WhatsApp e Spyware, è solo l’inizio!

Due casi di alto profilo in pochi mesi. E il trend sembra destinato solo a salire. Stiamo ovviamente parlando dello spyware Pegasus, colpevole della recente violazione di WhatsApp, e del meno noto, ma italianissimo Exodus. Infezioni che si annidano nel dispositivo mobile bersaglio e li rimangono silenti per spiare e sottrarre tutte le informazioni contenute. La vera curiosità di questi casi, di cui si è detto e scritto molto, non è però solo data dal clamore causato, ma quanto da come essi siano simili per “sintomi” e modus operandi al temuto Advanced Persistent Threat (comunemente noto come APT), uno dei tipi di Cyber attacco più pericolosi.

Ma di cosa si tratta precisamente? L’APT si distingue per due fattori principali: una durata (che comprende studio del bersaglio e assalto vero e proprio) prolungata nel tempo e – come Pegasus e Exodus – una bassissima rilevabilità. Altro punto è legato agli attori. I criminal hacker che usano questa modalità, infatti, sono spesso e volentieri sostenuti economicamente da governi o grandi gruppi imprenditoriali e quindi godono della totale immunità giuridica.

Tipicamente un Advanced Persistent Threat inizia, come accennato, da un’attenta fase di studio del bersaglio prescelto in cui vengono individuate le possibili vulnerabilità da sfruttare per ottenere un ingresso sicuro. Una volta ottenuta questa "testa di ponte" i criminal hacker si avvalgono di malware (come gli Spyware che hanno colpito WhatsApp) tailor-made per il loro bersaglio così da non destare sospetti.

A cosa punta un APT? La principale fonte di guadagno per un hacker al giorno d’oggi sono le informazioni e l’Advanced Persistent Threat qui non differisce. Attenzione però chi utilizza questa soluzione, agendo anche su commissione, può inoltre utilizzarlo per la sorveglianza non autorizzata o piantare codice distructive tale da danneggiare un competitor di business o addirittura uno stato “nemico”. Da questo breve sunto potremmo dedurre che stiamo descrivendo quello che gli anglosassoni definirebbero un no-win scenario, ma non è così. Per conoscere e sconfiggere un APT però dobbiamo imparare a individuarne i segnali.

La prima fondamentale considerazione da tenere bene a mente è che l’hacker che lo porta avanti non lascia le classiche tracce delle sue controparti più “mondane”. Per scovarle, fortunatamente, una lunga sequela di case history ha permesso di compilare una sorta di vademecum di punti a cui prestare attenzione. Un consiglio però: ognuno degli esempi riportati qui sotto, presi singolarmente, potrebbero solo essere regolare attività interna. I KPI di un APT sono legati a tempi e volumi dell’attività che ci ha fatto insospettire più che alla tipologia stessa di questa. Ecco alcuni indicatori:

Una parola di cautela: anche se riconosciuto in tempo l’APT che infetta un sistema complesso può essere veramente difficile da rimuovere. Per questo motivo per affrontarlo c’è bisogno del giusto pacchetto di competenze che solo una Cyber Security Firm può fornire. La professionalità e l’abilità degli esperti di Cyber Security nell’analizzare comportamenti e flussi anomali, in sinergia con una buona formazione e awareness da parte del personale aziendale sono i pilastri su cui fondare un Cyber Security Framework sicuro nei confronti degli APT.

Questo cardine può facilitare notevolmente nello svolgimento dei successivi step, riportati di seguito, utili a contrastare un APT.

Il mercato della Cyber Security offre diversi strumenti che permettono di mettere alla prova le difese del tuo network, tra i più efficaci vanno sicuramente menzionati: