Quando pensiamo ai cybercriminali, spesso immaginiamo individui che indossano felpe con cappuccio che si aggirano furtivamente nell’ombra in attesa di un’opportunità per attaccare. Astuzia e inganno si sono dimostrati di grande successo nel corso degli anni, con gli attaccanti, apparentemente, sempre un passo avanti rispetto a coloro che salvaguardano sé stessi o le proprie aziende dalle minacce. Uno dei più famosi esempi è l’attacco ransomware subìto da Colonial Pipeline.
Anche i difensori hanno dovuto adattarsi, ed è questo il concept alla base del noto framework ‘MITRE ATT&CK’. Abbreviazione di “Adversarial Tactics, Techniques, and Common Knowledge”, questo database contiene tattiche e tecniche conosciute degli attaccanti con l’obiettivo di aiutare i responsabili di cybersecurity e Red Team a restare aggiornati sul modo in cui pensano e operano. Informazioni che aiutano le organizzazioni nelle strategie di mitigazione, permettendo loro di tornare all’operatività più velocemente dopo una violazione e, a volte, anche di cogliere i cybercriminali sul fatto.
Ma quanto è utile il framework MITRE ATT&CK nel mondo reale? Lo si può mettere alla prova per decostruire l’attacco ransomware del mondo reale lanciato, come anticipato, contro Colonial Pipeline l’anno scorso. I risultati ottenuti possono aiutare le organizzazioni a prepararsi meglio – perché si tratta di affrontare la tecnica, non lo strumento.
Decostruire l’attacco a Colonial Pipeline
Fase 1: Ricognizione
Il primo passo essenziale in qualsiasi attacco è analizzare in dettaglio le informazioni pubbliche disponibili sull’obiettivo – e gli attaccanti di Colonial Pipeline hanno riferito di aver lanciato un listener Metasploit per tenere d’occhio le connessioni in entrata. Hanno anche utilizzato semplici tecniche phishing, come la falsificazione di una e-mail dal dipartimento IT dell’organizzazione, per indurre gli utenti a scaricare software infetto al fine di creare una backdoor facilmente accessibile.
Fase 2: Accesso iniziale
Ottenuto l’accesso segreto, i cybercriminali hanno installato un programma che ha permesso loro di visionare l’infrastruttura aziendale di Colonial Pipeline e pianificare il modo migliore per attaccare, prima di cancellare accuratamente ogni traccia di attività per poter restare inosservati.
Nell’attacco a Colonial Pipeline, sembra che gli attori abbiano usato diverse tecniche per ottenere l’accesso iniziale – tra cui attacchi phishing, campagne di ingegneria sociale e sfruttamento di applicazioni pubbliche. Questo approccio combinato ha permesso di trovare ogni piccola lacuna nelle protezioni e, in questo caso, sono state prese di mira le credenziali e le identità compromesse, sfruttandole senza essere rilevati.
Fase 3 – Esecuzione
Una volta lanciato l’attacco contro Colonial Pipeline, i cybercriminali hanno cercato informazioni sull’account che controllava il dominio, il suo indirizzo IP e il nome dell’host. Un vero e proprio “tesoro” per un attaccante, e non proteggerlo correttamente può essere devastante per le aziende perchè permette a un malintenzionato di fingersi un utente legittimo e viaggiare in rete senza sospetti – il travestimento perfetto, una copertura che significa essere liberi di rubare dati preziosi, distribuire ransomware, o creare il caos. In particolare, con l’accesso al domain controller, gli attaccanti possono ricoprire il ruolo di amministratore di sistema, ottenendo accesso illimitato e capacità di eseguire attacchi devastanti.
In questa situazione, l’importanza di approccio “assume breach” non può essere mai enfatizzato abbastanza, ma è assolutamente fondamentale per mettere al sicuro subito i programmi, anche se non si è certi di essere stati colpiti.
Fase 4 – Persistenza
Pazienza e persistenza sono la chiave per il successo degli attacchi ransomware. Una volta che un hacker si è stabilito come amministratore di sistema può programmare azioni che tengano la porta di servizio aperta, permettendo di tornare costantemente sulla scena (server) del crimine e causare più danni.
Nell’attacco a Colonial Pipeline, gli hacker hanno eseguito exploit e raccolto gli hash delle password – esportando una tonnellata di dati potenzialmente leggibili (con un po’ di persistenza e un programma adatto), che contenevano password di amministrazione critiche.
In questo caso, un sistema che rigenera automaticamente le password avrebbe potuto essere cruciale per la mitigazione. Fondamentalmente, durante un attacco, questo sistema può impedire il movimento laterale e verso l’alto, limitando i danni che un attaccante può compiere in un determinato arco di tempo, e dando alle organizzazioni il tempo di affrontare il problema prima che la situazione diventi irreparabile.
Fase 5 – Escalation
L’obiettivo degli attacchi è quasi sempre l’escalation dei privilegi – cioè, ottenere sempre maggiore accesso, raggiungendo i ruoli apice dell’azienda. Nel caso dell’attacco ransomware a Colonial Pipeline, gli attaccanti hanno mostrato persistenza nell’ottenere credenziali fino a trovare il punto perfetto per inserire il loro ransomware e causare il massimo impatto.
Fase 6 – Evasione
Dopo l’accesso iniziale, la seconda priorità di un attaccante consiste nell’evadere la difesa. La capacità di restare inosservati è fondamentale. È qui che entrano in gioco le abilità di difesa astute e ingannevoli: l’invasore segreto farà del suo meglio per coprire le proprie tracce cancellando le directory di output, i file CSV e così via. Tuttavia, un approccio accuratamente stratificato di difesa in profondità dal ransomware dovrebbe essere in grado di aiutare un’organizzazione a individuare queste mosse, e prima si identifica un attacco, prima si può iniziare a mitigarlo.
Fase 7 – Accesso alle credenziali
Elemento comune negli attacchi ransomware, i cybercriminali di Colonial Pipeline hanno preso di mira le credenziali privilegiate che hanno fornito loro un accesso amministrativo di ampia portata a dati e sistemi sensibili.
È per questo motivo che i controlli di gestione degli accessi privilegiati che concedono agli utenti il set minimo di diritti costituiscono una parte essenziale di un approccio di sicurezza a più livelli, contribuendo anche a un approccio Zero Trust.
Il prossimo attacco su scala probabilmente sarà come questo
Il framework MITRE ATT&CK è certamente un punto di partenza utile, ma deve essere una risorsa fluida se si vuole tenere il passo con la costante innovazione degli attacchi. C’è un flusso continuo di nuove tecniche che si evolvono in the wild, e bisogna imparare da ogni incidente – che utilizzi tecniche nuove o meno recenti – al fine di comprendere e difendersi meglio.
Essere proattivi, creativi e pensare come un attaccante sono approcci necessari alla sicurezza informatica. Quando si è in grado di bilanciare conoscenze e incognite, si hanno le migliori possibilità di vincere non solo la battaglia, ma anche la guerra.
di Len Noe, Technical Evangelist e Whitehat Hacker di CyberArk
