Evoluzione della minaccia del Cyber Espionage industriale
Transcript
Evoluzione della minaccia del Cyber Espionage industriale
Evoluzione della minaccia del Cyber Espionage industriale Aspetti procedurali e operativi di prevenzione e risposta Nicola Mugnato Selex Elsag Cyberlabs Cos’è un Advanced Persistent Threat Advanced Persistent Threat L’Advanced Persintent Threat si diversifica rispetto alle tradizionali azioni di hacking per le seguenti caratteristiche: ADVANCED ● vengono utilizzate tutte le tecniche e tools di hacking tradizionali ma vengono anche progettati e costruiti tools di hacking dedicati PERSISTENT ● attuata da gruppi organizzati e diversificati rispetto alle varie fasi dell’attacco attraverso azioni pianificare, lente ma continue che possono durare anni THREAT ● minaccia riferita principalmente allo spionaggio via internet ma utilizza anche tecniche di spionaggio tradizionale http://en.wikipedia.org/wiki/Advanced_persistent_threat 2 Un esempio di Advanced Persistent Threat RSA, la divisione di EMC per la sicurezza, è il fornitore leader di soluzioni di sicurezza per accelerare il business aziendale. http://italy.rsa.com/ 10 Aprile 2011 - PCWorld In una lettera aperta apparsa sul loro sito web, RSA rileva di essere stata oggetto di un attacco e che sono stati rubati dati che potrebbero potenzialmente compromettere i loro token SecurID. http://www.pcworld.com/businesscenter/article/222555/rsa_securid_hack_shows_danger_of_apts.html 3 Come funziona un Advanced Persistent Threat Simuliamo le varie fasi di un attacco APT per desciverne il funzionamento e per evidenziare come il target stesso fornisca le informazioni utili all’attacante. 1 Seleziono un target tra una delle principali aziende italiane Come funzioan un Advanced Persistent Threat Per questa simulazione slezionamio Alitalia ma questa tecnica funziona con qualsiasi azienda o ente di qualsiasi paese al mondo 4 Come funziona un Advanced Persistent Threat 2 Ricerco un punto debole: un dipendente dei sistemi informativi Come funzioan un Advanced Persistent Threat 5 Come funziona un Advanced Persistent Threat 3 Cerchiamo informazioni riguardo Silvia X Ne troviamo 8, quindi cerchiamo il nostro sistemista … 6 Come funziona un Advanced Persistent Threat Come funzioan un Advanced Persistent Threat La prima è una segretaria d’azienda 7 Come funziona un Advanced Persistent Threat Come funzioan un Advanced Persistent Threat La seconda è una insegnante 8 Come funziona un Advanced Persistent Threat La terza ha una formazione tecnica 9 Come funziona un Advanced Persistent Threat … lavora nel campo dell’informatica … 10 Come funziona un Advanced Persistent Threat … e tra i suoi amici c’è il Comitato Cassaintegrati Overbooked 11 Come funziona un Advanced Persistent Threat … e tra i suoi interssi principali ci sono i gatti. 12 Come funziona un Advanced Persistent Threat 4 Cerchiamo altre informazioni su Silvia X 13 Come funziona un Advanced Persistent Threat 5 Qual’è il formato della mail aziendale Alitalia? nome.cognome cognome.nome ncognome n.cognome nomecognome cognomenome … @alitalia.it [email protected] [email protected] 14 Come funziona un Advanced Persistent Threat 6 Cerco un amico di Silvia X di cui lei si fidi, qualcuno che condivida i sui stessi interessi: “I miei gattoni” !! Katia è un’amica di Silvia e ha comentato più volte le foto dei suoi gatti 15 Come funziona un Advanced Persistent Threat [email protected] 16 Come funziona un Advanced Persistent Threat 7 Cerco un sito in tema “Gatti” e trovo Gatti de’ Roma Trovo anche una mail già fatta 8 Creo un pdf con il testo del sito 17 Come funziona un Advanced Persistent Threat 9 Aggiungo uno 10 Aggiungo un 0-day (script) Malware (programma) 18 Come funziona un Advanced Persistent Threat 11 Creiamo una mail da spedire from [email protected] to [email protected] con il nostro pdf 19 Come funziona un Advanced Persistent Threat 12 Spediamo la mail da [email protected] a [email protected] con il nostro pdf 13 Silvia crede di aver ricevuto una mail dalla sua amica Katia …. e la apre [email protected] [email protected] 20 Come funziona un Advanced Persistent Threat 14 … ma non l’ha spedita Katia Lo 0-day funziona e installa il malware sul computer di Silvia [email protected] [email protected] 21 Come funziona un Advanced Persistent Threat 15 Il malware contatta un server compromesso su internet e il server mi avverte dell’esito della compromissione 16 A questo punto prendiamo il controllo della macchina di Silvia [email protected] [email protected] 22 Come funziona un Advanced Persistent Threat 17 il malware cattura le credenziali di Silvia: nomeutente + password e il nome dei server che Silvia gestisce: serv_1, serv_2 18 Attraverso il server ponte e la macchina infetta accedo ai server con le credenziali di Silvia e Installo keylogger e rootkit Serv_3 Serv_4 Serv_2 serv_1 23 Come funziona un Advanced Persistent Threat 19 Attendo che altri sistemisti colleghi di Silvia si autentichino su quei server … e ottengo altri username + password e l’accesso ad altri server serv_3, serv_4 Serv_3 Serv_4 Serv_2 serv_1 24 Come funziona un Advanced Persistent Threat 20 Ma io non sono solo … e i miei colleghi hanno ottenuto accesso ad altri client e server Noi siamo il Team A 21 Da ora solo pochi di noi si occuperanno di mantenere operativi i canali di controllo e di crearne altri Serv_5 Serv_3 Serv_4 Serv_6 Serv_2 serv_1 25 Come funziona un Advanced Persistent Threat 20 Ora è il turno del Team B Sono analisti e specialisti nelle tecnologie del nostro target compiono ricerche mirate di informazioni Serv_5 Serv_3 Serv_4 Serv_6 Serv_2 serv_1 26 Riassumendo Advanced Persistent ● social engineering ● 0-day script ● ● ● ● ● ● ● malware standard nuovi malware specifici Spearfishing keylogger rootkit scanning … ● exploitation ● furto di credenziali ● mantenimento dei canali di controllo (Command and Control) Threat ● ricerche mirate di informazioni ● utilizzo di tecniche di “spionaggio tradizionale” 27 Riassumendo Punti di forza dell’APT ● ● ● ● furto d’identità di utenti e amministratori utilizzo dei servizi standard messi a disposizione dall’infrastruttura ICT target utilizzo di moltissime tecniche e tools differenti durante la stessa operazione azione di “basso profilo” (connessioni autorizzate) con bassa frequenza (low and slow) Punti deboli dell’APT ● le informazioni sottratte debbono uscire passando per i canali di interconnessione della rete a internet (non attraverso chiavette usb, paper, …) ● anche le sessioni C2 (Command and Control) passano attraverso gli stessi canali ● nella fase di creazione della rete di infiltrazione vengono attaccate quasi esclusivamente macchine Windows ● I tools utilizzati durante un’operazione cambiano ma debbono eseguire gli stessi compiti noti: rubare credenziali, creare backdoors, cercare computer compromettibili, stabilire canali di comunicazione verso l’esterno, cercare e spedire informazioni ● il modus operandi è prevedibile ● noi sappiamo quali sono e dove sono le informazioni maggiormente sensibili 28 Come ci si difende Prevenzione Controllo ● ● ● ● accurato risk assessment che consideri anche questo fenomeno adozione di sistemi di cifratura e data loss prevention continuo patching dei sistemi operativi e delle applicazioni segmentazione delle reti e separazione delle funzioni aziendali (utenti/amministratori) ● adozione di sistemi di strong authentication almeno per amministratori e “servizi critici” ● monitoraggio di tutto il traffico entrante e uscente dalle nostre reti ● analisi dell’utilizzo dei sistemi informativi per evidenziare anomalie (correlazione eventi) Reazione Aspetto Legale ● costituzione di uno CSIRT (Computer Incident Response Team) con capacità di • log analysis • digital forensic • reverse engineering • progettazione e attuazione piani di rimedio Intelligence ● Attività di Cyber Intelligence per predire le possibili minacce 29 Aspetto legale Spesso l’APT è l’espressione di un conflitto asimmetrico non solo dal punto di vista tecnico ma anche legale, perché contrappone AZIENDA – NAZIONE STRANIERA Industria Istituzioni Reazione Può solo difendersi Può anche eseguire azioni di contro-spionaggio Intelligence Analisi solo su fonti aperte Può accedere a qualsiasi fonte dati anche confidenziale Necessità ● creare un legal framework internazionale sulla cyber warfare ● condividere informazioni riservate/classificate tra Aziende e Istituzioni in un’azione mirata alla difesa del patrimonio industriale nazionale 30 Qual è il reale livello della minaccia? Chengdu Aircraft Industry Group www.cac.com.cn Qualcuno lo riconosce? Ha qualcosa di familiare… 31 Qual è il reale livello della minaccia? Assomiglia molto ad un Eurofighter ma è il Chengdu J-10 Chengdu J-10 Eurofighter 32 Qual è il reale livello della minaccia? Ma anche questi si assomigliano. Forse è una coincidenza … Shenyang J-11 Sukhoi Su-27 33 Qual è il reale livello della minaccia? … o forse no! Chengdu J-22 F-35 Joint Strike Fighter 34 Grazie per l’attenzione Nicola Mugnato Direttore Generale Selex Elsag Cyberlabs [email protected] 35