Evoluzione della minaccia del Cyber Espionage industriale

Transcript

1 Evoluzione della minaccia del Cyber Espionage industriale Aspetti procedurali e operativi di prevenzione e risposta Nicola Mugnato Selex Elsag Cyberlabs

2 Cos è un Advanced Persistent Threat Advanced Persistent Threat L Advanced Persintent Threat si diversifica rispetto alle tradizionali azioni di hacking per le seguenti caratteristiche: ADVANCED PERSISTENT THREAT vengono utilizzate tutte le tecniche e tools di hacking tradizionali ma vengono anche progettati e costruiti tools di hacking dedicati attuata da gruppi organizzati e diversificati rispetto alle varie fasi dell attacco attraverso azioni pianificare, lente ma continue che possono durare anni minaccia riferita principalmente allo spionaggio via internet ma utilizza anche tecniche di spionaggio tradizionale 2

3 Un esempio di Advanced Persistent Threat RSA, la divisione di EMC per la sicurezza, è il fornitore leader di soluzioni di sicurezza per accelerare il business aziendale Aprile PCWorld In una lettera aperta apparsa sul loro sito web, RSA rileva di essere stata oggetto di un attacco e che sono stati rubati dati che potrebbero potenzialmente compromettere i loro token SecurID. 3

4 4 Simuliamo le varie fasi di un attacco APT per desciverne il funzionamento e per evidenziare come il target stesso fornisca le informazioni utili all attacante. 1 Seleziono un target tra una delle principali aziende italiane Come funzioan un Advanced Persistent Threat Per questa simulazione slezionamio Alitalia ma questa tecnica funziona con qualsiasi azienda o ente di qualsiasi paese al mondo

5 5 2 Ricerco un punto debole: un dipendente dei sistemi informativi Come funzioan un Advanced Persistent Threat

6 6 3 Cerchiamo informazioni riguardo Silvia X Ne troviamo 8, quindi cerchiamo il nostro sistemista

7 7 Come funzioan un Advanced Persistent Threat La prima è una segretaria d azienda

8 8 Come funzioan un Advanced Persistent Threat La seconda è una insegnante

9 9 La terza ha una formazione tecnica

10 10 lavora nel campo dell informatica

11 11 e tra i suoi amici c è il Comitato Cassaintegrati Overbooked

12 12 e tra i suoi interssi principali ci sono i gatti.

13 13 4 Cerchiamo altre informazioni su Silvia X

14 14 5 Qual è il formato della mail aziendale Alitalia? nome.cognome cognome.nome ncognome n.cognome nomecognome cognome.nome@alitalia.it xxxxxxx.silvia@alitalia.it

15 15 6 Cerco un amico di Silvia X di cui lei si fidi, qualcuno che condivida i sui stessi interessi: I miei gattoni!! Katia è un amica di Silvia e ha comentato più volte le foto dei suoi gatti

16 16

17 7 Cerco un sito in tema Gatti e trovo Gatti de Roma Trovo anche una mail già fatta 8 Creo un pdf con il testo del sito 17

18 18 9 Aggiungo uno 0-day (script) 10 Aggiungo un Malware (programma)

19 19 11 Creiamo una mail da spedire from to con il nostro pdf

20 20 12 Spediamo la mail da a con il nostro pdf 13 Silvia crede di aver ricevuto una mail dalla sua amica Katia. e la apre katiaxxxx@gmail.com xxxx.silvia@alitalia.it

21 21 14 ma non l ha spedita Katia Lo 0-day funziona e installa il malware sul computer di Silvia katiaxxxx@gmail.com xxxx.silvia@alitalia.it

22 22 15 Il malware contatta un server compromesso su internet e il server mi avverte dell esito della compromissione 16 A questo punto prendiamo il controllo della macchina di Silvia katiaxxxx@gmail.com xxxx.silvia@alitalia.it

23 23 17 il malware cattura le credenziali di Silvia: nomeutente + password e il nome dei server che Silvia gestisce: serv_1, serv_2 18 Attraverso il server ponte e la macchina infetta accedo ai server con le credenziali di Silvia e Installo keylogger e rootkit Serv_3 Serv_4 Serv_2 serv_1

24 24 19 Attendo che altri sistemisti colleghi di Silvia si autentichino su quei server e ottengo altri username + password e l accesso ad altri server serv_3, serv_4 Serv_3 Serv_4 Serv_2 serv_1

25 25 20 Ma io non sono solo e i miei colleghi hanno ottenuto accesso ad altri client e server Noi siamo il Team A 21 Da ora solo pochi di noi si occuperanno di mantenere operativi i canali di controllo e di crearne altri Serv_5 Serv_3 Serv_4 Serv_6 Serv_2 serv_1

26 26 20 Ora è il turno del Team B Sono analisti e specialisti nelle tecnologie del nostro target compiono ricerche mirate di informazioni Serv_5 Serv_3 Serv_4 Serv_6 Serv_2 serv_1

27 27 Riassumendo Advanced Persistent social engineering 0-day script malware standard nuovi malware specifici Spearfishing keylogger rootkit scanning exploitation furto di credenziali mantenimento dei canali di controllo (Command and Control) Threat ricerche mirate di informazioni utilizzo di tecniche di spionaggio tradizionale

28 Riassumendo Punti di forza dell APT furto d identità di utenti e amministratori utilizzo dei servizi standard messi a disposizione dall infrastruttura ICT target utilizzo di moltissime tecniche e tools differenti durante la stessa operazione azione di basso profilo (connessioni autorizzate) con bassa frequenza (low and slow) Punti deboli dell APT le informazioni sottratte debbono uscire passando per i canali di interconnessione della rete a internet (non attraverso chiavette usb, paper, ) anche le sessioni C2 (Command and Control) passano attraverso gli stessi canali nella fase di creazione della rete di infiltrazione vengono attaccate quasi esclusivamente macchine Windows I tools utilizzati durante un operazione cambiano ma debbono eseguire gli stessi compiti noti: rubare credenziali, creare backdoors, cercare computer compromettibili, stabilire canali di comunicazione verso l esterno, cercare e spedire informazioni il modus operandi è prevedibile noi sappiamo quali sono e dove sono le informazioni maggiormente sensibili 28

29 29 Come ci si difende Prevenzione Controllo Reazione Aspetto Legale Intelligence accurato risk assessment che consideri anche questo fenomeno adozione di sistemi di cifratura e data loss prevention continuo patching dei sistemi operativi e delle applicazioni segmentazione delle reti e separazione delle funzioni aziendali (utenti/amministratori) adozione di sistemi di strong authentication almeno per amministratori e servizi critici monitoraggio di tutto il traffico entrante e uscente dalle nostre reti analisi dell utilizzo dei sistemi informativi per evidenziare anomalie (correlazione eventi) costituzione di uno CSIRT (Computer Incident Response Team) con capacità di log analysis digital forensic reverse engineering progettazione e attuazione piani di rimedio Attività di Cyber Intelligence per predire le possibili minacce

30 30 Aspetto legale Spesso l APT è l espressione di un conflitto asimmetrico non solo dal punto di vista tecnico ma anche legale, perché contrappone AZIENDA NAZIONE STRANIERA Industria Istituzioni Reazione Può solo difendersi Può anche eseguire azioni di contro-spionaggio Intelligence Analisi solo su fonti aperte Può accedere a qualsiasi fonte dati anche confidenziale Necessità creare un legal framework internazionale sulla cyber warfare condividere informazioni riservate/classificate tra Aziende e Istituzioni in un azione mirata alla difesa del patrimonio industriale nazionale

31 31 Qual è il reale livello della minaccia? Chengdu Aircraft Industry Group Qualcuno lo riconosce? Ha qualcosa di familiare

32 32 Qual è il reale livello della minaccia? Assomiglia molto ad un Eurofighter ma è il Chengdu J-10 Chengdu J-10 Eurofighter

33 33 Qual è il reale livello della minaccia? Ma anche questi si assomigliano. Forse è una coincidenza Shenyang J-11 Sukhoi Su-27

34 34 Qual è il reale livello della minaccia? o forse no! Chengdu J-22 F-35 Joint Strike Fighter

35 35 Grazie per l attenzione Nicola Mugnato Direttore Generale Selex Elsag Cyberlabs nicola.mugnato@cyberlabs.it