APT1
APT era un gruppo sponsorizzato dallo Stato noto per aver rubato enormi quantità di dati da grandi aziende e agenzie governative. Sebbene sia stato smascherato grazie alla ricerca sulla sicurezza informatica, si ritiene che le tattiche di questo attore malintenzionato siano ancora utilizzate oggi.
L'origine dell'APT1
APT1 è stato osservato per la prima volta nel 2006 ed è stato attribuito all'Esercito popolare di liberazione (PLA) cinese. Uno dei gruppi di attacco statali più prolifici al mondo, ha utilizzato tecniche sofisticate per eludere il rilevamento e rubare centinaia di terabyte di dati da oltre 140 organizzazioni nel corso di sette anni.
Il gruppo ha operato fino al febbraio 2013, quando ha iniziato a ridurre i propri attacchi dopo essere stato smascherato da un approfondito rapporto di ricerca sulla sicurezza informatica. Da allora, le aziende produttrici di software di sicurezza hanno identificato attacchi che riutilizzano alcune delle tecniche originali di APT1.
Paesi presi di mira dall'APT1
Settori presi di mira dall'APT1
APT1 era probabilmente responsabile degli attacchi contro organizzazioni operanti in un'ampia gamma di settori con infrastrutture critiche, tra cui agenzie governative, multinazionali e appaltatori della difesa.
Vittime dell'APT1
Si ritiene che APT1 abbia rubato centinaia di terabyte di dati da almeno 141 organizzazioni, dimostrando la capacità di rubare da decine di organizzazioni contemporaneamente.
Fonte: Mandiant
Metodo di attacco APT1
APT1 utilizza e-mail di spearphishing contenenti allegati o link dannosi per stabilire un punto d'appoggio all'interno di una rete.
Il gruppo sfrutta le vulnerabilità e utilizza strumenti come Mimikatz per ottenere privilegi elevati.
Utilizzano tattiche di mascheramento, come dare malware nomi malware processi legittimi.
APT1 ha scaricato le credenziali dalla memoria LSASS utilizzando strumenti come Mimikatz.
Comandi come elenco delle attività, utente di rete, e ipconfig /all vengono utilizzati per mappare la rete e il sistema della vittima.
Strumenti come RDP consentono loro di spostarsi tra i sistemi all'interno della rete.
Utilizzano script automatizzati e strumenti come GETMAIL per raccogliere e-mail e altri file importanti.
APT1 si basa sulla shell di comando di Windows e sugli script batch per l'automazione.
I dati raccolti vengono spesso compressi utilizzando RAR prima dell'esfiltrazione.
Sofisticate tecniche di evasione hanno permesso ad APT1 di rubare grandi quantità di proprietà intellettuale, acquisendo fino a 6,5 terabyte di dati compressi da una singola organizzazione in un periodo di dieci mesi.
APT1 utilizza e-mail di spearphishing contenenti allegati o link dannosi per stabilire un punto d'appoggio all'interno di una rete.
Il gruppo sfrutta le vulnerabilità e utilizza strumenti come Mimikatz per ottenere privilegi elevati.
Utilizzano tattiche di mascheramento, come dare malware nomi malware processi legittimi.
APT1 ha scaricato le credenziali dalla memoria LSASS utilizzando strumenti come Mimikatz.
Comandi come elenco delle attività, utente di rete, e ipconfig /all vengono utilizzati per mappare la rete e il sistema della vittima.
Strumenti come RDP consentono loro di spostarsi tra i sistemi all'interno della rete.
Utilizzano script automatizzati e strumenti come GETMAIL per raccogliere e-mail e altri file importanti.
APT1 si basa sulla shell di comando di Windows e sugli script batch per l'automazione.
I dati raccolti vengono spesso compressi utilizzando RAR prima dell'esfiltrazione.
Sofisticate tecniche di evasione hanno permesso ad APT1 di rubare grandi quantità di proprietà intellettuale, acquisendo fino a 6,5 terabyte di dati compressi da una singola organizzazione in un periodo di dieci mesi.
APT1 TTP
Come rilevare minacce come APT1 con Vectra AI
Migliaia di organizzazioni aziendali si affidano a potenti sistemi di rilevamento basati sull'intelligenza artificiale per individuare e bloccare gli attacchi prima che sia troppo tardi.
Domande frequenti
Che cos'è APT1?
APT1 è una minaccia persistente avanzata (APT) con origini in Cina. Si ritiene che sia uno dei gruppi di attacco statali più prolifici di tutti i tempi, sulla base dell'enorme quantità di dati rubati.
Chi c'è dietro APT1?
Si ritiene che APT1 sia legata all'Esercito popolare di liberazione (PLA) cinese. Anche se non fosse un'entità ufficiale del governo cinese, la maggior parte dei ricercatori nel campo della sicurezza informatica ritiene che il governo fosse almeno a conoscenza delle sue operazioni.
Qual è l'obiettivo principale dell'APT1?
APT1 si concentra sullo spionaggio informatico, rubando proprietà intellettuale e dati sensibili a vantaggio degli interessi strategici della Cina.
Quali strumenti e tecniche utilizza APT1?
APT1 è noto per l'utilizzo di tattiche, tecniche e procedure avanzate (TTP) per eludere il rilevamento e mantenere una presenza persistente sulle reti delle sue vittime. Queste vanno dagli phishing spear phishing al Remote Desktop Protocol.
Quanto tempo rimane in genere APT1 in una rete?
Spesso mantengono l'accesso per lunghi periodi, sfruttando le loro tecniche di persistenza.
Quali sono i settori più a rischio?
Il settore aerospaziale, della difesa e delle telecomunicazioni sono obiettivi prioritari per APT1.
Qual è il ruolo delle infrastrutture nelle operazioni di APT1?
APT1 registra e dirotta domini per phishing, comando e controllo ed esfiltrazione di dati.
Quali sono le implicazioni di un attacco APT?
Una volta che un APT ha aggirato gli strumenti di prevenzione della sicurezza, gli aggressori utilizzano tecniche altamente sofisticate per avanzare nella rete e ottenere l'accesso ad account privilegiati. APT1 era particolarmente abile nell'eludere il rilevamento, consentendo al gruppo di rimanere nascosto per mesi o addirittura anni. Ciò ha portato al furto di enormi quantità di dati.
Qual è il modo migliore per prevenire gli attacchi APT?
Sebbene sia impossibile garantire una prevenzione al 100%, alcune misure di sicurezza possono aiutare a tenere a bada gli attacchi APT. Tra queste figurano l'uso di password complesse, la formazione dei dipendenti sui pericoli del phishing e i protocolli di autenticazione.
Come possono le organizzazioni rilevare e bloccare gli attacchi APT?
Una volta che un attacco APT ha aggirato i tuoi strumenti di prevenzione, il rilevamento in tempo reale diventa essenziale. Il modo migliore per individuare e bloccare gli aggressori è ricorrere a sistemi di rilevamento basati sull'intelligenza artificiale, progettati per identificare le tattiche, le tecniche e le procedure più recenti e per distinguere le attività semplicemente sospette dalle minacce reali.