Come un hacker attacca un’azienda: le 5 fasi di un attacco informatico
Guerra in Ucraina, possibili attacchi hacker in Italia
L’Agenzia per la cybersecurity ha lanciato un’allarme su possibili attacchi hacker in Italia nella giornata di domenica 6 marzo.
ROMA – Possibili attacchi hacker in Italia nella giornata di domenica 6 marzo. A dirlo, secondo quanto riferito dall’Agi, è l’Agenzia per la cybersicurezza nazionale. Si tratta naturalmente di una indiscrezione che non trova, al momento, delle certezze e ci saranno degli approfondimenti nelle prossime ore per provare ad avere delle maggiori certezze su questa vicenda.
L’attenzione resta sicuramente molto alta e solo a breve capiremo se realmente ci sarà un attacco hacker oppure se si è trattato solamente di un’allarme in un periodo non sicuramente facile.
Bonus 2022: tutte le agevolazioni, chi può richiederle e come si possono ottenere Scarica Gratis la guida!
L’allarme dell’Agenzia per la Cybersicurezza nazionale
A lanciare l’allarme, come detto, è stata l’Agenzia per la Cybersicurezza. “In Italia ci potrebbero essere degli attacchi hacker ai danni di enti governativi e industriali non meglio definiti – si legge nella nota – da notizie riservate si è appreso che domenica 6 marzo potrebbero essere seguiti attacchi cyber, legati alla situazione internazionale, ai danni di enti governativi e industriali, non meglio definiti anche nel nostro Paese“.
Un avviso che conferma una situazione di massima allerta e proprio per questo motivo l’attenzione resta davvero molto alta.
hacker
I possibili attacchi hacker
Non è ancora chiaro dove saranno questi attacchi hacker e se arriveranno direttamente dalla Russia, ma si preferisce mantenere la massima allerta anche perché il rischio di dover fare i conti con dei problemi è alto.
Vedremo solo nella giornata di domenica se alla fine queste indiscrezioni saranno vere oppure si è trattato di un semplice allarme. L’attenzione, comunque, resterà alta anche per intervenire immediatamente. L’obiettivo è sicuramente quello di evitare qualsiasi danno alle aziende italiane in un periodo che porta molti rischi soprattutto per la guerra in Ucraina.
L'esercito di hacker che sta bersagliando la Russia
Gli ordini vengono impartiti con la precisione di un orologio. Ogni giorno, spesso intorno alle cinque del mattino ora locale, il canale Telegram che ospita l'"esercito di hacker" ucraino riceve una nuova lista di obiettivi. Dall'inizio della guerra il gruppo di volontari sta mettendo fuori uso i siti russi usando ondate di attacchi ddos (distributed denial-of-service), che subissano i siti di richieste di traffico rendendoli inaccessibili.
Gli hacker hanno preso di mira servizi di pagamento online, dipartimenti governativi, compagnie aeree e aziende di food delivery in Russia, con l'obiettivo di creare disagi nella vita quotidiana del paese. "Oggi i russi riscontrano regolarmente problemi nel funzionamento dei servizi di streaming tv", hanno scritto i gestori del canale Telegram del gruppo – che sono sostenuti dal governo ucraino – dopo un'operazione rivendicata a metà aprile.
Un hacker ucraino ci racconta la sua guerra informatica contro la Russia Roman, nome di fantasia, è a capo di una congregazione di circa 50 esperti informatici che ogni giorno rispondono all'invasione dell'Ucraina con missioni contro piattaforme e aziende russe
Da quando la Russia ha invaso l'Ucraina alla fine di febbraio, il paese è diventato il bersaglio di una raffica senza precedenti di attacchi informatici. Hacktivisti, forze ucraine e persone da tutto il mondo stanno partecipando alle azioni degli hacker ucraini, prendendo di mira la Russia e le sue aziende. Gli attacchi ddos costituiscono la maggior parte delle azioni, ma i ricercatori hanno anche individuato dei ransomware progettati per colpire la Russia e vanno alla ricerca di bug nei sistemi russi, che potrebbero essere sfruttati per mettere a segno attacchi più sofisticati.
Inversione di tendenza
Gli attacchi contro la Russia sono in controtendenza con la storia recente. Molti cybercriminali e gruppi di ransomware hanno legami con la Russia e non prendono di mira il paese. Ora, però, la situazione sta cambiando. "Generalmente la Russia è considerata uno dei paesi da cui partono i cyberattacchi e non un obiettivo", spiega Stefano De Blasi, un analista di cyber-threat intelligence che lavora per la società di sicurezza informatica Digital Shadows.
All'inizio della guerra gli attacchi ddos sono stati incessanti. Durante i primi tre mesi del 2022 è stato registrato un livello record di ddos, come riporta un'analisi della società russa di cybersecurity Kaspersky. Nonostante sia la Russia che l'Ucraina abbiano fatto ricorso a questo tipo di azioni, gli attacchi contro la Russia si sono rivelati più innovativi e prolungati.
Alcune aziende tecnologiche ucraine hanno modificato il gioco 2048 – un puzzle creato da uno sviluppatore italiano nel 2014 – per lanciare con semplicità attacchi ddos, realizzando anche strumenti che consentono a chiunque di partecipare alle azioni, indipendentemente dalle conoscenze tecniche. "Più usiamo strumenti di automazione, più i nostri attacchi sono efficaci", si legge in un messaggio inviato al canale Telegram degli hacker ucraini il 24 marzo. I gestori del canale esortano i membri a utilizzare vpn per schermare la propria posizione e aggirare le protezioni dei loro obiettivi dagli attacchi ddos. Verso la fine di aprile, il gruppo ha inaugurato il proprio sito web, dove indica se i suoi obiettivi sono ancora online o sono stati smantellati, e mette a disposizione guide tecniche (l'esercito di hacker ucraino non ha risposto a una richiesta di commento di Wired UK).
Non solo Kaspersky: l'Italia taglia i ponti con le aziende russe di cybersecurity Stop ai contratti degli enti pubblici anche con Group Ib e Positive Technologies. Al via il processo per migrare verso altri fornitori. L'Agenzia per la cybersicurezza nazionale emana una circolare ufficiale
"Abbiamo assestato dei colpi notevoli, e molti siti web non funzionano", racconta Dmytro Budorin, amministratore delegato della startup ucraina di cybersecurity Hacken. Dopo l'inizio della guerra, Budorin e alcuni suoi colleghi hanno modificato uno degli strumenti di contrasto ai ddos dell'azienda, chiamato disBalancer, in modo che potesse essere utilizzato per lanciare attacchi.
Come un hacker attacca un’azienda: le 5 fasi di un attacco informatico
Come un hacker attacca un’azienda: le 5 fasi di un attacco informatico Per potersi realmente difendere da un attacco informatico da parte di un hacker, bisogna conoscere in che modo può avanzare la sua strategia, fase per fase. Giulia Madeddu Tempo di lettura 7 min
Ci possono aiutare in questo i White Hacker, dei veri e propri Black Hat che agiscono per aiutare le aziende a rimuovere i virus o a difendersi da eventuali intrusioni, spesso eseguendo dei penetration test nel sistema aziendale per provare la sua vulnerabilità o meno. Essi vengono definiti anche Ethical Hacker e possono certificarsi tramite l’EC-Council.
Sono state individuate 5 fasi che un hacker segue nella sua intrusione in un sistema aziendale:
Ricognizione Scansione Ottenere l’accesso Mantenimento dell’accesso Tracce di copertura
Fase 1: ricognizione
La fase di ricognizione si riferisce a quel momento di preparazione e strategia in cui un cybercriminale raccoglie quante più informazioni possibili sull’obiettivo prima di attaccare.
Le tecniche di ricognizione possono essere categorizzate generalmente in ricognizione attiva e in quella passiva.
Quando un attaccante utilizza tecniche di ricognizione passiva, non lo fa interagire direttamente con il sistema: usa informazioni disponibili pubblicamente, sfruttando la social engineering o il dumpster diving per raccogliere informazioni. Mentre la social engineering usa una serie di tecniche per manipolare le proprie vittime con lo scopo di ottenere informazioni sensibili, il dumpster diving è il processo di ricerca attraverso il cestino di un’organizzazione per recuperare le informazioni sensibili scartate.
Quando un cybercriminale invece utilizza tecniche di ricognizione attive, tenta di interagire con il sistema utilizzando strumenti per rilevare porte aperte, host accessibili, posizioni router, mappatura di rete, dettagli di funzionamento di sistemi e applicazioni.
Fase 2: scansione
La scansione è il metodo che un cybercriminale esegue prima di attaccare la rete. Nella scansione, usa i dettagli raccolti durante le ricognizioni per identificare specifiche vulnerabilità. Spesso vengono utilizzati strumenti automatizzati come scanner di rete/host e war dialer per individuare i sistemi e tentare di scoprire le vulnerabilità.
In questo modo un cybercriminale può raccogliere informazioni di rete come la mappatura di sistemi, router e firewall utilizzando strumenti semplici come Traceroute o Cheope.
Gli scanner di porte possono essere utilizzati per rilevare le porte di ascolto per trovare informazioni sulla natura dei servizi in esecuzione sulla macchina di destinazione. La tecnica di difesa primaria a questo proposito è quella di chiudere i servizi che non sono richiesti.
Un cybercriminale segue una particolare sequenza di passaggi per scansionare qualsiasi rete, tuttavia i metodi di scansione possono differire in base agli obiettivi di attacco.
Fase 3: accesso
Ottenere l’accesso è la fase più importante di un attacco in termini di danno potenziale. I cybercriminali non hanno bisogno di ottenere sempre l’accesso al sistema per causare danni. Ad esempio, gli attacchi denial-of-service possono esaurire le risorse o interrompere i servizi di esecuzione sul sistema di destinazione. Mentre quest’ultimo può essere effettuato terminando i processi o anche riconfigurando e bloccando il sistema, le risorse possono essere invece esaurite localmente riempiendo i collegamenti di comunicazione in uscita.
Ad esempio l’exploit può avvenire localmente, offline, tramite LAN o Internet come inganno o furto.
Gli aggressori usano anche una tecnica chiamata spoofing per sfruttare il sistema fingendo di essere estranei o sistemi diversi. Possono usare questo tecnica per inviare un pacchetto deformato contenente un bug al sistema di destinazione in modo da sfruttare le vulnerabilità. L’inserimento di questi pacchetti può essere utilizzato per interrompere a distanza la disponibilità di importanti servizi.
I fattori che influenzano le possibilità di un cybercriminale di accedere a un sistema di destinazione includono architettura e configurazione del sistema di destinazione, livello di abilità dell’autore del reato e livello di accesso ottenuto. Il tipo più dannoso degli attacchi è l’attacco denial-of-service (DoS), in cui un cybercriminale utilizza un software zombie attraverso Internet su più macchine per innescare un arresto dei servizi su larga scala.
Fase 4: mantenimento dell’accesso
Una volta che un cybercriminale ottiene l’accesso al sistema di destinazione, può scegliere di utilizzare il sistema e le sue risorse e di seguito di utilizzare sempre il sistema come trampolino di lancio per scansionare e sfruttare altri sistemi oppure per mantenere un livello basso del profilo e continuare a sfruttare il sistema. Entrambe queste azioni possono danneggiare l’organizzazione.
Gli hacker, che scelgono di rimanere inosservati, rimuovono le prove del loro ingresso e usano una backdoor o un Trojan per avere l’accesso aperto. Possono anche installare i rootkit a livello di kernel per ottenere l’accesso super-utente. Sia i rootkit che i Trojan dipendono dagli utenti per farsi installare: nei sistemi Windows, la maggior parte dei Trojan si installano come servizio ed eseguono come sistema locale e amministrativo. Gli hacker inoltre possono utilizzare cavalli di Troia per trasferire nomi utente, password e persino informazioni sulla carta di credito memorizzati nel sistema. Inoltre possono mantenere a lungo il controllo del “loro” sistema rafforzando il sistema contro altri aggressori e, a volte, nel processo, rendono un certo grado di protezione al sistema da altri attacchi. Possono quindi utilizzare il loro accesso per rubare dati, consumare cicli della CPU e scambiare informazioni sensibili o addirittura ricorrere all’estorsione.
Le organizzazioni possono utilizzare i sistemi di rilevamento delle intrusioni o implementare honeypots e honeynet per rilevare gli intrusi. Quest’ultimo però non è raccomandato a meno che l’organizzazione non abbia l’hacker etico richiesto per proteggere la rete aziendale.
Fase 5 – Covering Tracks
Un cybercriminale vorrebbe distruggere le prove della sua presenza e attività per vari motivi come per mantenere l’accesso ed evitare di venire scoperto. Cancellare le prove di un attacco è un requisito essenziale per qualsiasi cybercriminale che vorrebbe rimanere inosservato. Di solito questa fase inizia con la cancellazione degli accessi e di eventuali messaggi di errore che potrebbero essere stati generati dal processo di attacco, ad esempio, un attacco di overflow del buffer di solito lascia un messaggio nel log di sistema. Successivamente, l’attenzione è rivolta alle effettive modifiche in modo che gli accessi futuri non vengano registrati.
Manipolando e modificando i registri degli eventi, l’amministratore di sistema può essere convinto che l’output del suo sistema è corretto e che nessuna intrusione ha effettivamente avuto luogo. Inoltre è indispensabile che gli hacker facciano apparire il sistema come lo hanno trovato prima del loro accesso e stabilire il backdoor per il loro uso. Tutti i file, che sono stati modificati, devono essere riportati alle loro caratteristiche originarie.
Altre tecniche sono la steganografia e il tunnelling. La prima è il processo di nascondere i dati per esempio in immagini e file audio, il secondo, invece, sfrutta il protocollo di trasmissione portando un protocollo su un altro. Lo spazio extra (ad es. Bit inutilizzati) nelle intestazioni TCP e IP può essere usato per nascondere informazioni. Un cybercriminale può usare il sistema come copertura per lanciare nuovi attacchi contro altri sistemi o utilizzarlo come mezzo per raggiungere un altro sistema sulla rete senza essere rilevato. Quindi, questa fase di attacco può trasformarsi in un nuovo ciclo di attacco usando le tecniche di ricognizione e così via.
Le aziende, devono affrontare la sicurezza come parte integrante della propria strategia aziendale e/o operativa e dotarsi di politiche e procedure adeguate per verificare tali attività.
Mentre tu, come hacker etico, devi essere in grado di distinguere tra i vari metodi di ricognizione ed essere in grado di sostenere misure preventive alla luce di potenziali minacce.