Cos’è una Campagna APT?
È una delle minacce più potenti che ci siano. Sono attacchi he durano per mesi, addirittura anni, e avvengono in maniera invisibile grazie alle competenze informatiche e finanziarie delle persone che ci sono dietro. L’interesse di questi attacchi è rivolto principalmente ad ambienti politici e di stato e l’obiettivo degli hacker è quello bloccare i sistemi operativi o di rubare informazioni riservate. TunnelSnake è il nome della campagna APT che sta diffondendo il rootkit Moriya, un malware individuato nelle reti di due grandi organizzazioni diplomatiche dell’Asia e dell’Africa. Questa infiltrazione criminale ha colpito pochissimi soggetti di alto profilo, controllandoli a loro insaputa.
Ma cosa sono i Rootkit?
Sono programmi che nascondono malware nel sistema operativo. Sono lanciati come se fossero dei driver di sistema, con caratteristiche capaci di manomettere il sistema stesso. Gli antivirus e tutti i sistemi di sicurezza tradizionali sono elusi. I rootkit sono stati rilevati per i sistemi Windows, Linux e Mac OS X, quindi tutti sono a rischio. Fortunatamente, negli anni, sono stati introdotti Driver Signature Enforcement che ne ostacolano l’insediamento.
I cyber criminali di questo calibro sono così altamente “qualificati” da essere quasi impossibili da individuare dai normali antivirus e da sconfiggere. Come ridurre il rischio? L’obiettivo è ridurre al minimo i tempi tra la prima fase dell’infezione e la fase di rilevazione: più il malware rimane nei sistemi operativi, maggiori saranno i danni provocati, come il blocco dei pc, l’impossibilità di salvare o spostare documenti, il furto di file riservati.
Gli esperti di sicurezza informatica, per proteggere dalle campagne APT, consigliano di:
-eseguire regolari audit di sicurezza dell’infrastruttura IT, per rivelare lacune e sistemi vulnerabili
– utilizzare soluzioni aggiornate di Endpoint Protection, perché possa rilevare anche i malware meno noti
-installare soluzioni anti-APT e EDR (Endpoint Detection & Response) per individuare e rilevare le minacce
-fare attività di investigation e remediation tempestivo di qualsiasi incidente
-fornire al team SOC (Security Operations Centre) data feed affidabili di threat intelligence
-aggiornare i team regolarmente con una formazione professionale
Per contenere e respingere minacce come il rootkit Moriya è quindi necessario investire in personale formato adeguatamente. È fondamentale rilevare tempestivamente ogni anomalia, per non rischiare di vanificare tutto il lavoro svolto.
GlobalNet ha affrontato il problema ed ha trovato i servizi più adatti a difendersi, per le realtà commerciali italiane, come il firewall Fortinet, dotato di tutte le caratteristiche appena elencate. È un sistema di reale garanzia anche contro questo tipo di campagne malevoli, che stanno aumentando e ci sono concrete possibilità che saranno utilizzate anche per colpire aziende e persone comuni.
Non ti far trovare impreparato, i danni che potresti subire sono veramente enormi!