Consultazione di agosto della CISA: Perché è necessario il rilevamento post-compromissione

28 agosto 2025

Responsabile della ricerca sulle minacce informatiche

Consultazione di agosto della CISA: Perché è necessario il rilevamento post-compromissione

Lo scorso dicembre, la pubblicazione di una guida congiunta del CISA e dei suoi partner ha chiarito che i gruppi sponsorizzati dallo Stato cinese stavano sistematicamente prendendo di mira i fornitori di telecomunicazioni. Questa campagna, nota nel settore come Salt Typhoon, ha messo in luce quanto profondamente gli avversari possano radicarsi all'interno delle reti che trasportano le comunicazioni più sensibili al mondo.

Il 27 agosto 2025, la stessa coalizione di agenzie di sicurezza internazionali ha emesso un avviso ancora più preoccupante. Questa volta, l'avvertimento va ben oltre le telecomunicazioni. I risultati mostrano che gli attori cinesi delle minacce avanzate persistenti (APT) stanno compromettendo un'ampia gamma di infrastrutture critiche, dalle reti governative e militari ai sistemi di trasporto e di alloggio, alimentando i dati in quello che i funzionari descrivono come un sistema di spionaggio globale.

Non si tratta più di incidenti isolati contro un solo settore. Si tratta di un accesso persistente e furtivo attraverso la spina dorsale delle comunicazioni e dei servizi internazionali. Per i difensori, la lezione è chiara: le misure di hardening sono necessarie, ma da sole non sono sufficienti. Gli aggressori persistenti con portata globale richiedono visibilità e rilevamento post-compromissione per prevenire lo spionaggio e il furto di dati a lungo termine.

Novità del bollettino di agosto 2025

L'advisory del 27 agosto , redatto da CISA, NSA, FBI e più di una dozzina di partner internazionali, delinea una campagna più ampia e aggressiva di quella descritta nel dicembre 2024. Spiccano tre cambiamenti:

1. Espansione oltre le telecomunicazioni.

Mentre Salt Typhoon si concentrava principalmente sul settore delle comunicazioni, quest'ultimo rapporto mostra come gli attori sponsorizzati dallo Stato cinese stiano compromettendo una gamma più ampia di infrastrutture in tutto il mondo. Gli obiettivi includono ora agenzie governative, sistemi di trasporto, reti di alloggio e persino ambienti militari. La portata è globale, con attività osservate negli Stati Uniti, in Europa, in Asia e oltre.

2. Attribuzione unificata a un sistema di spionaggio globale.

L'industria ha da tempo individuato parti di questa attività con nomi come Salt Typhoon, RedMike, GhostEmperor e UNC5807. L'avviso chiarisce che non si tratta di gruppi isolati, ma di una campagna sostenuta progettata per stabilire un accesso persistente e a lungo termine e incanalare l'intelligence in un sistema di spionaggio centralizzato.

3. Enfasi sulla persistenza e sulla furtività piuttosto che sullo sfruttamento.

Lo sfruttamento di CVE note nei dispositivi edge rimane una tattica caratteristica, con ripetuti abusi delle vulnerabilità di Cisco IOS XE, Ivanti e Palo Alto. Ma l'advisory dedica un'attenzione significativa al modo in cui gli aggressori si radicano dopo l'accesso iniziale. In parole povere, una volta entrati, lavorano duramente per rimanere nascosti e tenere la porta aperta. Ecco come si presenta la situazione:

Modifica delle liste di controllo degli accessi (ACL):
Considerate le ACL come la "lista degli ospiti" di una rete. Aggiungendo segretamente i propri indirizzi IP a questi elenchi, gli aggressori si dotano di un "pass VIP" permanente che consente loro di rientrare ogni volta che vogliono, anche se le altre difese sono state patchate.
‍
Raccolta di credenziali attraverso il traffico TACACS+ e RADIUS:
Si tratta di protocolli che controllano le modalità di accesso degli amministratori ai sistemi critici. Gli aggressori impostano catture di pacchetti per registrare silenziosamente questo traffico di login. Se le credenziali sono trasmesse in chiaro o debolmente protette, gli aggressori possono riprodurle o riutilizzarle (come quando si ascolta una password alla porta e la si usa in seguito).
‍
Stabilire tunnel criptati utilizzando GRE o IPsec:
Per nascondere il furto di dati, gli aggressori creano tunnel segreti all'interno della rete che sembrano normali connessioni sicure. Immaginate i contrabbandieri che camuffano le loro spedizioni in container legittimi; il traffico si confonde con le normali operazioni, rendendo l'esfiltrazione difficile da individuare.
‍
Abuso di Cisco Guest Shell per mettere in scena strumenti:
Guest Shell è un ambiente Linux containerizzato legittimo all'interno dei dispositivi Cisco. Gli aggressori ne abusano per eseguire script, memorizzare dati rubati e persino installare software aggiuntivo. Poiché la Guest Shell non è sempre strettamente monitorata, gli avversari hanno a disposizione un laboratorio nascosto sul dispositivo stesso, dove possono operare senza destare allarme.

Nel loro insieme, questi metodi consentono agli avversari di scomparire nel tessuto della rete. Anche se i difensori patchano le vulnerabilità o rafforzano le configurazioni, spesso gli aggressori hanno ancora un modo per intrufolarsi di nuovo nella rete.

‍

TA0043Ricognizione	TA0042Sviluppo delle risorse	TA0001Accesso iniziale	TA0002Esecuzione	TA0003Persistenza	TA0004Escalation dei privilegi	TA0005Evasione della difesa	TA0006Accesso alle credenziali	TA0007Scoperta	TA0008Movimento laterale	TA0009Collezione	TA0011Command & Control	TA0010Esfiltrazione
T1590Raccogliere informazioni sulla rete delle vittime	T1583Acquisizione dell'infrastruttura	T1190Sfruttamento di un'applicazione rivolta al pubblico	T1059Interprete di comandi e scripting	T1098Manipolazione del conto	T1068Sfruttamento per l'escalation dei privilegi	T1027File o informazioni offuscate	T1003Dumping delle credenziali del sistema operativo	T1016Scoperta della configurazione di rete del sistema	T1021Servizi remoti	T1005Dati dal sistema locale	T1071Protocollo di livello applicativo	T1048Esfiltrazione tramite protocollo alternativo
T1595Scansione attiva	T1584Compromettere l'infrastruttura	T1199Relazione di fiducia	T1569Servizi di sistema	T1136Creare un conto	T1110Forza bruta	T1070Rimozione dell'indicatore	T1040Sniffing di rete	T1082Scoperta delle informazioni di sistema		T1560Archivio dei dati raccolti	T1090Proxy
	T1588Ottenere le capacità		T1609Comando di amministrazione dei contenitori	T1543Creare o modificare un processo di sistema		T1562Difese da deterioramento	T1110Forza bruta			T1602Dati dal repository di configurazione	T1095Protocollo di livello non applicativo
						T1599Ponte di confine della rete	T1556Modifica del processo di autenticazione				T1571Porta non standard
						T1610Distribuzione del contenitore					T1572Tunneling di protocollo

TTP utilizzate dalle APT cinesi

‍

Limiti della sola prevenzione

L'advisory fornisce pagine di indicazioni dettagliate sull'hardening: applicare patch ai dispositivi contro le vulnerabilità note, limitare i protocolli di gestione, imporre un'autenticazione forte e disabilitare i servizi inutilizzati. Questi passaggi sono fondamentali, ma non sono sufficienti da soli.

È possibile applicare una patch a una CVE, ma non è possibile applicare una patch alle credenziali rubate.

Perché la prevenzione non è sufficiente:

Gli aggressori sfruttano le debolezze esistenti.
L'advisory sottolinea che gli attori hanno avuto un "notevole successo" con i CVE noti. Anche quando le organizzazioni applicano rapidamente le patch, gli avversari spesso trovano sistemi non patchati o sfruttano aggiornamenti in ritardo in ambienti complessi.
‍
I meccanismi di persistenza aggirano l'hardening.
Una volta che gli aggressori stabiliscono i tunnel, modificano le ACL o raccolgono le credenziali, la semplice chiusura del percorso di exploit iniziale non li elimina. I perimetri resistenti non possono annullare la persistenza già incorporata nell'ambiente.
‍
Il furto di credenziali mina i controlli di accesso sicuri.
Raccogliendo il traffico TACACS+ o RADIUS, gli aggressori possono accedere come amministratori legittimi. Per i difensori che monitorano solo gli accessi "non autorizzati", questa attività appare normale, rendendo quasi impossibile fermarla con la sola prevenzione.
‍
Le lacune di visibilità consentono agli avversari di indugiare.
Lo stesso avviso riconosce che i vettori di accesso iniziali spesso rimangono sconosciuti, il che significa che le organizzazioni potrebbero non rendersi conto di come gli aggressori siano entrati. Senza un monitoraggio continuo e una correlazione delle attività, gli avversari possono rimanere nascosti per mesi o anni.

Il messaggio è chiaro: la prevenzione riduce l'esposizione ma non elimina la minaccia. Contro gli attori sponsorizzati dallo Stato e dotati di risorse elevate, i difensori devono pianificare la compromissione e investire in capacità in grado di identificare il comportamento dell'aggressore dopo che la violazione è già avvenuta.

L'imperativo post-compromesso

Se l'advisory di agosto insegna qualcosa ai difensori, è che l'hardening e le patch sono solo una parte della risposta. Quando gli avversari sono così determinati, il presupposto deve cambiare: a un certo punto, riusciranno a entrare. La sfida diventa individuarli rapidamente, limitare il loro tempo di permanenza e bloccare l'esfiltrazione prima che si verifichino danni duraturi.

Cosa significa in pratica la sicurezza post-compromissione:

Visibilità continua.
Gli aggressori si mimetizzano deliberatamente nel traffico normale attraverso il tunneling su GRE o IPsec, oppure utilizzando account amministrativi legittimi. Il rilevamento post-compromissione richiede un monitoraggio costante del traffico, delle autenticazioni e dell'attività dei dispositivi, non solo un affidamento sulle difese perimetrali.
‍
Rilevamento comportamentale, non solo firme.
Poiché questi attori sfruttano CVE note e poi si nascondono in tunnel crittografati, la prevenzione basata su regole e le firme statiche spesso li ignorano. I team di sicurezza devono rilevare i comportamenti di persistenza (come modifiche insolite dell'ACL, tunnel inaspettati o nuovi account) piuttosto che attendere la comparsa di uno schema di exploit noto.
‍
Approfondimenti correlati.
Un singolo login anomalo può sembrare innocuo. Ma se combinato con modifiche insolite della tabella di routing e trasferimenti di file crittografati, forma una chiara narrazione di attacco. La correlazione tra rete, identità e telemetria dei dispositivi è essenziale per scoprire le campagne nascoste.
‍
Risposta più rapida.
Una volta che gli aggressori diventano persistenti, il tempo gioca a loro favore. L'advisory mostra che mantengono più backdoor e si muovono attraverso connessioni fidate. Il rilevamento rapido e il triage sono l'unico modo per bloccarli prima che esfiltrino comunicazioni o credenziali sensibili.

In breve, la prevenzione rallenta gli avversari, ma solo la visibilità post-compromissione garantisce che non possano operare inosservati una volta entrati. Per le organizzazioni che sono bersaglio di queste campagne, questa capacità fa la differenza tra il prendere in tempo un'intrusione e il contribuire inconsapevolmente a un sistema di spionaggio globale.

Colmare le lacune con Vectra AI

L'advisory di agosto è chiaro: gli attori sponsorizzati dallo Stato cinese non stanno lanciando attacchi una tantum. Stanno costruendo un sistema di spionaggio persistente all'interno delle reti globali. Le misure di hardening sono essenziali, ma una volta che gli aggressori sono all'interno, la sola prevenzione non può eliminarli.

È qui che la Vectra AI Platform fornisce il livello critico mancante:

Rileva tattiche di persistenza come modifiche dei privilegi, tunnel nascosti e uso improprio delle credenziali.
Correla le attività di utenti, host e dispositivi in una chiara narrazione delle minacce attraverso la rete, il cloud e l'identità.
Rileva il comportamento degli aggressori nascosto nel traffico crittografato o attendibile .
Identifica l'abuso di strumenti legittimi come Cisco Guest Shell e le sessioni VPN.
Si integra con lo stack tecnologico esistente (come EDR e SOAR) per arricchire gli avvisi e accelerare la risposta.
Privilegia i rilevamenti che corrispondono direttamente ai TTP descritti nell'avviso.

Colmando le lacune di rilevamento e risposta, Vectra AI garantisce che gli avversari non possano rimanere nascosti, anche dopo aver violato le difese preventive.

Gli aggressori sponsorizzati dallo Stato giocano a lungo. Con il rilevamento post-compromissione, è possibile accorciarlo drasticamente.

→ Guardate una demo autoguidata della Vectra AI Platform per vedere come.

Volete saperne di più?

Vectra AI è leader nel rilevamento e nella risposta alle minacce cloud ibrido guidato dall'intelligenza artificiale. La piattaforma e i servizi Vectra coprono il cloud pubblico, le applicazioni SaaS, i sistemi di identità e l'infrastruttura di rete, sia on-premises che cloud. Le organizzazioni di tutto il mondo si affidano alla piattaforma e ai servizi di Vectra per resistere a ransomware, compromissioni della catena di approvvigionamento, appropriazioni di identità e altri attacchi informatici che colpiscono la loro organizzazione.

Se volete saperne di più, contattateci e vi mostreremo esattamente come facciamo e cosa potete fare per proteggere i vostri dati. Possiamo anche mettervi in contatto con uno dei nostri clienti per conoscere direttamente le loro esperienze con la nostra soluzione.

Contattateci