Le PMI sempre più nel mirino degli attori APT: la ricerca di Proofpoint

Gli esperti di sicurezza di Proofpoint hanno analizzato le piccole e medie imprese (PMI) che sono state vittime di attacchi da parte di attori APT (advanced persistent threat), dal primo trimestre 2022 al primo trimestre 2023. La ricerca è stata condotta tramite la telemetria di Proofpoint Essentials.

Lo studio evidenzia che i principali attori APT sono legati ai governi di Russia, Iran e Corea del Nord. Gli attacchi alle PMI sono principalmente di natura phishing, sebbene gli obiettivi possono variare molto (si va dall’attacco con scopo spionistico a quello propagandistico).

Nonostante la natura apparentemente banale degli attacchi (il phishing è uno stratagemma estremamente subdolo), Proofpoint ci invita a non sottovalutare le minacce APT, che sono entità ben finanziate e motivate da interessi statali. Realtà che usano tecniche sofisticate e persistenti per colpire i loro bersagli. Insomma, realtà da non prendere sotto gamba.

Tra le campagne APT osservate da Proofpoint nell’arco dei 12 mesi, si distinguono quelle condotte da attori russi, iraniani e nordcoreani, che hanno usato il phishing come principale vettore di attacco alle PMI. Le campagne APT hanno mostrato tre tendenze principali:

• L’uso di infrastrutture di PMI compromesse per diffondere il phishing
• L’attacco ai servizi finanziari delle PMI per ottenere un guadagno economico diretto
• L’exploit delle PMI per compromettere la catena di fornitura

Due esempi di attacchi APT alle PMI

Un esempio recente di questo tipo di attacco riguarda le attività di TA473, un gruppo hacker affiliato all’Iran. Tra novembre 2022 e febbraio 2023, TA473 ha condotto campagne di phishing mirate a vari enti governativi statunitensi ed europei, utilizzando domini e indirizzi email compromessi. In alcuni casi, i domini erano ospitati su WordPress, una piattaforma che può essere vulnerabile se non patchata. In altri casi sono stati violati anche i server webmail di Zimbra. TA473 ha poi usato questi canali per inviare email contenenti malware o link infetti ai suoi obiettivi.

Un altro caso significativo di attacco informatico a una PMI è avvenuto nel maggio 2022, quando TA499, un gruppo hacker sostenuto dalla Russia, ha tentato di ingannare una celebrità americana con una falsa videoconferenza sul conflitto in Ucraina. TA499 si è fatto passare per il presidente ucraino VolodymyrZelensky e ha contattato un’azienda di medie dimensioni che rappresenta importanti personaggi pubblici negli Stati Uniti. L’obiettivo era probabilmente quello di influenzare l’opinione pubblica in merito al conflitto in corso. Proofpoint ha attribuito questa campagna a TA499 basandosi su una serie di indirizzi email e domini che il gruppo ha usato in modo consistente per tutto il 2022.

Oltre a questi esempi di spionaggio o sabotaggio informatico, le PMI sono anche bersagli di attacchi finanziari da parte di APT. In particolare, i gruppi hacker vicini alla Corea del Nord hanno mirato a istituzioni finanziarie, finanza decentralizzata e tecnologia blockchain con l’intento di sottrarre fondi e criptovalute. Queste risorse sono poi utilizzate per finanziare le operazioni governative della Corea del Nord, che è soggetta a sanzioni internazionali.

Proteggi i tuoi dati con Bitdefender, Leader in Cybersecurity

Attacchi APT alla supply chain: nel mirino anche gli MSP regionali

Più in generale, nel periodo tra il 2022 e il 2023, si è registrato un incremento degli attacchi APT che sfruttano le vulnerabilità degli MSP (Managed Service Provider) regionali. Questi ultimi offrono servizi di protezione a centinaia di PMI locali, che spesso non dispongono di misure di sicurezza adeguate e di livello enterprise. Anche in questo caso il report di Proofpoint ci porta alcuni esempi.

A metà gennaio 2023, i ricercatori hanno scoperto che TA450, conosciuto pubblicamente come Muddywater e attribuito al Ministero dell’Intelligence e della Sicurezza iraniano, ha attaccato due MSP regionali israeliani e imprese di assistenza IT tramite una campagna di phishing. Queste email erano inviate dall’indirizzo di posta elettronica compromesso di una media impresa israeliana di servizi finanziari e contenevano un URL per il provider di cloud hosting OneHub. Se l’utente cliccava su questo URL, scaricava un archivio Zip con un file eseguibile per installare Syncro, un software di gestione remota. Anche se Syncro è uno strumento usato in molte imprese, in questo caso, una volta installato sul dispositivo di destinazione, l’APT avrebbe potuto usarlo come trojan di accesso remoto e svolgere ulteriori attività di intrusione, probabilmente usando strumenti nativi e malware proprietario.

L’obiettivo degli MSP regionali in Israele è coerente con l’obiettivo geografico storico di TA450. Inoltre, questa campagna recente mostra che TA450 continua ad avere interesse a colpire fornitori regionali di tecnologia, per raggiungere gli utenti PMI attraverso attacchi alla catena di fornitura delle MSP regionali vulnerabili.

Tirando le somme

Un panorama di phishing APT sempre più complesso rivela che gli attori delle minacce puntano sempre più spesso a PMI e MSP regionali. I dati di Proofpoint dell’ultimo anno mostrano che diverse nazioni e noti attori di minacce APT si stanno focalizzando sulle piccole e medie imprese, oltre che su governi, forze armate e grandi imprese. 

Attraverso la compromissione dell’infrastruttura delle piccole e medie imprese per attaccare successivamente obiettivi secondari, furti finanziari sponsorizzati da stati e attacchi alla catena di fornitura di MSP regionali, gli attori APT rappresentano un rischio reale per le PMI.

Cybersecurity Threats, Malware Trends, and Strategies - Second Edition: Discover risk mitigation strategies for modern threats to your organization

• Rains, Tim (Autore)

33,99 EUR

Acquista su Amazon