Meta presenta una nuova kill chain adatta a ogni tipo di attacco, o quasi

Mar 28, 2023 Marina Londei Approfondimenti, Hacking, In evidenza, Minacce, News, Tecnologia 0

---

Ben Nimmo ed Eric Hutchins, due esperti di cybersecurity di Meta, hanno sviluppato una nuova kill chain più inclusiva che descrive le fasi degli attacchi per aiutare i team di sicurezza a individuarli più velocemente.

Come spiegano i due ricercatori, nel corso degli anni sono stati proposti diversi modelli di catena d’attacco, diversi tra loro per la tipologia di minaccia su cui si concentrano. Questo approccio soffre di due problemi: il primo è che manca un vocabolario comune tra le definizioni dei modelli, che può portare a incidenti di sicurezza poiché ogni team interpreta un termine in modo diverso; il secondo, il più importante, è che ogni modello analizza e descrive una specifica minaccia, ma gli attacchi reali spesso sono trasversali: sfruttano più tecniche e non possono essere categorizzati sotto un unico tipo di violazione.

Nimmo e Hutchins hanno così descritto una nuova catena d’attacco chiamata Online Operations Kill Chain, pensata per colmare le lacune dei modelli precedenti ed essere applicata a un range più ampio di minacce. Alla base dell’approccio c’è l’idea che, nonostante le differenze tra gli attacchi, essi condividano caratteristiche importanti.

Dalle più semplici alle più complesse, la nuova kill chain proposta da Meta mira a unificare i diversi tipi di operazioni. I team di sicurezza possono non solo individuare un attacco in corso riconoscendo la fase in atto, ma anche compararlo ad altri attacchi accaduti in passato, identificare i comportamenti conosciuti ed essere più veloci nella risposta. Infine, l’uso di una terminologia ben definita permette di condividere i risultati tra i team e costruire una base di conoscenza comune sulle minacce.

Le fasi della nuova kill chain di Meta

La nuova kill chain descritta da Meta è composta da 10 fasi ed è più lunga dei modelli utilizzati finora. Al contrario di questi, che iniziano tutti con la fase di riconoscimento, il modello di Meta fa qualche passo indietro e descrive anche le fasi in cui i cybercriminali raccolgono le risorse per sferrare l’attacco e in che modo le usano.

La prima fase è appunto l’acquisizione degli asset, che consiste nell’ottenimento da parte dell’attaccante di risorse quali indirizzi IP, email, account social media, domini web o malware. La seconda fase consiste nel camuffamento di queste risorse affinché sembrino autentiche. Rientrano in questa fase la creazione di foto profilo false o impersonare brand e istituzioni.

La terza fase consiste nella raccolta di informazioni sul target, tramite ad esempio scraping di informazioni pubbliche, accesso a database di password rubate, consultazione di registri open-source e studio delle vittime tramite profili su social media o altri account. Dopo queste fasi iniziali c’è quella di coordinazione e pianificazione dell’attacco, che avviene con la creazione di gruppi per il training degli attaccanti o uso di app criptate per coordinare le operazioni.

Prima di sferrare l’attacco vero e proprio, alcuni attaccanti potrebbero voler testare l’efficacia delle piattaforme di sicurezza: la quinta fase è quella in cui i cybercriminali cominciano a inviare contenuti di phishing alle vittime o testare il malware con tool di sicurezza. La sesta fase è quella di evasione, durante la quale gli attaccanti impostano tecniche per aggirare le difese della vittima. Tra queste rientrano misure tecniche per modificare gli IP durante la routine di attacco o usare dei typo per offuscare alcune frasi chiave del malware.

Le fasi sette e otto sono complementari tra loro e cercano di coprire due tipologie di ingaggi svolti dagli attaccanti. L’ingaggio indiscriminato consiste nel colpire un pubblico vasto per raggiungere quante più vittime possibile, senza definire un target specifico. L’ingaggio mirato, al contrario comprende tutti i metodi e le operazioni pensate per un pubblico specifico, quali advertising mirato, spearphishing e invio di email agli obiettivi designati.

La fase nove è quella in cui gli attaccanti cercano effettivamente di violare i sistemi e ottenere informazioni. Di questa fase fanno parte operazioni come il phishing tramite email, attività di social engineering e l’installazione di malware sui server della vittima. Infine, l’ultima fase mira a garantire una certa longevità all’attacco e di renderlo resistente ai contrattacchi.  In questa fase rientrano operazioni di sostituzione di domini web, cancellazione di log o rimpiazzare account violati. Nel caso dei gruppi APT, questa fase è critica per garantire la persistenza della minaccia.

Un modello adatto a tutti (o quasi)

La kill chain di Meta è pensata per ogni tipologia di industria e di attacco, per ogni piattaforma, per i gruppi di ricerca e anche istituzioni governative. Come indicato dai ricercatori, la metodologia è agnostica rispetto alla piattaforma ed è applicabile sia a operazioni single-platform che multi-platform. La catena di attacco illustra tutte le possibili fasi di un’operazione, ma non significa che ogni attacco le attraversi tutte; le singole fasi sono elementi modulari, che possono essere pensati a sé stanti e non dipendenti da ogni fase precedente.

Uno dei limiti del nuovo modello è che è stato ottimizzato per attacchi in cui sia l’attaccante che il target sono umani. La kill chain di Meta, per sua definizione, non contempla attacchi macchina-macchina, anche se alcune fasi possono essere applicate anche a questa casistica. Vista la diffusione degli strumenti di IA anche nel mondo del cybercrimine, il modello potrebbe essere rivisto per considerare casistiche aggiuntive che diventeranno sempre più comuni.

---

• advertising, catena d'attacco, cyberattacchi, kill chain, Meta, online operations kill chain, Phishing

---

---