L’azienda specializzata nella security fa il punto sulle minacce Apt in atto in EMEA nel primo trimestre dell’anno, offrendo una panoramica su quello che sta accadendo e sulle possibili conseguenze
La sicurezza continua a restare uno degli argomenti più “caldi” del periodo, soprattutto in vista dell’entrata in vigore a livello europeo della normativa Gdpr (General data protection regulation), che avverrà il prossimo 25 maggio. Non passa mese senza che giunga notizia di qualche eclatante violazione di dati e informazioni personali, perciò l’attenzione verso la Cybersecurity continua a rimanere altissima. È in questo contesto che Kaspersky Lab ha lanciato un webinar dedicato all’aggiornamento sulle minacce Apt (Advanced persistent threat), cioè attacchi mirati e persistenti che di solito colpiscono inizialmente bersagli lontani dal vero target per non insospettire gli addetti alla sicurezza e agire così indisturbati in un momento successivo.
Condotto in tandem da Costin G. Raiu e Vicente Diaz, del Global Research & Analysis Team (GReAT) di Kaspersky, lo webinar ha dato una panoramica delle nuove minacce scoperte dal team e delle possibili misure da adottare per proteggersi. «Nei primi tre mesi del 2018 abbiamo tenuto sotto controllo oltre 100 attori principali di minacce Apt – ha esordito Diaz -. Lo scopo del nostro studio è quello di capire l’evoluzione delle minacce basandoci su quello che è successo nel passato, e trarre conclusioni sul cambiamento del panorama generale delle minacce stesse». Gli attacchi Meltdown, Spectre, e AMD hanno inaugurato nuovi sistemi di sfruttamento delle vulnerabilità (exploitation), che resteranno validi per anni e che pertanto vanno monitorati.
Un altro tipo di attacchi che stanno conquistando il centro della scena sono i cosiddetti attacchi Router. «Il principale problema di questo tipo di attacchi è che sono difficili da scoprire – ha commentato Raiu -. Per esempio, i noti SynfulKnock e gli Apt Regin e CloudAtlas continuano a rappresentare un problema (il documento del Governo Usa sottolinea che gli attacchi a router sono stati il vettore preferito)». In ogni caso, il numero di segnalazioni di attacchi a router basati su questo tipo di Apt dimostra che probabilmente si riescono a scoprire solo alcuni dei problemi realmente attivi in field. L’attacco Skygofree, portato a dispositivi Android, era in lingua italiana e molto sofisticato, dimostrando l’attenzione crescente degli hacker verso i dispositivi mobili, attaccati anche attraverso falsi server Mdm (Mobile device management) come in un recente attacco a dispositivi iOs, in cui sono state utilizzate anche tecniche di Social Engineering per convincere le vittime a installare malware sui propri dispositivi.
Un altro attacco, OlympicDestroyer, che ha fatto scalpore, se non altro per il bersaglio scelto, le Olimpiadi invernali di Pyongchang, non è in realtà riuscito a provocare danni particolari. L’attribuzione al gruppo di hacker Nordcoreani noto come “Lazarus” pare sia stata una falsa traccia, così come non è chiaro quale fosse il reale obiettivo dell’attacco stesso. In conclusione il periodo è stato caratterizzato da: comparsa di nuovi attori, molto attivi, soprattutto in Asia; un rallentamento dell’attività di attori noti; la diffusione di nuovi attacchi che sfruttano hardware di rete e la ricomparsa di vecchi attori che evidentemente non hanno cessato la propria attività.