Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso
Tecniche di attacco

Avviso di agosto della CISA: perché è necessario il rilevamento post-compromissione

28 agosto 2025
Lucie Cardiet
Responsabile della ricerca sulle minacce informatiche
Avviso di agosto della CISA: perché è necessario il rilevamento post-compromissione

Lo scorso dicembre, la pubblicazione delle linee guida congiunte della CISA e dei suoi partner ha chiarito che gruppi sponsorizzati dallo Stato cinese stavano prendendo di mira in modo sistematico i fornitori di servizi di telecomunicazione. Quella campagna, seguita nel settore con il nome di Salt Typhoon, ha messo in luce quanto profondamente gli avversari potessero radicarsi all'interno delle reti che trasportano le comunicazioni più sensibili al mondo.

Il 27 agosto 2025, la stessa coalizione di agenzie di sicurezza internazionali ha emesso un avviso ancora più preoccupante. Questa volta, l'allerta va ben oltre le società di telecomunicazioni. I risultati mostrano che gli autori delle minacce persistenti avanzate (APT) cinesi stanno compromettendo un'ampia gamma di infrastrutture critiche, dalle reti governative e militari ai sistemi di trasporto e ricettività, alimentando con i dati raccolti quello che i funzionari descrivono come un sistema di spionaggio globale.

Il quadro non riguarda più incidenti isolati contro un singolo settore. Si tratta piuttosto di accessi persistenti e furtivi alla dorsale delle comunicazioni e dei servizi internazionali. Per i difensori, la lezione è chiara: sono necessarie misure di rafforzamento, ma da sole non sono sufficienti. Gli aggressori persistenti con portata globale richiedono visibilità e rilevamento post-compromissione per prevenire lo spionaggio a lungo termine e il furto di dati.

Novità nell'avviso di agosto 2025

L'avviso del 27 agosto emesso da CISA, NSA, FBI e più di una dozzina di partner internazionali delinea una campagna più ampia e aggressiva rispetto a quella descritta nel dicembre 2024. Si evidenziano tre cambiamenti:

1. Espansione oltre il settore delle telecomunicazioni.

Mentre Salt Typhoon si concentrasse principalmente sul settore delle comunicazioni, quest'ultimo rapporto mostra che gli attori sponsorizzati dallo Stato cinese compromettono una gamma più ampia di infrastrutture in tutto il mondo. Gli obiettivi ora includono agenzie governative, sistemi di trasporto, reti di alloggi e persino ambienti militari. La portata è globale, con attività osservate negli Stati Uniti, in Europa, in Asia e oltre.

2. Attribuzione unificata a un sistema di spionaggio globale.

Il settore industriale ha monitorato a lungo questa attività con nomi come Salt Typhoon, RedMike, GhostEmperor e UNC5807. L'avviso chiarisce che non si tratta di gruppi isolati, ma di una campagna continuativa volta a stabilire un accesso persistente e a lungo termine e a convogliare le informazioni raccolte in un sistema di spionaggio centralizzato.

3. Enfasi sulla perseveranza e sulla discrezione piuttosto che sullo sfruttamento.

Lo sfruttamento delle vulnerabilità CVE note nei dispositivi periferici rimane una tattica caratteristica, con ripetuti abusi delle vulnerabilità di Cisco IOS XE, Ivanti e Palo Alto. Tuttavia, l'avviso dedica particolare attenzione al modo in cui gli aggressori si insediano dopo l'accesso iniziale. In parole povere, una volta entrati, lavorano duramente per rimanere nascosti e tenere la porta aperta. Ecco come funziona:

  • Modifica degli elenchi di controllo degli accessi (ACL):
    Considerate gli ACL come la "lista degli ospiti" di una rete. Aggiungendo segretamente i propri indirizzi IP a questi elenchi, gli aggressori si concedono un "pass VIP" permanente che consente loro di rientrare quando vogliono, anche se le altre difese sono state riparate.
  • Raccolta delle credenziali tramite traffico TACACS+ e RADIUS:
    Si tratta di protocolli che controllano il modo in cui gli amministratori accedono ai sistemi critici. Gli aggressori impostano la cattura dei pacchetti per registrare silenziosamente questo traffico di accesso. Se le credenziali vengono trasmesse in chiaro o sono protette in modo insufficiente, gli aggressori possono riprodurle o riutilizzarle (simile a sentire una password alla porta e usarla in seguito).
  • Creazione di tunnel crittografati utilizzando GRE o IPsec:
    Per nascondere il furto di dati, gli aggressori creano tunnel segreti all'interno della rete che sembrano normali connessioni sicure. Immaginate dei contrabbandieri che nascondono le loro merci in container legittimi: il traffico si confonde con le normali operazioni, rendendo difficile individuare l'esfiltrazione.
  • Abuso di Cisco Guest Shell per l'installazione di strumenti:
    Guest Shell è un ambiente Linux containerizzato legittimo all'interno dei dispositivi Cisco. Gli aggressori lo utilizzano in modo improprio per eseguire script, archiviare dati rubati e persino installare software aggiuntivo. Poiché Guest Shell non è sempre monitorato da vicino, ciò offre agli avversari un laboratorio nascosto sul dispositivo stesso, dove possono operare senza destare sospetti.

Nel loro insieme, questi metodi consentono agli avversari di scomparire nella struttura della rete. Anche se i difensori correggono le vulnerabilità o rafforzano le configurazioni, gli aggressori spesso hanno comunque un modo per intrufolarsi nuovamente.

TA0043Ricognizione TA0042Sviluppo delle risorse Sviluppo TA0001Accesso iniziale Accesso TA0002Esecuzione TA0003Perseveranza TA0004Privilegio Escalation TA0005Difesa Evasione TA0006Credenziali Accesso TA0007Scoperta TA0008Movimento laterale TA0009Collezione TA0011Comando e controllo TA0010Esfiltrazione
T1590Raccogliere informazioni sulla rete della vittima T1583Acquisizione Infrastruttura T1190Exploit Applicazione pubblica T1059Interprete di comandi e script T1098Manipolazione dell'account T1068Sfruttamento per l'escalation dei privilegi T1027File o informazioni oscurati T1003OS Dumping delle credenziali T1016Sistema Rilevamento configurazione di rete T1021Remoto Servizi T1005Dati provenienti dal sistema locale T1071Protocollo del livello applicativo T1048Esfiltrazione tramite protocollo alternativo
T1595Attivo Scansione T1584Infrastruttura di compromesso T1199Rapporto di fiducia Rapporto T1569Sistema Servizi T1136Crea account T1110Brute Force T1070Indicatore Rimozione T1040Rete Sniffing T1082Sistema Ricerca informazioni T1560Archivio Dati raccolti T1090Proxy
T1588Ottenere Capacità T1609Contenitore Comando di amministrazione T1543Crea o Modifica processo di sistema T1562Impair Difese T1110Brute Force T1602Dati provenienti dal Repository di configurazione T1095Protocollo non a livello di applicazione
T1599Rete Bridging di confine T1556Modifica Processo di autenticazione T1571Porta non standard
T1610Distribuzione Contenitore T1572Protocollo Tunneling
TTP utilizzati dagli APT cinesi

Limiti della sola prevenzione

La nota informativa fornisce pagine di indicazioni dettagliate per rafforzare la sicurezza: applicare patch ai dispositivi contro vulnerabilità note, limitare i protocolli di gestione, applicare un'autenticazione forte e disabilitare i servizi inutilizzati. Questi passaggi sono fondamentali, ma da soli non sono sufficienti.

È possibile correggere una vulnerabilità CVE, ma non è possibile correggere le credenziali rubate.

Perché la prevenzione non è sufficiente:

  1. Gli aggressori sfruttano le vulnerabilità esistenti.
    L'avviso sottolinea che gli attori hanno ottenuto "un notevole successo" con le CVE note. Anche quando le organizzazioni applicano rapidamente le patch, gli avversari spesso trovano sistemi non aggiornati o sfruttano gli aggiornamenti in ritardo in ambienti complessi.
  2. I meccanismi di persistenza aggirano l'irrobustimento.
    Una volta che gli aggressori hanno creato tunnel, modificato gli ACL o raccolto credenziali, la semplice chiusura del percorso di exploit iniziale non è sufficiente a rimuoverli. I perimetri irrobustiti non possono annullare la persistenza già incorporata nell'ambiente.
  3. Il furto delle credenziali compromette i controlli di accesso sicuri.
    Raccogliendo il traffico TACACS+ o RADIUS, gli aggressori possono accedere come amministratori legittimi. Per i difensori che monitorano solo gli accessi "non autorizzati", questa attività sembra normale, rendendo quasi impossibile fermarla solo con la prevenzione.
  4. Le lacune nella visibilità consentono agli avversari di rimanere in agguato.
    La stessa nota informativa riconosce che spesso i vettori di accesso iniziali rimangono sconosciuti, il che significa che le organizzazioni potrebbero non rendersi nemmeno conto di come gli aggressori siano riusciti a penetrare nei loro sistemi. Senza un monitoraggio continuo e una correlazione delle attività, gli avversari possono rimanere nascosti per mesi o anni.

Il messaggio è chiaro: la prevenzione riduce l'esposizione ma non elimina la minaccia. Contro attori dotati di risorse ingenti e sostenuti dallo Stato, i difensori devono prepararsi al compromesso e investire in capacità che consentano di identificare il comportamento degli aggressori dopo che la violazione è già avvenuta.

L'imperativo post-compromesso

Se l'avviso di agosto insegna qualcosa ai difensori, è che il rafforzamento e l'applicazione di patch sono solo una parte della soluzione. Quando gli avversari sono così determinati, l'ipotesi deve cambiare: ad un certo punto, riusciranno a entrare. La sfida diventa individuarli rapidamente, limitare il loro tempo di permanenza e fermare l'esfiltrazione prima che venga causato un danno permanente.

Cosa significa in pratica la sicurezza post-compromissione:

  1. Visibilità continua.
    Gli aggressori si mimetizzano deliberatamente nel traffico normale utilizzando tunnel GRE o IPsec oppure account amministrativi legittimi. Il rilevamento post-compromissione richiede un monitoraggio costante del traffico, delle autenticazioni e dell'attività dei dispositivi, senza affidarsi esclusivamente alle difese perimetrali.
  2. Rilevamento comportamentale, non solo firme.
    Poiché questi attori sfruttano CVE noti e poi si nascondono in tunnel crittografati, la prevenzione basata su regole e le firme statiche spesso non riescono a individuarli. I team di sicurezza devono rilevare il comportamento di persistenza (come modifiche ACL insolite, tunnel imprevisti o nuovi account) piuttosto che aspettare che compaia un modello di exploit noto.
  3. Informazioni correlate.
    Un singolo accesso anomalo può sembrare innocuo. Ma se combinato con modifiche insolite alla tabella di routing e trasferimenti di file crittografati, forma un chiaro quadro di attacco. La correlazione tra rete, identità e telemetria dei dispositivi è essenziale per scoprire campagne nascoste.
  4. Risposta più rapida.
    Una volta che gli aggressori ottengono la persistenza, il tempo gioca a loro favore. L'avviso mostra che mantengono più backdoor e ruotano tra connessioni affidabili . Il rilevamento rapido e il triage sono l'unico modo per bloccarli prima che sottraggano comunicazioni o credenziali sensibili.

In breve, la prevenzione rallenta gli avversari, ma solo la visibilità post-compromissione garantisce che non possano operare in modo invisibile una volta entrati. Per le organizzazioni prese di mira da queste campagne, tale capacità fa la differenza tra individuare tempestivamente un'intrusione e contribuire inconsapevolmente a un sistema di spionaggio globale.

Colmare le lacune con Vectra AI

L'avviso di agosto lo chiarisce: gli attori sponsorizzati dallo Stato cinese non stanno lanciando attacchi isolati. Stanno costruendo un sistema di spionaggio persistente all'interno delle reti globali. È essenziale adottare misure di rafforzamento, ma una volta che gli aggressori sono entrati, la prevenzione da sola non è sufficiente per rimuoverli.

È qui che la Vectra AI fornisce il livello fondamentale che mancava:

  • Rileva tattiche di persistenza quali modifiche dei privilegi, tunnel nascosti e uso improprio delle credenziali
  • Correlazione delle attività di utenti, host e dispositivi in chiari resoconti delle minacce su rete, cloud identità
  • Comportamento dell'attaccante nascosto nel traffico crittografato o affidabile
  • Identifica l'uso improprio di strumenti legittimi come Cisco Guest Shell e sessioni VPN.
  • Si integra con lo stack tecnologico esistente (come EDR e SOAR) per arricchire gli avvisi e accelerare la risposta.
  • Assegna priorità alle rilevazioni che corrispondono direttamente alle TTP descritte nell'avviso.

Colmando le lacune nella rilevazione e nella risposta, Vectra AI gli avversari non possano rimanere nascosti, anche dopo aver violato le difese preventive.

Gli hacker sponsorizzati dallo Stato stanno giocando una partita a lungo termine. Con il rilevamento post-compromissione, è possibile accorciarla notevolmente.

→ Guarda una demo autoguidata della Vectra AI per scoprire come funziona.

Domande frequenti