CYBER SECURITY

Fattore umano e attacchi APT: tecniche offensive e strategie di remediation

Il fattore umano è un aspetto spesso trascurato nelle strategie di difesa dagli attacchi APT eppure fondamentale per la sicurezza del perimetro aziendale. Non potendo, però, eliminare le naturali e fisiologiche vulnerabilità dell’essere umano, sarebbe quantomeno opportuno limitare la cosiddetta esposizione iniziale. Ecco in che modo

08 Mag 2020
D
Giuseppe Del Giudice

Senior Consultant - Cyber Security, IT Strategy and Governance presso Sia Partners


“Se alzi un muro, pensa a cosa lasci fuori” scriveva Italo Calvino ne “Il Barone Rampante”, sintesi di una situazione ad oggi comune nella definizione di dispositivi di difesa che tendono a cingere le organizzazioni con le mura della tecnologia e delle misure organizzative di sicurezza, quando, spesso, si lascia fuori un’altra componete ineliminabile della cittadella ideale: l’utente e il fattore umano, fondamentali nelle strategie di difesa dagli attacchi APT.

L’utente, proprio come ogni componente tecnologica, porta all’interno dell’organizzazione tutte le vulnerabilità proprie dell’essere umano chiamato a compiere scelte in condizioni di incertezza (anomalie cognitive, dissonanze e bias, euristiche, percezioni, credenze, attitudini e preferenze), innalzando la soglia della c.d. vulnerabilità implicita del dispositivo di difesa.

Gli attaccanti hanno nel tempo sviluppato e potenziato tattiche e tecniche sempre più invasive e sofisticate per sfruttare la deception (comunemente accomunate sotto l’etichetta di social engineering), per ingannare o manipolare le vittime con l’obiettivo di guadagnare l’accesso non autorizzato a sistemi informativi pur ben protetti da adeguata tecnologia e misure organizzative.

Se si guarda in modo specifico ad attacchi generalmente state-sponsored e ad APT, si potrà notare come le tecniche di “delivery” di agenti malevoli maggiormente utilizzate siano proprio quelle che annovereremmo tra il c.d. social engineering: perimetri con livelli di sicurezza cyber non trascurabile, generalmente con misure organizzative applicate, monitoring continuo degli eventi, SOC e CERT attivi, ma il delivery avviene sfruttando la vulnerabilità più sottovalutata: l’essere umano. Capiamo perché e come.

Fattore umano e attacchi APT: dalla razionalità limitata al social engineering

Il tema della complessità dell’essere umano, della sua supposta razionalità nel compiere scelte in condizione di incertezza, si aggiunge alla complessità stessa dell’organizzazione nel cui interno gli utenti sono chiamati ad operare.

Tale complessità è certamente formata da diversi componenti che coesistono in un’azienda, dai processi operativi, ai supporti di tipo tecnologico (come ad esempio i diversi applicativi), all’infrastruttura, ma in definitiva ogni elemento dell’organizzazione ha un rapporto, sia pur a diversi livelli di prossimità, con l’utente (dall’uso di un applicativo, alla manutenzione di elementi infrastrutturali, compreso lo scambio di informazione attraverso strumenti informatici, e la gestione di informazioni riservate o sensibili ecc.).

La complessità del perimetro da difendere comporta, però, una molteplicità di vulnerabilità e queste a loro volta possono generare multiple vie di exploitation.

Questo connubio tra le vulnerabilità generate dalla componente software ed hardware e quelle importate dal c.d. fattore umano, genera un allargamento del perimetro d’attacco generalmente difficilmente classificabile in termini di rischio, questo per diverse ragioni:

  • l’evoluzione della minaccia cyber (dunque delle tecniche, procedure e tattiche degli attaccanti);
  • l’evoluzione delle componenti tecnologiche ed organizzative dell’azienda (es. esternalizzazioni o internalizzazioni, migrazioni in Cloud di elementi infrastrutturali o del parco applicativo ecc.);
  • l’interazione degli utenti con il sistema informativo aziendale a diversi livelli ed in diversi momenti dell’operatività aziendale (compreso anche il tema del mobile e del BYOD).

Soffermandoci in particolare su quest’ultimo punto, l’utente, utilizzando gli strumenti che ha a disposizione nell’operatività quotidiana, è portato continuamente al compimento di “scelte” ed “azioni”, spesse volte in condizioni di forte stress emotivo o in tempi ristretti, ed allo stesso tempo è esposto al “mondo esterno” generalmente attraverso gli stessi strumenti informatici che utilizza quotidianamente.

L’esposizione dell’utente aumenta il rischio che una delle vulnerabilità implicite nell’essere umano possa essere sfruttata dagli attaccanti attraverso diverse tecniche volte al reperimento di informazioni riservate ed utili alla pianificazione di un attacco (la c.d. fase di information ghatering), oppure al compimento di un’azione inconsapevole da parte dell’utente stesso, che comporti un accesso diretto (spesso, non rilevato dai sistemi aziendali), aggirando le componenti tecnologiche poste a presidio.

Fattore umano e attacchi APT: l’utente e le “vulnerabilità implicite”

Le c.d. vulnerabilità implicite nell’essere umano sono legate ad elementi che oramai i contributi delle scienze cognitive hanno messo pienamente in luce, sottolineando come i processi decisionali umani siano fortemente influenzati da elementi di natura psicologica (quali percezioni, atteggiamenti, credenze ecc.), da un’elevata variabilità nell’utilizzo dell’informazione sovente incompleta o imperfetta, dall’uso di euristiche rilevanti proprio dinanzi a problemi complessi o ad informazioni incomplete, oltre a deformazioni percettive, effetti di dissonanza cognitiva.

Soprattutto gli studi di Daniel Kahneman e Amos Tversky sui temi della psicologia delle credenze e analisi delle scelte in condizioni di incertezza, descrivono (ed empiricamente suffragano) modalità di elaborazione delle informazioni incompatibili con le semplificazioni dell’homo rationalis, individuando come il sistema percettivo e intuitivo (c.d. System 1), le cui operazioni sono automatiche, meno costose dal punto di vista computazionale e relativamente rapide, si ponga come modalità di elaborazione dell’informazione intermedia tra i due poli costituiti dalle operazioni automatiche di percezione e del ragionamento (c.d. System 2), con la conseguenza che una significativa parte dell’attività decisionale umana è dominata da risposte di tipo neuropsicologiche a basso costo computazionale e relativamente rapide nel rispondere alle inferenze ambientali, non passando, quindi, sotto il vaglio del ragionamento autoconsapevole o “razionale”.

Inoltre, altri aspetti come il senso del dovere verso la gerarchia, l’influenza ambientale e soprattutto la conferma di eventi della vita reale della vittima (es. ricezione di una e-mail dalla propria banca che comunica un problema d’accesso sul conto attraverso la piattaforma online, proprio quando la vittima ha reali problemi di accesso), influiscono sulla probabilità che un utente, anche mediamente esperto, possa essere indotto a compiere un’azione che avvantaggi l’attaccante.

Il social engineering e gli APT

Il social engineering, detto anche “human hacking”, può essere considerato come un insieme di tecniche e tattiche atto a sfruttare le vulnerabilità dell’essere umano con lo scopo di manipolare la vittima, portandola al compimento di un’azione che generalmente avvantaggia o provoca la compromissione di un sistema.

WHITEPAPER
Che cosa significa DevOps e perchè oggi è un fondamentale della programmazione.
Cloud
ERP

Le evidenze portate dalla psicologia comportamentale, dimostrano l’efficacia di tecniche d’attacco che sfruttano vulnerabilità intrinseche dell’essere umano, per le quali non si applicano le stesse logiche di utilizzate su un componente tecnologico per sanare la vulnerabilità.

Inoltre, le stesse tecniche di human hacking evolvono nel tempo divenendo sempre più sofisticate e difficili da rilevare. Queste sfruttano diverse tattiche, ad esempio:

  • trasmettendo un senso di urgenza all’utente;
  • replicando brand conosciuti e beneficiando dal loro status di “marchi trusted”;
  • facendo leva sulla naturale curiosità degli utenti;
  • sfruttando le risposte condizionate ad eventi frequenti e ripetuti (es. l’aggiornamento software o di componenti del browser).

Queste tattiche arrivano alle forme più evolute d’attacco, dove lo sfruttamento delle vulnerabilità degli individui è avvantaggiato dall’uso di informazioni precise sulla vittima (il c.d. spear phishing) che consente all’attaccante di disegnare un attacco completamente ritagliato sulla realtà della vittima stessa (es. invio di un’e-mail, impersonando il superiore della vittima, con in allegato un file da correggere che in realtà contiene un agente malevolo).

Oggi il social engineering tende ad assumere tendenzialmente tre forme:

  1. tentativi di phishing non particolarmente sofisticati ed utilizzati in ampie campagne d’attacco, questi possono semplicemente essere documenti generici contenenti agenti malevoli allegati in e-mail generate automaticamente da bot (come “resume.doc” o “fattura.xls”). Solo una piccola frazione (tra centinaia di migliaia o milioni di destinatari) sarà abbastanza curiosa per aprirli;
  2. attacchi sofisticati, che sfruttano schemi di persuasione altamente impattanti su una porzione specifica di vittime ben individuata e disegnati per generare un alto rate di risposta (come l’uso di brand conosciuti, forgery di e-mail e documenti ben fatti ecc.);
  3. attacchi specifici a singole personalità o a grandi organizzazioni, con l’obiettivo principale di ottenere un primo accesso ai sistemi informatici o comunque a reperire informazioni utili ad un attacco che ha come obiettivo reale il mantenimento di una presenza non rilevata all’interno di un sistema informatico a scopo di spionaggio o per consentire il lateral moving e prendere l’intero controllo del sistema informativo o di componenti tecnologiche fondamentali.

Soprattutto questi ultimi rientrerebbero in tipologie d’attacco estremamente invasive e generalmente appannaggio di entità riconducibili ad organizzazioni criminali o, più spesso, ad apparati para-statali o gruppi apparentemente autonomi ma agenti come braccio armato di entità statali sul dominio cibernetico.

Utilizziamo una classificazione basata sulla Cyber Kill Chain per analizzare più in dettaglio come diversi gruppi state-sponsored hanno agito nella fase dell’accesso iniziale al sistema informativo target.

Generalmente la Cyber Kill Chain descrive un attacco scomponendolo nelle seguenti “fasi” ai fini dell’analisi:

  • Reconnaissance, fase di raccolta delle informazioni ad ampio spettro utilizzando metodologie OSINT, SOCMINT, HUMINT, scanning di diverso tipo, che riguardano non solo le componenti tecnologiche dell’organizzazione ma anche quelle “umane” (ad. es. People Information Gathering; Organizational Information Gathering stando al gergo MITRE);
  • Weaponization e targeting, come generalmente viene composto l’oggetto che verrà inviato alla vittima o utilizzato per attaccare e sfruttare vulnerabilità di componenti connessi ad internet. Generalmente il “come” l’agente malevolo è scelto, programmato o customizzato, dipende dalle modalità con cui si vorrà tentare il delivery o l’exploitation (es. un .xlsx contenente una macro che esegue codice malevolo; un pdf; la compromissione o la creazione di pagine web di determinate tipologie che eseguono, quando visitate, codice malevolo o che contengono link che scaricano malware sul sistema della vittima; la creazione di e-mail con link malevoli; utilizzo di payload custom ecc.);
  • Delivery, Exploit, Install, cioè come l’oggetto scelto per l’attacco viene portato al contatto con la vittima o con il sistema informatico target, l’exploit utilizzato, vulnerabilità sfruttate e le modalità “d’installazione” ed “esecuzione” dell’agente malevolo utilizzate (es. creazione processi; deploy di eseguibili; sfruttamento di scheduled task; creazione di run keys nel registro e registry keys per avviare servizi al boot del sistema ecc.);
  • C2, le modalità di comunicazione con server esterni controllati dagli attaccanti (c.d. Command and Control) e l’eventuale download di altri moduli dell’agente malevolo già installato nel sistema o l’estrazione di informazioni dal sistema compromesso verso il Command and Control Server;
  • Act, che introduce alle fasi di creazione e mantenimento della c.d. persistenza, che abilità alle fasi successive di quelli che possono essere considerati a tutti gli effetti come multi-stage attacks.

In particolare, la weaponization ed il delivery assumono particolare importanza nella costruzione di un attacco che sfrutti il “fattore umano” e di conseguenza nell’analisi delle tecniche, tattiche e procedure utilizzate.

Dal report Proofpoint del 2019 sul “fattore umano”, si può vedere come oltre il 99% degli attacchi cyber richieda un’interazione umana. Se analizziamo il fenomeno dal punto di vista dagli APT, dunque, tipologie di minaccia sicuramente pervasive ad alto grado di invasività ma costituenti una percentuale molto bassa rispetto al numero di “attacchi cyber”, non ci stupiamo come proprio lo sfruttamento del c.d. “fattore umano” costituisca una delle modalità principali per stabilire la prima presenza all’interno del sistema informativo vittima (c.d. foothold). Attacchi e campagne d’attacco principalmente “state sponsored”, come IRAN Flying Kitten (2007), Ukraine Power Grid Cyber Attack (2015), Operation Night Dragon (2009), Dragonfly Group (2011/2013).

Proprio l’operazione cyber che ha colpito il settore energetico ucraino nel 2015, potrebbe essere un esempio paradigmatico di come collettivi di attaccanti altamente specializzati sfruttano il fattore umano come “prima” vulnerabilità, preferendolo spesso allo sfruttamento di vulnerabilità su software e hardware o misconfiguration dei sistemi.

L’attacco in questione ha causato l’interruzione del servizio di erogazione di energia elettrica, ed ha registrato una presenza nei sistemi informativi vittima degli agenti malevoli di circa 6 mesi. Osserviamo la prima fase dell’attacco, condotto sulla parte ICT, che ha portato gli attaccanti ad assicurarsi una presenza persistente e non rilevata all’interno del sistema informativo target per preparare un’attività di information gathering continua, preparare il lateral moving e la fase 2 dell’attacco: prendere il controllo dei sistemi ICS (Industrial Control System).

In particolare, osserviamo le fase di weaponization, targeting, delivery ed exploit:

Per questo attacco in particolare non sono state rilevate attività di targeting in senso stretto, ma gli attaccanti hanno utilizzato file excel e word con macro embedded che una volta eseguita dall’utente (semplicemente cliccando su “enable content” nel pop-up che compare sulle versioni Excel e Word all’apertura del documento), installava nel computer vittima un agente malevolo di tipo trojan (chiamato dalla security community “BlackEnergy”).

I file in questione sono stati veicolati mediante campagne di spear phishing a dipendenti amministrativi o dell’IT delle organizzazioni target, apparentemente inviati da soggetti realmente appartenenti all’azienda: l’obiettivo è quello di indurre l’utente a scaricare il documento e ad abilitare la macro, e per la strategia degli attaccanti non era assolutamente importante che il codice malevolo sia eseguito su un PC appartenente ad un executive, ma al contrario si tende a distribuire la mail a soggetti non apicali ed ai margini della piramide gerarchica aziendale.

In particolare, uno dei file MS Word osservati e direttamente collegato all’attacco all’Ucraina (“$RR143TB.doc” (md5: e15b36c2e394d599a8ab352159089dd2)), all’apertura chiedeva all’utente di abilitare la macro per poterne vedere il contenuto (l’appeal del documento era stato rafforzato con dei riferimenti al partito nazionalista ucraino “Pravii Sektor”).

Ciò che accade a seguito del clic lascia l’utente completamente all’oscuro di ogni attività malevola.

La macro esegue uno script malevolo che crea una stringa in memoria contenente un eseguibile: “vba_macro.exe” (md5: ac2d7f21c826ce0c449481f79138aebd) e lo esegue.

Il file in questione (payload) è un dropper del trojan BlackEnergy, il quale a sua volta procede a copiare il file FONTCACHE.DAT (md5: 3fa9130c9ec44e36e52142f3688313ff) sul sistema, in particolare:

  • in %LOCALAPPDATA% ed esegue il file sfruttando rundll32 (rundll32.exe “%LOCALAPPDATA%/FONTCACHE.DAT”,#1), cioè un componente di Windows utilizzato dal sistema per invocare le librerie a link dinamico (DLL), proprio come il file FONTCACHE.DAT, caricarle in memoria in modo che possano essere utilizzate da altri programmi: sostanzialmente, nel nostro caso, eseguendo codice malevolo ma figurando come un processo di sistema “trusted”;
  • in %APPDATA%/Microsoft/Windows/Start Menu/Programs/Startup/{D0B53124-E232-49FC-9EA9-75FA32C7C6C3}.lnk per assicurare l’esecuzione dello stesso file malevolo ad ogni accensione o riavvio del sistema.

Il file FONTCACHE.DAT installa una versione “ridotta”, se vogliamo, del trojan BlackEnergy con il solo scopo di aprire una connessione via internet con un server controllato dagli attaccanti (5.149.254[.]114:80) per inviare informazioni discoverate sulla macchina controllata (Base64 encoded) ed utilizzando un ID per permettere agli attaccanti di organizzare le informazioni raccolte e costruire una “mappa” del sistema informativo aziendale.

Quella analizzata è solo una delle possibili applicazioni di tecniche che sfruttano il fattore umano per ottenere la compromissione di un sistema, altre applicazioni del social engineering hanno riguardato:

  • il c.d. typosquatting, tecnica che consiste nel registrare dei falsi domini, generalmente di siti web molto conosciuti e con un grande volume di traffico, facendo variare una lettera (es. yuube.com) o registrando domini con top-level-domain differenti rispetto all’originale (es. facebook.it anziché facebook.com), con lo scopo di attirare l’utente su una pagina che riproduce nella grafica e nelle sezioni il dominio originale, portarlo ad interagire con la pagina esponendo l’utente al furto di dati o ad agenti malevoli (es. un sito “adobi.com”, completamente uguale all’originale, che consente all’utente di scaricare degli aggiornamenti che in realtà installano nel suo sistema un malware). Per le grandi imprese i domini “sospetti” registrati possono superare i domini registrati dall’azienda anche di 20 a 1;
  • Cloud services, gli utenti sono oramai abituati a frequenti notifiche e-mail provenienti da servizi cloud e app. Gli attaccanti utilizzano questi servizi per convogliare agenti malevoli. Questi attacchi sono difficili da riconoscere per utenti e difensori in quanto provenienti da piattaforme e servizi legittimi: ad esempio, Microsoft SharePoint è stato utilizzato per ospitare malware distribuiti in milioni di messaggi di phishing su centinaia di campagne d’attacco fino al 2017. Anche altri servizi cloud (es. G Suite, Evernote) sono stati utilizzati nel tempo per l’invio di e-mail di phishing e malware;
  • Fake Browser & Plugin update, apparsi in molte campagne di malvertising, hanno subito un aumento sostanziale della presenza tra i vettori d’attacco tesi a sfruttare il c.d. fattore umano, con circa il 95% degli attacchi web-based osservati che sfruttano l’ingegneria sociale per indurre gli utenti a installare agenti malevoli mediante messaggi di aggiornamento di plugin del browser che compaiono all’utente a video durante la navigazione (in quanto l’utente naviga su un sito compromesso che avvia script malevoli che manda a video una falsa finestra di aggiornamento, ad esempio, di una delle componenti del browser con cui si naviga in quel momento) ma che in realtà eseguono script malevoli per scaricare malware o ransomware nel sistema dell’utente;
  • Social Media attacks, con lo sviluppo e l’uso dei canali social da parte delle aziende per fornire supporto e prossimità ai clienti, il metodo dell’impersonificazione da parte dell’attaccante del customer support di aziende sui canali dei principali social (e non solo, ad esempio anche attraverso email), ha visto un tasso di crescita molto elevato, una tendenza nota come “angler phishing”, che ha in particolare riguardato i clienti di società di servizi finanziari.

Remediation: rendere innocuo il “fallimento” dell’utente

Ciò che potrebbe stupire è che anche gli utenti adeguatamente formati a riconoscere tentativi di phishing o spoofing non possono essere ritenuti immuni dalla minaccia cyber.

Se da un lato le campagne di formazione e di diffusione della cultura della sicurezza hanno la loro importanza per diminuire i rischi collegati ad attacchi di ingegneria sociale, dall’altro mostrano la loro inefficacia fisiologica nel “correggere” delle risposte comportamentali dell’essere umano che non si basano sul modello dell’agire razionale.

Per mitigare il rischio collegato all’utente preda di attacchi di ingegneria sociale (ma non solo), molte organizzazioni si sono dotate di un approccio multi-livello (c.d. multi layer defense) per mitigare il rischio connesso al “fallimento” in serie dei vari presidi. Tale approccio è costituito dall’adozione di soluzioni hardware e software tradizionali, come ad esempio antivirus, strumenti di difesa perimetrale come IDS, IPS, firewall ed email gateways (per rilevare e bloccare il traffico o file sospetti nella rete aziendale e sugli endpoint), affiancati a misure di tipo organizzativo come l’adozione e l’aggiornamento di security policies e processi operativi per la gestione della detection e dell’incidente di sicurezza informatica, in linea con le best practice internazionali di settore.

Tuttavia, ai fini di un contrasto efficace ai modelli di minaccia più avanzati (le c.d. unknown & advanced threats) nativamente costruiti per eludere la detection, e soprattutto per rispondere adeguatamente al problema del “fattore umano”, la restrizione del perimetro d’attacco, limitando l’esposizione degli utenti alle tecniche di social engineering, risulta l’opzione che assicura una maggiore proattività nella difesa.

L’integrazione di tecnologia RBI (Remote Browser Isolation), ad esempio, può proteggere proattivamente gli endpoint da minacce non rilevate. Attraverso l’utilizzo dell’RBI, infatti, gli utenti possono navigare sul Web normalmente, tuttavia, in background, tutto il codice attivo nella sessione del browser, viene eseguito in un “contenitore virtuale” posto, ad esempio, in una DMZ o anche in Cloud.

Tale “container” viene automaticamente distrutto alla chiusura della sessione. Pertanto, se un utente clicca frettolosamente su un link malevolo per scaricare del contenuto, o accede ad una pagina che contiene ed esegue codice malevolo (es. un fake domain appositamente creato per trarre in inganno determinati utenti), questo sarà eseguito solo nel container, impedendo il lateral moving o l’autospread dell’agente malevolo nella rete aziendale.

WHITEPAPER
Cloud: cogli tutte le opportunità! Meno costi, senza skill ad hoc e con dati in Italia
Cloud
Cloud Application

In definitiva, vista l’impossibilità di eliminare le naturali e fisiologiche vulnerabilità dell’essere umano, la risposta potrebbe consistere nella limitazione della cosiddetta esposizione iniziale, non unicamente bloccando le minacce prima che raggiungano gli stessi utenti per sfruttarne le naturali vulnerabilità, ma rendendo innocuo il “fallimento” stesso dell’utente. In questo modo si contribuirebbe a restringere il perimetro d’attacco attraverso tecniche di exploitation del “fattore umano”, per sua natura, così difficilmente difendibile.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5