I fornitori di telecomunicazioni giocano un ruolo unico e fondamentale nella società moderna. Imprese, governi e persone fisiche fanno affidamento su un sistema di comunicazione fluido e funzionante. Tuttavia, sono proprio la centralità e la presenza di questi sistemi di telecomunicazione a renderli un target ad alto valore per i governi e i criminali informatici di tutto il mondo.
Come proteggere con successo le infrastrutture critiche?
Prendere di mira il settore Telco è un’attività sempre più frequente
L’ultimo Overwatch Report di CrowdStrike mostra come gli attacchi all’industria delle telecomunicazioni sia più che raddoppiata negli ultimi 12 mesi. Complessivamente, il 40% di tutti i tentativi di attacco rilevati dagli esperti di OverWatch sono stati indirizzati proprio a questo settore. Soprattutto per gli attaccanti sponsorizzati da Stati-Nazione, questo comparto rappresenta un target particolarmente attrattivo, poiché i tentativi di attacco possono essere utilizzati per realizzare le loro missioni di sorveglianza, intelligence e contro-spionaggio. Non sorprende infatti come l’industria delle telecomunicazioni sia in cima alla lista dei 5 settori presi di mira dagli autori sponsorizzati da Stati-Nazione.
Il maggior numero degli attacchi alle aziende Telco deriva proprio da gruppi vicini alla Cina. Tuttavia, anche autori di matrice iraniana rientrano tra gli attaccanti informatici di questo settore. Le operazioni contro i fornitori di sistemi di telecomunicazione mostrano come la protezione dei dati sensibili e delle infrastrutture critiche stia diventando sempre più importante e necessaria. Questa è soltanto una tra le tante ragioni a mettere in evidenza come sia indispensabile avere uno sguardo ancor più ravvicinato ad uno scenario delle minacce in continua evoluzione, oltre che agli attori che ne fanno parte, con l’obiettivo di individuare metodi efficaci contro le loro tattiche, tecniche e procedure (TTPs).
Attacchi all’industria delle telecomunicazioni: le TTP tipiche
Per ottenere accesso iniziale alla loro rete di vittime, i cyber-criminali del settore delle telecomunicazioni usano una varietà di tecniche: tra le più comuni vi sono:
- lo spear phishing,
- lo sfruttamento delle vulnerabilità,
- la compromissione della supply chain
- l’abuso delle credenziali legittime.
Una volta fatto il primo passo, gli attaccanti usano strumenti nativi – come Windows Management Instrumentation o altri interpreti di comandi e script come Powershell – per portare a termine la loro missione. Al fine di evitare il rilevamento ed essere in grado di perseguire il loro tentativo di attacco senza interferenze, i cyber-criminali continuano a cercare nuovi host che diano la possibilità di raccogliere le credenziali e continuare a muoversi lateralmente e inosservatamente attraverso l’ambiente di destinazione.
Per acquisire le credenziali desiderate in ambienti Microsoft, gli attaccanti usano spesso Mimikatz, leggono la memoria LSASS (spesso attraverso comsvcs.dll o usando ProcDump), o modificano la chiave di registro WDigest per memorizzare le password in chiaro.
In ambienti Linux, gli attaccanti guardano spesso ai contenuti dei file sensibili, come .bash_history, passwd, shadow e altri file di configurazioni e script amministrativi quando stanno cercando di scoprire le credenziali. OverWatch ha anche osservato gli attaccanti utilizzare tecniche più innovative: in un caso, ad esempio, un attaccante ha distribuito demoni SSH via backdoor in grado di registrare le credenziali.
Gli attaccanti informatici utilizzano spesso anche pagine di login basate su web, modificate in modo che le informazioni di accesso possano essere memorizzate e recuperate successivamente. Gli hacker non sono più quindi sotto pressione per il loro accesso iniziale.
Le cosiddette web shell rendono possibile gestire molteplici reti di vittime attraverso un’unica interfaccia. Questo estende il reale pericolo di molteplici attacchi lanciati simultaneamente da un singolo gruppo di hacker. In questo modo, lo sforzo richiesto agli attaccanti per portare a termine le operazioni si riduce considerevolmente. Inoltre, le web shell possono essere usate grazie alla loro semplicità e compatibilità con diverse piattaforme, o in diversi ambienti web server. Con tutti questi strumenti, gli autori riescono a gestire quando, come e dove i dettagli della chiamata e i messaggi SMS vengono inoltrati e registrati, con l’obiettivo di colpire la vittima.
I danni collaterali degli attacchi hacker
Per mascherare i loro reali obiettivi e intenzioni, gli attaccanti eseguono spesso esfiltrazioni di dati su larga scala. In realtà, tuttavia, sono spesso interessati solamente a informazioni specifiche appartenenti a poche persone. Di conseguenza, il danno causato è immenso. È dunque ancor più importante identificare e bloccare gli attaccanti, ma si tratta di una missione spesso più difficile del previsto, poiché i cyber-criminali hanno solitamente una conoscenza approfondita della rete target e sono difficili da distinguere dagli amministratori legittimi. Una difesa informatica completa, in grado di rilevare e difendersi da queste attività è necessaria, specialmente per le infrastrutture critiche.
Per contrastare le tattiche e le tecniche degli attaccanti moderni, è consigliabile affidarsi non soltanto alle più recenti tecnologie, ma anche al know-how umano e ad una strategia di threat hunting attiva. Gli specialisti degli attacchi informatici cercano instancabilmente tattiche, tecniche e procedure (TTP) nuove e anomale degli aggressori, incapaci di essere rilevate dalle misure di rilevamento e di fermarle non appena vengono identificate.
