Ammettiamolo: le strategie di difesa messe in atto di fronte agli attacchi informatici in genere non funzionano. Basate su firme, anomalie e regole progettate per rilevare ed evitare gli attacchi dei criminali informatici, non impediscono a 7 analisti su 10 in tutto il mondo di ammettere che la propria organizzazione è stata compromessa. Il motivo per cui ci troviamo in questa situazione è semplice: le superfici di attacco si stanno espandendo molto più rapidamente di quanto stia crescendo la velocità di risposta degli analisti e dalla tecnologia a loro disposizione. Dobbiamo prendere le misure del cambiamento in atto. Tutte le aziende si sono spostate verso ambienti ibridi e multi-cloud. Per i criminali informatici, è un’occasione troppo ghiotta per resistere: si tratta di una nuova opportunità che stanno sfruttando, mettendo in campo nuovi metodi che consentono di eludere le linee Maginot erette dalle organizzazioni.
Tutte le aziende sono diventate ibride… e così gli attacchi ibridi
Di fatto, una percentuale crescente di attacchi moderni è ibrida: l’anno scorso, la percentuale di violazioni basate sul cloud è stata stimata attorno al 50%. La caratteristica principale di un attacco ibrido è che può essere innescato in qualsiasi punto dell’infrastruttura, sfruttando le vulnerabilità o gli accessi compromessi su varie piattaforme, oppure sfruttando risorse cloud scalabili per aumentare limpatto.
Il caso dell’attacco Mango Sandstorm e DEV-1084
È il caso dell’attacco ibrido lanciato da Mango Sandstorm e Storm-1084, osservato lo scorso anno. Mango Sandstorm è uno state actor con stretti legami con il governo iraniano. Alleato del gruppo Storm-1084, ha fatto degli attacchi ibridi il suo modus operandi, prendendo di mira sia il cloud sia i servizi interni alle organizzazioni. L’attacco lanciato da Mango Sandstorm e Storm-1084 nel 2023 si è manifestato per la prima volta in uno dei data center dell’organizzazione presa di mira. I criminali informatici sono riusciti a sfruttare una vulnerabilità su un server esposto su Internet. Hanno quindi preso il controllo remoto di questo server utilizzando un command and control (C&C) e hanno eseguito una discovery utilizzando strumenti Microsoft nativi. Hanno quindi iniziato una serie di movimenti laterali (basandosi su RPC, WMI, RDP…) tramite account compromessi. Utilizzando le credenziali rubate, si sono collegati al server Azure AD Connect e hanno ottenuto l’accesso a un altro account con privilegi elevati. L’attacco è stato in grado di progredire all’interno di Entra ID e Azure. Sono stati aggiunti diritti a un’applicazione esistente e manipolate le autorizzazioni dell’account e una progressione di privilegi ha permesso ai criminali informatici di diventare “Global Admins”, ossia amministratori generali del sistema, acquisendo diritti sulle sottoscrizioni Azure.
Lezioni per il futuro
Fortunatamente l’attacco è stato sventato. Il grande gruppo preso di mira da Mango Sandstorm e Storm-1084 disponeva di un sistema tecnologico di protezione che, grazie all’Intelligenza Artificiale, era in grado di rilevare qualsiasi tentativo di attacco con il massimo anticipo possibile. Questa tecnologia all’avanguardia ha identificato attività sospette nella rete e nell’ambiente Entra ID e ha individuato i movimenti laterali a tempo di record. In questo caso particolare, l’attacco si è svolto in più fasi nell’arco di diversi mesi, rendendo difficile il rilevamento ma dando più tempo per reagire.
Questo episodio, che si è concluso positivamente, è ricco di insegnamenti per il futuro. Due punti in particolare meritano di essere ricordati.
- In primo luogo, per difendersi dagli attacchi ibridi che sono diventati la norma, le organizzazioni devono analizzare il traffico di rete nella sua interezza, così come il comportamento degli utenti e gli ambienti cloud, al fine di rilevare e dare priorità alle minacce informatiche nell’ambiente ibrido. Allo stesso tempo, devono identificare i comportamenti sospetti post-operativi senza fare affidamento sulle firme che possono essere facilmente aggirate. Tutto questo deve essere possibile grazie a un segnale chiaro e azionabile, che offra ai team di sicurezza una visione unificata di tutte le macchine e gli account sospetti.
- È, inoltre, importante capire che, nel caso dei moderni attacchi ibridi, le identità sono essenziali. Sono il collante tra i diversi domini di un’azienda e sono quindi preziose anche per gli attaccanti, che possono muoversi lateralmente e far progredire gli attacchi. Rilevare l’abuso di privilegi è essenziale: ecco un’altra lezione da trarre dall’attacco Mango Sandstorm.
di Alessio Mercuri, Senior Security Engineer di Vectra AI
