MSP alle prese con le nuove TTP degli Stati

Le agenzie statunitensi FBI e NSA e l’NCSC nel Regno Unito hanno pubblicato lo scorso maggio un report nel quale veniva segnalato che gruppi legati al servizio di intelligence della Federazione Russa (SVR) stavano svolgendo nuovi e pericolosi attacchi informatici, non affidandosi alle consuete tattiche, tecniche e procedure (TTP).

Il report, dal titolo Further TTPs associated with SVR cyber actors (Nuove TTP associate agli hacker SVR), contiene dettagli su queste nuove TTP, fa i nomi dei gruppi associati alla Russia (APT29, Cozy Bear e Dukes) e attribuisce loro la responsabilità di alcuni importanti attacchi informatici avvenuti negli ultimi tempi. Il documento sostiene che l’SVR si avvalga di una serie di strumenti e tecniche per attaccare bersagli governativi, diplomatici, sanitari ed energetici esteri per l’acquisizione di informazioni. Indica, inoltre, che dispongono di tecnologie altamente sofisticate e di capacità sufficienti per danneggiare stati, MSP e organizzazioni di tutto il mondo.

Accesso attraverso le vulnerabilità e la supply chain

Secondo quanto riscontrato dagli analisti, l’SVR si avvale principalmente di due tecniche per accedere ai sistemi riconosciuti nella MITRE ATT&CK Matrix che classifica le TTP:

Tuttavia, il report sottolinea anche quanto sia importante per questi personaggi agire sulla supply chain. Questi attacchi informatici hanno consentito all’SVR di accedere a diverse organizzazioni. L’attacco più celebre di questo tipo è stato Sunburst, un attacco informatico su vasta scala che ha interessato il software di gestione della rete aziendale SolarWinds utilizzato da centinaia di grandi aziende come Microsoft, Intel, Cisco e SAP.

Cobalt Strike e Sliver

Gli analisti delle agenzie sottolineano che, in diverse occasioni, i gruppi legati all’SVR hanno utilizzato Cobalt Strike, un programma di comando e controllo (C&C) che consente di eseguire nei sistemi operazioni di ogni genere, una volta conquistato l’accesso iniziale con le tecniche descritte in precedenza.

Per quanto riguarda SolarWinds, l’analisi forense di una delle organizzazioni vittime dell’attacco ha dimostrato che gli hacker avevano utilizzato i malware GoldFinder, GoldMax e Sibot, introdotti per funzioni di backdoor e come loader.

Ma sottolinea anche che questi hacker si sono avvalsi prevalentemente della piattaforma Sliver, che è un altro strumento per la simulazione e le pratiche di Red Team che supportano una vasta serie di meccanismi di comando e controllo, una volta corrotto il sistema. È sorprendente che, per ogni grande organizzazione presa di mira tramite Sliver, gli hacker abbiano differenziato le infrastrutture utilizzate, ad esempio i sistemi da cui operavano, probabilmente per renderne più difficile il tracciamento e mantenere più a lungo il controllo sui sistemi colpiti.

Aggiornamenti e Zero Trust per gli MSP e i loro clienti

Come abbiamo visto, il report dimostra che questi gruppi di criminali informatici si avvalgono di tecniche e procedure all’avanguardia e quindi costituiscono una grave minaccia per i fornitori di servizi e per i loro clienti.

Tuttavia, gli MSP possono ridurre il rischio di attacchi informatici e intrusione nelle organizzazioni, mettendo in atto le buone prassi e disponendo degli strumenti giusti.

Innanzitutto, dal momento che le tecniche utilizzate per effettuare il primo accesso sfruttano le vulnerabilità di sistemi e software, per minimizzare i rischi è fondamentale fare in modo che tutti dispongano degli ultimi aggiornamenti e patch.

In secondo luogo, gli attacchi informatici alla supply chain evidenziano che qualsiasi software, indipendentemente da quanto possa sembrare legittimo, può diventare un vettore di accesso per i malware. Per questi gli MSP devono implementare strumenti che da una base di totale inaffidabilità siano in grado di raggiungere una sicurezza dimostrata del 100%.

A tal proposito, le soluzioni per la sicurezza degli endpoint WatchGuard offrono agli MSP una risposta efficace a questo problema, con la riduzione e la mitigazione dei rischi come quelli mostrati nel report SVR, sia per l’organizzazione che per i suoi clienti. Oltre alla protezione EPDR completa, si basano anche su un approccio "Zero-Trust" con il Servizio Zero Trust per le applicazioni, che pre-analizza ogni binario prima che venga eseguito. Inoltre, queste soluzioni sono integrate nella piattaforma unificata di cybersicurezza presente su WatchGuard Cloud, che offre agli MSP una semplice gestione end-to-end.