Gli aggressori State-Sponsored e a volte anche altre tipologie di attaccanti possiedono risorse e competenze per eludere con successo i sistemi di sicurezza e raggiungere in segreto il loro obiettivo.
L’attacco a SolarWinds Orion è un’altra recente prova che più è prolungato il tempo di permanenza all’interno di una rete aziendale più è probabile che l’aggressore riesca a compromettere la vittima in modo esteso. Le best practice raccomandano alle organizzazioni di eseguire attività di threat hunting per ridurre il dwell time degli attacchi e rilevare le minacce non ancora note.
A dicembre 2020, FireEye ha reso noti i dettagli di un sofisticato gruppo di aggressori che ha approfittato della piattaforma Orion di SolarWinds per orchestrare un attacco “Supply Chain” su larga scala, implementando sui sistemi delle vittime una backdoor denominata SUNBURST.
“Questo attacco ha avuto un impatto su aziende dislocate in tutto il mondo e ha portato i dirigenti a chiedersi se anche la loro azienda ne fosse stata vittima”, dichiara Gabriele Zanoni, Senior Strategic Consultant di Mandiant. “Molti di loro hanno avviato attività volte a identificare i sistemi con installato SolarWinds presenti all’interno del proprio ambiente per poi determinarne il potenziale impatto”.
Non appena l’attacco è stato reso pubblico, FireEye si è immediatamente attivata per ridurre l’impatto sui clienti del proprio servizio Managed Defense. Grazie alle analisi svolte in azienda, Mandiant ha avuto modo di osservare le tecniche utilizzate dagli aggressori e di identificare tali attività anche negli ambienti dei clienti. Mandiant, infatti, è in prima linea nelle attività di risposta agli incidenti in tutto il mondo e i risultati delle investigazioni vengono usati per alimentare le attività del team di Threat Hunting.
SUNBURST è stato solo l’inizio
Durante la rilevazione della violazione di SolarWinds in FireEye, l’azienda ha avuto una visione dettagliata sulle tattiche e le tecniche utilizzate da UNC2452. Mentre SolarWinds e il malware SUNBURST possono essere stati un vettore di ingresso, questa non è stata l’unica traccia che è stata rilevata negli ambienti dei clienti. In base a tutte le rilevazioni condotte si può dire che UNC2452 è un gruppo non convenzionale. Le tecniche utilizzate includevano:
- Codice malevolo nascosto tra migliaia di righe di codice legittimo, compilato all’interno di file firmati digitalmente;
- Utilizzo di una piattaforma (SolarWinds Orion) che garantiva un accesso privilegiato all’ambiente delle vittime, generando un numero significativo di movimenti laterali;
- Disabilitazione di decine di strumenti agent endpoint, tra cui quello di FireEye;
- Utilizzo del DNS per comunicazioni con i sistemi di Command and Control (C2)
- Introduzione di malware nell’ambiente del cliente post-compromissione, spesso sono stati usati strumenti nativi di Windows per eseguire attività di ricognizione, raccolta delle credenziali e movimenti laterali.
Quando gli aggressori utilizzano tecniche che aggirano e disattivano il software di sicurezza, un’organizzazione può trovarsi in difficoltà.
“Nella nostra esperienza, le attività di threat hunting, quando sono eseguite da analisti con una profonda conoscenza di come gli attaccanti raggiungono i loro obiettivi, sono il modo migliore per tornare ad avere visibilità sulle azioni malevole che avvengono in azienda”, aggiunge Zanoni. “Noi svolgiamo queste attività ogni giorno alla continua ricerca di attacchi che hanno evaso i sistemi di sicurezza e di aggressori ancora “nascosti” nelle reti dei clienti”.
Una grande parte delle tecniche di Threat Hunting parte da delle ipotesi che vengono poi verificate con quello che accade sul campo. FireEye studia gli attaccanti e sfrutta le fonti di telemetria disponibili per perfezionare la tesi.
Molti dei clienti di FireEye possiedono sistemi che danno visibilità di rete, endpoint, cloud ed email e che forniscono informazioni preziose per identificare le attività degli aggressori. Sfruttando la telemetria, affiniamo le attività offrendo una maggiore precisione e accorciando, inoltre, il ciclo di rilevamento delle minacce e di risposta agli incidenti.
“Una sorgente fondamentale di una efficace attività di threat hunting è l’accesso a molti dati di telemetria ad alto valore. Tuttavia, senza la conoscenza del contesto o senza l’esperienza di come gli aggressori raggiungano i loro obiettivi, ci si troverebbe a indagare tra migliaia di dati alla ricerca di qualcosa che è già conosciuto”, conclude Zanoni.
