Come si svolge un attacco informatico nel cloud

Intrusion kill chain - Wikipedia

Intrusion kill chain – Wikipedia

Internet ha rivoluzionato tanto i processi di business dell’industria quanto la vita quotidiana delle persone. Diverse tecnologie nate nell’ultimo ventennio si sono appoggiate al Web mettendo disposizione servizi fino a quel momento impensabili. Il cloud computing è naturalmente una di queste. La Rete è anche un luogo in cui però ci si espone irrimediabilmente a varie minacce, tra le più note tutte quelle derivanti da “iniziative personali” dei criminali informatici – attacchi DDoS, furto di dati sensibili e via dicendo.

Come avviene esattamente un attacco informatico nel cloud e quali sono le differenze rispetto ad un obiettivo on premise? Lo approfondiremo nel post di oggi con un panoramica dedicata alle varie fasi in cui si articola un attacco, la cosiddetta “Cyber Kill Chain“.

In un ambiente on premise il sistema di sicurezza è costituito da una serie di layer o “strati di protezione” dei quali quello più esterno è solitamente il firewall. I sistemi di protezione aumentano le possibilità di prevenire ed ostacolare un attacco ma richiedono un attento lavoro di implementazione nell’infrastruttura, in modo che non influiscano eccessivamente sulle prestazioni generali.

Se ci spostiamo nel cloud il quadro si complica ulteriormente in quanto entra in gioco il fattore scalabilità per alcuni accorgimenti di sicurezza: tra i più  utilizzati, oltre ai firewall, i sistemi di monitoraggio delle attività e del traffico (già menzioti nel post dedicato agli attacchi DDoS layer 7), le modalità di autenticazione in due passaggi, l’utilizzo di VPN (virtual private network) per la connessione all’infrastruttura cloud.

Tipologie di attacco e panoramica delle varie fasi

Gli attacchi informatici possono essere divisi sommariamente in due categorie: mirati e di opportunità. Nel primo caso, i criminali sanno già chi colpire, quale vulnerabilità sfruttare ed a quale scopo (es: appropriazione di dati sensibili da rivendere al migliore offerente). Nel secondo lanciano invece una ricerca ad ampio raggio attraverso la quale intendono individuare il bersaglio e l’eventuale punto debole da sfruttare. La prima delle sette fasi che vanno a costituire un attacco informatico è la seguente ed ha lo scopo di “individuare ed identificare” il bersaglio:

  • Fase 1 – Ricognizione. Il cloud ha avvantaggiato sia le aziende che gli hacker. Grazie alle possibilità offerte dalla tecnologia sono in grado di allestire la propria infrastruttura di attacco da qualsiasi parte del mondo. Gli indirizzi IP dinamici rendono più difficile rintracciare e bloccare eventuali minacce. Qualsiasi dispositivo connesso alla Rete può divenire un involontario alleato degli hacker e partecipare ad un attacco DDoS, come avvenuto lo scorso 21 ottobre negli Stati Uniti – varie telecamere di sorveglianza furono “bucate” ed arruolate nella botnet adoperata dai criminali. Dal cloud è inoltre più facile rintracciare la potenziale lista dei bersagli: gli hacker sono infatti in grado di capire rapidamente a quale provider si appoggia l’azienda e sviluppare successivamente il loro piano in base agli elementi infrastrutturali presenti online. In passato la procedura richiedeva invece più tempo: l’hacker iniziava la propria ricognizione dal sito web del potenziale target.
  • Fase 2 – Preparazione dell’attacco. In questa fase gli hacker si dedicano alla preparazione dell’attacco. Sia che si tratti di un bersaglio on premise che nel cloud, gli “incursori” si mettono alla ricerca di eventuali vulnerabilità di sfruttare a proprio vantaggio.
  • Fase 3 – Consegna. L’attacco è indirizzato al bersaglio stabilito. Nel cloud abbiamo un sistema di layer differente rispetto ad un’infrastruttura on premise caratterizzato da gruppi di sicurezza e porte (aperte e chiuse). Nel caso in cui gli hacker riescano a giungere a questo fase è importante che i team incaricati dispongano degli  adeguati strumenti di contrasto e mitigazione.
  • Fase 4 – Exploitation. Fase in cui si “passa all’azione”. I metodi utilizzati dagli intrusi possono essere vari e spaziano dal classico brute force (appoggiarsi a strumenti che tentano di indovinare la corretta combinazione user id/password) all’individuazione di porte che consentono di accedere ad un servizio vulnerabile. Una volta “entrati” la procedura è la medesima tanto per il cloud quanto per la macchina on premise: l’intruso procede all’injection del codice malevolo grazie al quale potrà ottenere il controllo del server.
  • Fase 5 – Installazione. Gli intrusi procedono ora al trasferimento di un payload nella macchina bersaglio, un componente che consente di estendere le funzionalità del virus –  potrà compiere determinate azioni malevole come ad esempio la distruzione di un archivio dati – e garantire un accesso diretto alla macchina (tramite una backdoor). In un ambiente cloud è cruciale proteggere l’accesso agli strumenti DevOps in quanto in grado di garantire l’accesso alla quasi totalità dell’infrastruttura online.
  • Fase 6 – Comando e controllo. Una volta giunti alla penultima fase è difficile contrastare con efficacia l’attacco perchè gli hacker potrebbero avere ormai preso il controllo totale del server.
  • Fase 7 – Azione sull’obiettivo finale. Nell’ultima fase dell’attacco gli intrusi si mettono al lavoro per portare a compimento l’obiettivo principale della personale iniziativa. Nel caso in cui si tratti di un attacco d’opportunità potrebbero semplicemente usare il server per operazioni di BitCoin mining. Un attacco mirato potrebbe invece riguardare il trafugamento di dati sensibili di un certo valore – ad esempio nell’attacco che colpì la Sony Pictures Entertainment venne rubato l’intero copione dell’atteso blockbuster “Spectre” e molto altro.

Fonte