] [E queste ultime controllano il perimetro di sicurezza, i firewall, i proxy]. Ma il perimetro non esiste più. I firewall non sono in grado di proteggere i miei bucket S3. Per rubarti i dati gli [hacker] non hanno nemmeno bisogno di irrompere nel [tuo ambiente di lavoro].

Allo stesso modo gli exploit zero day (vulnerabilità ignote persino ai programmatori di un determinato software etc.) rendono inutile la fase reconnaissance: si passa direttamente all’attacco e se l’exploit funziona l’hacker ha accesso immediato al sistema.

Una ricerca annuale pubblicata da Verizon (Data Breach Investigations Report) ha certificato ufficialmente “l’accorciamento” della catena. Secondo il coautore del report Gabriel Bassett “i nostri dati agevolano gli attacchi con meno passaggi. Perché correre rischi [ad ogni passaggio della cyber kill chain] se posso raggiungere i miei obiettivi in 1 o 2 step invece che in 5 o 10? La maggior parte degli attacchi richiede l’esecuzione di poche azioni”.

Ad incrementare i potenziali punti d’attacco degli hacker (attack surface in gergo) ha contribuito inoltre la diffusione dei servizi cloud: “introducono nuove strade d’ingresso e [punti d’attacco perché queste tecnologie si appoggiano ad infrastrutture di terze parti, fuori dal controllo della compagnia, che possono rivelarsi un punto cieco”.

Per quanto riguarda gli obiettivi degli hacker, il furto di proprietà intellettuali/segreti industriali e carte di credito è sempre presente ma è sopravanzato da attacchi DDoS (disponibili anche su commissione, è del mese scorso la dismissione del portale Webstresser), ransomwaremining (crypto jacking).

In particolare modo quest’ultimo, osserva la compagnia di sicurezza Malwarebytes, è aumentato sensibilmente nei primi 3 mesi del 2018. L’attacco a computer privati è aumentato del 4000% (si pensi ai portali che tramite plugin sottraevano silenziosamente risorse ai visitatori) , i tentativi indirizzati ai data center (che per numero di macchine e capacità di calcolo sono molto più appetibili) del 27%: “pensiamo che gli attacchi crypto mining possano divenire un business redditizio. […]Il cloud ed i data center saranno i principali bersagli [di questi attacchi” osserva un altro esperto interpellato da DCW.

La verità, conclude un altro analista, è che non è più possibile focalizzarsi solo sulle aree ritenute più a rischio: l’attack surface è ormai troppo estesa e le vecchie strategie sono destinate inevitabilmente a fallire.

Fonti: 1, 2