Come stanno evolvendo le minacce APT? A rivelarlo è Kaspersky Lab nel suo ultimo report che nei primi tre mesi del 2019 ha osservato un panorama piuttosto attivo per quanto riguarda questo tipo di minacce, con un epicentro concentrato nel Sud-Est asiatico. Tra le altre evidenze emerse spicca il fatto che questo tipo di attività è sempre più influenzata dalle tendenze geopolitiche ed è caratterizzata sia da attacchi di tipo spyware (commerciali e relativi al mondo delle criptovalute), ma anche da un caso di attacco ad una supply chain.
Focus sul report di Kaspersky Lab
Il report di Kaspersky Lab dedicato ai principali trend del mondo delle APT nel primo trimestre del 2019 si basa sulla ricerca privata a livello di intelligence delle minacce, ma anche su altre fonti; lo studio mette in luce i principali sviluppi che dovrebbero essere al centro dell’attenzione dei ricercatori nei prossimi mesi.
Operazione ShadowHammer
Nel primo trimestre del 2019, i ricercatori di Kaspersky Lab hanno osservato una serie di nuovi sviluppi, tutti molto interessanti.
La campagna APT che ha caratterizzato l’intero trimestre è stata di sicuro l’operazione ShadowHammer: una campagna avanzata e mirata che ha utilizzato la supply chain per una distribuzione su scala incredibilmente ampia, combinando questo tipo di azione con tecniche implementate in maniera davvero meticolosa, per colpire con estrema precisione le vittime designate.
Altri dati emersi dal report Kaspersky Lab
Tra gli altri aspetti rilevanti del report di Kaspersky Lab dedicato alle campagne e agli attacchi APT nel Q1 del 2019 troviamo:
• La geopolitica, e le tensioni ad essa collegate, considerate come uno dei principali motori di attività delle APT; spesso la correlazione tra sviluppi di carattere politico e attività cybercriminale mirata è stata più che chiara.
• L’Asia sudorientale è rimasta la regione più freneticamente attiva al mondo in fatto di APT, con più gruppi, più “rumore” e più attività mirate all’interno della stessa regione rispetto a quanto registrato in altre aree geografiche.
• I gruppi di cybercriminali che usano la lingua russa hanno mantenuto un profilo basso rispetto agli ultimi anni. Questa tendenza potrebbe essere stata determinata da diversi fattori, come, ad esempio, delle riorganizzazioni interne. Nonostante questo, è rimasta costante una certa attività di fondo, come ad esempio, quella relativa alla distribuzione di malware da parte di Sofacy e Turla.
• Gli autori di cyberminacce che usano, invece, la lingua cinese, hanno continuato a portare avanti le loro attività, mescolando livelli alti e bassi di sofisticazione a seconda della campagna da realizzare. Il gruppo noto ai ricercatori di Kaspersky Lab come CactusPete, ad esempio, attivo dal 2012, è stato sotto osservazione nel corso del primo trimestre del 2019: per questo gruppo è stato registrato l’impiego di strumenti nuovi e aggiornati, tra i quali recenti varianti di downloader e di backdoor, insieme a VBScript zero-day del gruppo DarkHotel. CactusPete se ne è appropriato, per poi “riconfezionarlo”.
• Un’attività piuttosto fiorente dei fornitori di malware “commerciali” a disposizione dei governi e di altre entità; i ricercatori di Kaspersky Lab hanno osservato una nuova variante di FinSpy “in the wild”, così come un’operazione di LuckyMouse che implementava strumenti trapelati da HackingTeam.
Come difendersi: i consigli di Kaspersky Lab
Per non diventare vittime di un attacco mirato da parte di autori di minacce, conosciuti o sconosciuti, i ricercatori di Kaspersky Lab raccomandano di:
• Fornire ai propri team SOC l’accesso alla Threat Intelligence più recente, perché possano essere sempre aggiornati sugli strumenti, le tecniche e le tattiche nuove ed emergenti utilizzate dagli autori delle minacce e dai cybercriminali.
• Per il rilevamento a livello degli endpoint, l’analisi e la messa in atto di una strategia di remediation tempestiva, si consiglia di adottare soluzioni EDR come Kaspersky Endpoint Detection and Response.
• Oltre ad adottare una forma di protezione essenziale per gli endpoint, è importante implementare una soluzione di sicurezza aziendale, in grado di rilevare minacce avanzate a livello di rete in una fase iniziale, come ad esempio Kaspersky Anti Targeted Attack Platform.
• Poiché molti attacchi mirati iniziano con un caso di phishing o con la messa in atto di altre tecniche di “social engineering”, è fondamentale introdurre occasioni di formazione dedicate alla “security awareness” ed insegnare alcune abilità pratiche, ad esempio, attraverso uno strumento come Kaspersky Automated Security Awareness Platform.
