Conoscere gli hacking tool, cioè gli strumenti sfruttati dai criminal hacker per violare i sistemi delle vittime e penetrare all’interno del perimetro di difesa delle aziende, consente di acquisire numerose informazioni ed elementi tecnici utili a potenziare i propri sistemi di sicurezza.
A tal proposito, i ricercatori di Recorded Future hanno raccolto un’enorme mole di dati all’interno di migliaia di server C2 (Command and Control) utilizzati dai criminal hacker per inviare comandi e raccogliere informazioni dai malware disseminati per la Rete, individuando quelli che sembrano essere i due hacking tool più “gettonati” nel mondo del cyber crimine.
Si tratta di Cobalt Strike e Metasploit: insieme, i due tool di ricognizione erano presenti nel 25% dei 10.000 server monitorati dai ricercatori di sicurezza.
E la cosa non dovrebbe sorprendere.
Questi tool, noti anche come dual use, cioè utilizzati solitamente da operatori informatici “buoni”, non sono altro che strumenti di penetration testing e di red teaming, ovvero destinati a mettere alla prova le capacità di resistere alla penetrazione di un sistema informatico (nel primo caso, ovvero Cobalt Strike), o a simulare un attacco informatico (nel secondo, ovvero per Metasploit).
La peculiare natura di questi tool ha permesso agli aggressori e alle organizzazioni criminali di celare la propria attività, avendo le sembianze di una tipica procedura di difesa applicata da molti team aziendali di cyber security.
Indice degli argomenti
Hacking tool: per ogni gang, lo strumento prediletto
Quasi tutti i tool rintracciati durante l’attività di ricerca sono stati ricollegati ad APT (Advanced Persistent Threat) o, comunque, a threat actors di alto livello.
Cobalt Strike è uno degli “attrezzi del mestiere” preferiti da APT41 (gruppo hacker specializzato nello spionaggio e sponsorizzato dall’establishment cinese), ma anche da Ocean Lotus, gruppo APT vietnamita. Metasploit è molto gettonato tra APT Group Evilnum e Turla, un gruppo che sembra avere sede in Russia.
È interessante vedere quanto Metasploit vada per la maggiore sia all’interno di Turla, un sofisticato gruppo di spionaggio, sia di Evilnum, un gruppo mercenario che offre servizi di spionaggio aziendale a piccole e medie imprese.
Le peculiarità degli hacking tool
Altro aspetto da notare è che più del 40% degli strumenti di sicurezza utilizzati dai gruppi criminali a fini offensivi erano open source. Forse è proprio l’accessibilità di questi strumenti a renderli così attraenti ad aggressori di tutti i livelli seppur con finalità così differenti.
Metasploit è uno tool sviluppato da Rapid7, mentre Cobalt Strike, pur non essendo tecnicamente open source, è disponibile in diverse versioni su Internet a seguito del leaking del suo codice sorgente.
Essendo pronti all’uso, questi strumenti sono stati utilizzati ampiamente da diversi gruppi criminali e hacker indipendenti. Vista la loro natura lecita, inoltre, in Rete è facile trovare guide complete e manuali d’uso.
Anche se si tratta di programmi utilizzati solitamente per simulare possibili attacchi a sistemi informatici, vengono utilizzati dai gruppi organizzati per accedere a sistemi aziendali e anche dopo il primo ingresso. Essendo strumenti di ampio utilizzo, contribuiscono a rendere di difficile distinzione le “tracce” dei gruppi criminali, non lasciando una firma chiara sul luogo del delitto.
Un vero e proprio ecosistema criminale
Gli aspetti elencati finora vanno a vantaggio di criminali di tutti i tipi: gli aggressori principianti possono gestire le operazioni seguendo le indicazioni frutto di esperienze offensive del passato, mentre i gruppi di alto rango possono celare i propri attacchi, rendendoli difficili da distinguere dalle esercitazioni di sicurezza interne alle aziende.
Ovviamente, a seconda dell’approccio che la gang di hacker intende seguire, potrebbe cambiare l’insieme di strumenti utilizzato per l’attacco. Ad esempio, se viene presa di mira una persona e non un’impresa, potrebbe non esserci bisogno di ispezionare un dispositivo.
Sebbene sia Cobalt Strike sia Metasploit siano ottimi strumenti per attaccare senza correre il rischio di essere scoperti, in alcuni casi i gruppi criminali non si fanno problemi a mostrare ai difensori aziendali come individuare e tracciare l’offensiva. Il rapporto di Recorded Future, che elenca i 10 strumenti di sicurezza più comunemente usati a fini offensivi, può essere utile per informare i server C2, i sistemi di rilevazione basati su host e quelli web-based.
Come difendersi dai possibili attacchi
Il consiglio è di creare una lista di priorità, basata sulle minacce segnalate in precedenza.
Vale poi la pena controllare con maggiore attenzione le piattaforme SIEM (Security Information and Event Management) e SOAR (Security Orchestration Automation and Response) all’interno dell’azienda per rilevare comportamenti insoliti – per esempio quando due endpoint che dovrebbero comunicare con un server, comunicano tra loro.
Si tratta di un ottimo modo con il quale i team di cyber security possono aggiornarsi e informarsi sulle minacce a maggior potenziale lesivo.
Una volta completato questo step, è sempre comunque consigliato informarsi su altre minacce: i Criminal Hacker non mancano certo di spirito d’innovazione.
C’è poi da tenere sempre ben presente che purtroppo, o per fortuna, nella cyber security non esiste un “tetto” di conoscenze insuperabile che permette di dormire sonni tranquilli.
Informarsi, aggiornarsi e continuare ad imparare sono requisiti fondamentali: croce e delizia del settore.