Sono 4 i principali fattori chiave che contribuiscono al successo degli attacchi APT, ossia delle Advanced Persistent Threat alle reti delle loro vittime. Li ha individuati Kaspersky, che punta il dito su fattori umani, misure di sicurezza insufficienti, difficoltà ad effettuare gli aggiornamenti e la configurazione delle soluzioni di sicurezza informatica.
Sebbene alcuni di questi elementi possano apparire banali, sono quelli incontrati più frequentemente dagli esperti di Kaspersky nella loro attività di incident response. Per supportare le aziende nel mitigare le minacce e assicurare l’implementazione delle best practices più efficaci, gli esperti dell’ICS CERT di Kaspersky hanno compilato una lista dei problemi più diffusi.
Mancanza di isolamento delle reti OT
Nelle indagini in caso di incidenti, gli esperti di Kaspersky hanno spesso riscontrato carenze nel mantenere separate e sicure le reti Operational Technology (OT). Ad esempio, hanno trovato macchine, come engineering workstation, connesse sia alla rete normale sia a quella OT.
“In situazioni in cui l’isolamento della rete OT è garantito solo dalla configurazione delle apparecchiature di rete, è stato sperimentato che aggressori esperti possono semplicemente riconfigurare tali apparecchiature a proprio vantaggio,” – ha dichiarato Evgeny Goncharov, Head of Industrial Control Systems Cyber Emergency Response Team di Kaspersky. “Per esempio, possono trasformarle in server proxy per controllare il traffico di malware o addirittura utilizzarle per archiviare e distribuire malware a reti che si ritenevano essere isolate. Abbiamo assistito in molte occasioni ad azioni malevole come queste”.
Il fattore umano resta determinante negli attacchi APT
Quando si concede l’accesso alle reti OT ai dipendenti o ai collaboratori, spesso le misure di sicurezza informatica vengono trascurate. Le utility di amministrazione remota come TeamViewer o Anydesk, inizialmente impostate temporaneamente, possono rimanere attive senza essere notate. In ogni caso, è essenziale ricordare che questi canali sono facilmente sfruttabili dagli aggressori. Nel 2023, Kaspersky ha indagato su un incidente in cui un collaboratore aveva tentato l’attacco, sfruttando l’accesso remoto alla rete ICS che gli era stato legittimamente concesso molti anni prima.
Questi episodi dimostrano l’importanza di considerare il fattore umano, poiché alcuni dipendenti, tendenzialmente insoddisfatti, potrebbero essere spinti da motivazioni lavorative, di retribuzione o per ragioni politiche, ad intraprendere azioni cybercriminali. Una soluzione possibile per essere protetti in situazioni simili può essere lo Zero Trust, ovvero il concetto che prevede di non fidarsi né dell’utente, né del dispositivo e né dell’applicazione interna al sistema. Diversamente da altre soluzioni Zero-Trust, Kaspersky estende l’approccio Zero Trust fino al livello del sistema operativo con le sue soluzioni basate su KasperskyOS.
Protezione insufficiente degli asset OT
Durante l’analisi degli incidenti, gli esperti di Kaspersky hanno rilevato database delle soluzioni di sicurezza non aggiornati, codici di licenza mancanti, chiavi rimosse da parte dell’utente, componenti di sicurezza disabilitate, ed eccessive esclusioni dalla scansione e dalla protezione: tutti fattori che contribuiscono alla diffusione dei malware.
Ad esempio, se i database non sono aggiornati e una soluzione di sicurezza non può essere aggiornata automaticamente, questo può permettere alle minacce avanzate di propagarsi rapidamente e facilmente come negli attacchi APT, in cui chi crea le minacce sofisticate cerca di evitare di essere rintracciato.
Configurazioni non sicure di soluzioni di sicurezza
Configurazioni appropriate delle soluzioni di sicurezza sono indispensabili per prevenire la disabilitazione o addirittura l’abuso, una tattica spesso impiegata da gruppi/attori APT. In caso contrario si rischia che vengano rubate informazioni sulla rete delle vittime, memorizzate nella soluzione di sicurezza, così da accedere ad altre parti del sistema, o “muoversi lateralmente” come si dice nel linguaggio professionale di infosec.
Nel 2022, Kaspersky ICS CERT ha notato una nuova tendenza nelle tattiche degli attacchi APT, che fa sì che siano ancora più indispensabili configurare correttamente le soluzioni. Ad esempio, quando cercano modi per spostarsi lateralmente, gli aggressori non si fermano più all’hijacking dei sistemi IT critici, come i controller dei domini. Procedono verso l’obiettivo successivo: i server di amministrazione delle soluzioni di sicurezza. Gli scopi sono vari: dall’inserimento dei malware in un elenco di programmi che non verranno sottoposti a controllo dagli strumenti del sistema di sicurezza, così da poterlo diffondere ad altri sistemi, anche a quelli che dovrebbero essere completamente separati dalla rete infetta.
L’assenza di soluzioni di cybersecurity a protezione delle reti OT
Può essere difficile da credere, ma in alcune reti OT, le soluzioni di sicurezza informatica non sono installate su molti endpoint. Anche se la rete OT è completamente separata da altre reti e non è connessa a Internet, gli aggressori hanno comunque modo di accedere. Ad esempio, possono creare versioni speciali di malware distribuite via driver rimovibili, come le USB.
Il problema degli aggiornamenti di sicurezza di workstation e server
I sistemi di controllo industriale hanno un funzionamento unico, per cui anche le operazioni più semplici come l’installazione di aggiornamenti di sicurezza su workstation e server hanno bisogno di essere verificate attentamente. Questi test spesso avvengono durante la manutenzione programmata e ciò fa sì che gli aggiornamenti siano poco frequenti. Questo dà agli attori delle minacce tutto il tempo necessario per sfruttare le debolezze e portare a termine i propri attacchi.
“In alcuni casi, l’aggiornamento del sistema operativo del server può richiedere un aggiornamento del software specializzato (come il SCADA server), che a sua potrebbe rendere necessario l’aggiornamento dell’apparecchiatura, il che può essere troppo costoso. Di conseguenza, nelle reti di sistemi di controllo industriale ci sono sistemi obsoleti,” prosegue Goncharov. “Sorprendentemente, in ambito industriale, anche sistemi connessi a Internet, che possono essere relativamente semplici da aggiornare, possono rimanere vulnerabili per molto tempo. Questo espone le tecnologie operative (OT) ad attacchi e a rischi seri, come hanno mostrato alcuni attacchi portati a termine”.
Ulteriori consigli sono pubblicati nel blog Kaspersky ICS CERT, come quelli relativi alla configurazione e impostazioni delle soluzioni di sicurezza, all’isolamento delle reti OT, alla protezione dei sistemi, l’utilizzo di OS, software obsoleti e firmware dei dispositivi non aggiornati.
I consigli di Kaspersky per proteggere le aziende dagli attacchi APT
- Se una società dispone di tecnologie operative (OT) o di infrastrutture critiche, assicurarsi che siano separate dalla rete aziendale o almeno che non vi siano connessioni non autorizzate.
- Condurre regolari controlli della sicurezza dei sistemi OT per identificare ed eliminare ogni possibile vulnerabilità.
- Stabilire un processo continuo di valutazione e di gestione delle vulnerabilità.
- Utilizzare soluzioni di monitoraggio, analisi e rilevamento del traffico della rete ICS per una migliore protezione dagli attacchi potenzialmente minacciosi per i processi tecnologici e i principali asset aziendali.
- Assicurarsi che gli endpoint industriali siano protetti così come quelli aziendali. La soluzione Kaspersky Industrial CyberSecurity include una protezione dedicata agli endpoint e al monitoraggio delle reti per rilevare ogni attività potenzialmente sospetta e malevola nella rete industriale.
- Per comprendere meglio i rischi associati alle vulnerabilità nelle soluzioni OT e per prendere decisioni consapevoli sulla loro mitigazione, raccomandiamo l’accesso a Kaspersky ICS Vulnerability Intelligence sotto forma di report consultabili o di feed di dati leggibili dalle macchine, a seconda delle competenze tecniche e delle necessità.
- La formazione dedicata alla sicurezza ICS per i team di sicurezza informatica o per gli ingegneri OT è indispensabile per migliorare la risposta alle tecniche malevole nuove e avanzate.