Il RAT è un trojan ad accesso remoto che permette un accesso illimitato all’endpoint (nodo per la comunicazione in rete).
Gli attacchi APT (Advanced Persistent Threat) utilizzano la tecnologia RAT per:
- effettuare la ricognizione sull’endpoint;
- bypassare il protocollo di autenticazione;
- diffondere il malware;
- accedere alle applicazioni sensibili.
I RAT sono commercialmente disponibili (vedi Poison-Ivy e Dark Comet) e possono essere installati sull’endpoint tramite tecniche di drive-by-download e spear-phishing.
Il prezzo va dai 50 ai 250 dollari, anche se spesso accompagnato da un software che permettere al trojan di risultare invisibile agli antivirus.
Fasi di un attacco APT
Un attacco APT non si affida solo alla tecnologia da utilizzare, ma anche allo studio del soggetto preso di mira per studiarne le vulnerabilità e trovare un modo per infiltrarsi nella rete.
Questa tipologia di attacchi non ha lo scopo di infettare la maggior parte dei device possibile, bensì concentrarsi su un obiettivo secondario di poca importanza, tipo un dipendente, e da lì infiltrarsi nella rete fino a raggiungere l’obiettivo primario, ad esempio il CEO dell’azienda.
Per preparare l’attacco, i cyber-criminali utilizzano dei tool per raccogliere dati più o meno rilevanti di persone che non sono direttamente collegate al target. Poi, tramite tecniche di social engineering, riescono a ricavare informazioni che possono portare a chiavi per la violazione del sistema e comprometterne la sicurezza.
La prima vera fase dell’attacco APT consiste nell’installare il malware su un sistema non molto importante e vulnerabile. Questo sarà il tassello di partenza dell’attacco, il quale permetterà all’hacker di espandersi all’interno della rete aziendale ed avere il controllo sulla quasi totalità dei dispositivi collegati ad essa.
La fase successiva prevede lo studio della vulnerabilità dei sistemi interni come i server, gli hot-fix installati (aggiornamenti rapidi) ed il protocollo di comunicazione utilizzato. In seguito queste informazioni verranno poi scaricate tramite una backdoor.
L’ultima fase consiste nell’attacco vero e proprio al target, sottraendogli informazioni chiave, in seguito scaricate tramite la backdoor precedentemente installata.
Statistiche sulla diffusione di questi attacchi
Il classico network, composto da client-server collegati in rete, è stato sostituito allo stesso modo da strutture ben più complesse basate sul cloud. Tuttavia una quantità impressionante di dispositivi mobili personali ne aumentano la complessità nella gestione della sicurezza.
“L’uso di attacchi APT e l’estrema complessità delle infrastrutture informatiche, consente agli hacker di infiltrarsi ed agire indisturbati per lunghi periodi di tempo. Secondo le nostre statistiche, le aziende si accorgono di essere soggette ad un attacco dopo una media di 214 giorni dall’intrusione.”
Queste sono le parole di Gianfranco Vinucci, responsabile del team italiano che si occupa di gestire tutte le operazioni di prevendita di Kaspersky Lab Italia.
Non sai qual è la differenza tra malware e virus? Leggi il nostro articolo.
[amazon_link asins=’197597011X,1520569912,153772052X’ template=’ProductCarousel’ store=’advicenology-21′ marketplace=’IT’ link_id=’c0b4e3fe-b1fa-11e7-9e39-5fa29053e7ea’]
