FireEye ha scoperto nel tempo la maggior parte dei gruppi hacker “di stato”: le APT (Advanced Persistent Threats) legate più o meno direttamente a governi

Come si attribuisce la paternità di un cyber attacco? Soprattutto se effettuato da gruppi di hacker organizzati come le APT, che operano per conto di governi?. Difesa & Sicurezza lo ha chiesto a FireEye, una delle aziende che ha scoperto più formazioni di questo tipo, collegate con attori a livello nazionale. L’ultima in ordine di tempo è stata APT33, legata all’Iran, che ha condotto attacchi informatici contro Usa, Arabia Saudita e Corea del Sud. Ma prima ce ne sono state molte altre Dai russi di APT 28 e 29 ai coreani di APT32 (OceanLotus), ai cinesi di APT30.

Prima fase: analisi dell’ecosistema di come l’aggressore ha lanciato il cyber attacco

In relazione ai cyber attacchi, “il primo livello di informazione che abbiamo è legato al codice malevolo che viene utilizzato – ha spiegato Daniele Nicita, Consulting System Engineer di FireEye, a margine di Cybertech Europe -. La nostra tecnologia ci permette di analizzare quell’oggetto, da un file eseguibile a un documento. In particolare quali sono i primi step che esegue il malware quando comincia un attacco. Di fatto, si studia come nasce l’aggressione e in che modo l’attaccante entra nel sistema. Che sia sfruttando l’ingenuità della vittima o una vulnerabilità tecnica. In questo contesto, il principale vettore è la posta elettronica. Lo scopo, infatti, non è inviare il codice malevolo al mondo, ma a bersagli selezionati. I più interessanti sono per esempio chi legge i curricula, che per mandato deve aprire mail con allegati, e gli amministratori di rete. Ciò in quanto hanno più privilegi all’interno di un’azienda”.

Nicita: Fondamentale analizzare il malware per avere il primo set di informazioni da inserire nel framework generale

“Quando ho analizzato il malware, so da dove viene, dov’era fisicamente l’oggetto – ha proseguito Nicita -; con chi vuole parlare (quali sono le risorse che utilizza) e lo stesso codice malevolo. Dove è fisicamente l’oggetto è un qualcosa di abbastanza dinamico, come lo è il codice stesso. Qui studiamo che caratteristiche ha e cerchiamo di capire tutto di esso. Anche con che compilatori è stato creato e in che lingua erano i sistemi operativi”. A proposito, l’esperto di FireEye ha aggiunto che questo è il primo set di informazioni, inserito nel framework da cui si cercherà, mediante correlazioni di tutti i dati, di capire chi ha effettuato il cyber attacco.

Seconda fase: digital forensics su tutta la killchain

Nella “seconda fase di un cyber attacco, gli aggressori si assicurano la possibilità di rientrare a piacimento nei sistemi che hanno compromesso – ha ricordato Nicita -. Lo fanno creando backdoor, programmi non malevoli, che si mimetizzino tra i processi naturali delle macchine. FireEye, avendo come input la fase iniziale, avvia un’analisi forense (digital forensic) per capire il livello sequenziale logico dal momento in cui l’attore ostile è entrato. I modi per apprenderlo sono 2: o a seguito del fatto che le TTP (Tactics, Techniques and Procedures) sono note o analizzando i processi sequenziali dell’endpoint.

Terza fase dell’analisi di un cyber attacco: capire il modus operandi dell’aggressore

Il terzo step nell’analisi della paternità di un cyber attacco è “capire cosa l’aggressore ha fatto”. “Mentre la finestra temporale in cui questi fatti avvengono è mediamente breve – ha ricordato Nicita -, una volta che si è dentro c’è tutto il tempo per rubare informazioni, sabotare i sistemi. Tra le prime cose che gli attori ostili fanno c’è l’escalation dei privilegi. Non è detto, infatti, che l’utente hackerato abbia i poteri necessari all’hacker. Si fa andando a interessarsi alla active directory e alle soluzioni di autenticazione. Si usano diversi strumenti, dai più banali con keylogger sul computer dell’utente al quale si vogliono sottrarre le credenziali allo sfruttare vulnerabilità degli strumenti dedicati”. In questo contesto, FireEye, “studia il modus operandi dell’attaccante. Frutto di ciò sono altre TTP, che permettono di dare un’indicazione su chi potrebbe essere dietro all’azione. Ogni gruppo ne ha di proprie caratteristiche”.

Quarta e ultima analisi: capire lo scopo di un attacco e come l’APT ha cancellato le tracce. Anche con la Open Source Intelligence (OSINT)

“Infine, cerchiamo di capire quale è lo scopo dell’attacco informatico e gli sforzi che sono stati fatti per cancellare le tracce. L’aggressore potrebbe solo voler sabotare un sistema o rubare informazioni. La casistica è ampia ma ogni gruppo APT ha le sue TTP”, ha detto Nicita. Peraltro, in parallelo a tutti gli studi tecnici e tecnologici sul cyber attacco, FireEye compie anche un’indagine sull’internet underground per apprendere ulteriori elementi che potrebbero collegare una particolare APT a un cyber incident o addirittura di scoprirne una nuova. “Indaghiamo anche nell’internet underground per capire le motivazioni di un’aggressione informatica dalla parte dell’attaccante. E’ fondamentale nell’attribution. Solitamente, si trovano elementi di interesse soprattutto da parte di gruppi non collegati direttamente a governi. In alcuni casi ci sono anche situazioni di ‘pretend to be’, che rappresentano un tassello del puzzle”.

Le scoperte di FireEye nascono grazie alla tecnologia, l’expertise e l’intelligence

Tutto l’insieme di questa analisi tecnica, tecnologica, linguistica e psicologia anche a livello di OSINT compone il quadro generale che poi sarà analizzata da persone e software di FireEye, al fine di identificare chi sia l’autore di un cyber attacco. Peraltro, all’interno dell’azienda ci sono 3 entità distinte ma totalmente collegate tra loro, specializzate nei passaggi fondamentali dell’indagine. FireEye opera a livello tecnologico, effettuando l’analisi dei malware. Mandiant, invece, fornisce l’expertise nella digital forensic e nella reverse engineering. Infine, ISight si occupa dell’intelligence nell’internet underground.

Alcune delle Advanced Persistent Threats scoperte da FireEye