APT: Scenari Geopolitici e Sviluppi Futuri delle Minacce più Rilevanti della Cyber Security

7 
 
CAPITOLO 1 
INTRODUZIONE 
Questo elaborato si pone l’obiettivo di approfondire un tema di grossa rilevanza per la 
cyber security mondiale, ovvero di studiare in dettaglio le minacce portate dalle 
Avanced Persistent Threat, di seguito denominate APT. Vittime prescelte, come 
vedremo in seguito, dalle APT sono privati, aziende, multinazionali, organizzazioni e 
enti governativi.  
Alleato delle APT è sicuramente l'attuale situazione mondiale: il COVID-19 prima, la 
guerra tra Russia e Ucraina e in generale le tensioni internazionali ora, hanno portato 
ad una conseguente crisi energetica e ad una situazione di paura e incertezza come non 
si vedeva da tantissimo tempo. 
La maggior parte degli attacchi è effettuata da gruppi organizzati che perseverano una 
missione specifica e dietro ogni attacco ci sono alle spalle grosse organizzazioni, spesso 
governi. Al giorno d’oggi, sempre più spesso si fa ricorso all’intelligenza artificiale per 
portare attacchi complessi, in quanto si possono automatizzare numerose tecniche. 
Esiste un vero e proprio ciclo di vita di un attacco APT, identificato in sette fasi, alcune 
delle quali cicliche. 
Oltre all’attacco, è ancor più importante prevenirle, scovare e combattere le APT; 
innanzitutto, è importantissimo avere una visione completa dell’organizzazione che si 
vuole difendere per identificare il perimetro, e poi successivamente scegliere gli 
strumenti necessari per combattere e cercare di evitare tali minacce. 
Negli anni è stato creato e studiato un framework, in costante aggiornamento, chiamato 
MITRE ATT&CK, che rappresenta una sorta di "enciclopedia" sulle minacce APT 
studiate da tutta la community della security, le quali vengono suddivise in tecniche, 
tattiche, procedure e comportamenti utilizzati dagli attaccanti. 
Esistono numerose tecniche di rilevazione e contrasto delle APT, e non tutte sono 
trattate dal MITRE ATT&CK. Le APT sono una piccola parte del mondo degli 
attaccanti, anche se forse la più significativa in termini di pericolosità e anonimato,
8 
 
ma c’è un’altra grandissima fetta di attaccanti, più piccoli, che continuano a 
perseverare e portare attacchi verso un target sempre più eterogeneo. 
Gli esempi più famosi di APT sono stati nel passato Stuxnet e Deep Panda, che hanno 
rispettivamente colpito il programma nucleare iraniano e l’Office of Personnel 
Management del governo statunitense. 
Lo scenario presente ed il futuro sono in continua evoluzione, vi sono tantissimi studi 
e ricerche che raccontano come rilevare gli attacchi utilizzando il deep learning e altri 
sistemi quali Artificial Immune System; questo modello, per esempio, si può applicare 
nei sistemi di Intrusion Detection System. 
La tesi si compone di sei capitoli: il primo, il presente, introduce il lettore al tema; il 
secondo descrive struttura e comportamento delle APT; il terzo presenta il framework 
MITRE ATT&CK e le APT che tratta; il quarto delle altre tecniche di rilevazione e 
contrasto alle APT rispetto a questo descritto nel capitolo precedente; il quinto capitolo 
i nuovi approcci per rilevare gli attacchi APT, e per ultimo il capitolo sei con le 
conclusioni ed una panoramica sugli sviluppi futuri. 
Buona lettura.
9 
 
CAPITOLO 2 
 
APT: STRUTTURA E COMPORTAMENTO 
2.1 Che cosa sono le APT 
APT sta per Advanced Persistent Threats, ovvero una delle insidie più rilevanti per la 
cyber security a livello mondiale [1]. Nessuna istituzione può ritenersi immune dalle 
APT, soprattutto perché questo fenomeno coinvolge e colpisce sia enti governativi che 
grandi aziende [2]. 
Abbiamo diversi esempi di APT: Stuxnet ha colpito e affondato il programma nucleare 
iraniano; Deep Panda ha compromesso più di 4 milioni di record del personale degli 
Stati Uniti attaccando l’Office of Personnel Management del governo statunitense [3]; 
APT34 ha preso di mira organizzazioni governative e società finanziarie, energetiche, 
chimiche e di telecomunicazioni in Medio Oriente. 
Gli attacchi, anno dopo anno, sono in costante crescita, soprattutto perché aumenta la 
superficie d’attacco (attack surface) e di conseguenza è necessario attuare delle 
contromisure sempre più mirate per difendersi da questi attacchi. Si stima che il 
mercato globale riguardante gli strumenti di protezione avanzata dalle APT in tutto il 
mondo raggiungerà nel 2024 un valore stimato di 10,6 miliardi di dollari all’anno. 
In questi ultimi anni, soprattutto a causa della pandemia da COVID-19 e la successiva 
guerra tra Russia e Ucraina poi, il numero di casi segnalati relativi alle APT è 
notevolmente aumentato, creando lo scenario ideale per il lancio di nuovi attacchi, 
sempre più distruttivi. 
 
Le Advanced Persistent Threats rappresentano un attacco informatico complesso e 
selettivo che, mediante una serie di azioni illegittime, ottengono un accesso non 
autorizzato ai sistemi di informazione e comunicazione, e quindi a dati riservati con la 
conseguenza di poter causare grandissimi danni a un’azienda, un’industria o 
un’organizzazione governativa.
10 
 
Il NIST (National Institute of Standards and Technology) [4], agenzia del governo degli 
Stati Uniti d'America che si occupa della gestione delle tecnologie ma che ha sempre 
più rilevanza anche in Europa, ha definito l’APT come un avversario che è in grado di 
raggiungere i propri obiettivi malevoli utilizzando vettori di attacco sia informatici che 
fisici, poiché possiede livelli sofisticati di competenza e risorse significative. È capace 
di adattarsi e resistere alle difese dei sistemi coinvolti, con lo scopo di perseguire i 
propri fini e di restare all’interno del sistema il più a lungo possibile (mesi o addirittura 
anni), mantenendo un livello di interazione minimo, necessario per eseguire i suoi 
compiti illeciti. 
Il termine di Advanced Persistent Threat è stato coniato nel 2006 dagli analisti della 
Air Force statunitense. Utilizzando questo termine, le unità militari potevano discutere 
e commentare le attività intrusive dei vari attacchi senza rivelarne l’identità. 
I tre termini, dunque, hanno il seguente significato: 
● Avanzata: l’attaccante è un esperto di intrusioni, possiede strumenti e tecniche 
che gli permettono di sviluppare exploit mirati. 
● Persistente: lo scopo dell’attaccante è quello di attaccare obiettivi specifici e di 
persistere il più a lungo possibile. 
● Minaccia: l’attaccante è motivato ad infliggere danni per perseguire il suo scopo. 
 
 
La caratteristica principale che differenzia le APT dalle altre tipologie di cyber minacce 
sta nella durata nel tempo e nella difficoltà di identificazione dell’attacco e 
dell’attaccante. Un APT adotta un comportamento strategico e furtivo rispetto agli altri 
malware che invece tendono a sferrare attacchi rapidi e dannosi. Talvolta le APT si 
servono dei malware tradizionali come Trojan o phishing per poi coprire le loro tracce 
spostandosi segretamente all’interno del sistema e al momento opportuno sferrare un 
attacco in tutta la rete. 
Solitamente dietro ogni APT vi sono intere nazioni o grandi organizzazioni mondiali. 
Google ed altre aziende statunitensi, ad esempio, nel 2009 sono state vittima di un 
attacco APT (Operation Aurora) [5] e dietro questi attacchi, secondo varie fonti, 
c’erano organizzazioni cinesi che, sfruttando un bug nel sistema, sono riuscite a
11 
 
installare un Trojan chiamato Hydraq [6]. Oltre a Google vi erano altre vittime come 
Adobe System, Juniper Networks e Rackspace. Anche altre aziende sono state 
coinvolte, ma non tutte hanno seguito l’esempio di Google, la quale una volta che ha 
scoperto l’attacco nel 2010, lo ha immediatamente divulgato. 
Ogni attacco APT presenta una serie di elementi comuni: origine di un attacco, risorse, 
obiettivi, attori, metodi, tempistiche e valore d’attacco. 
• Gli attori: sono gruppi di persone che hanno il compito di effettuare attacchi per 
raggiungere uno scopo specifico. Spesso dietro di loro ci sono stati nazionali, 
grosse organizzazioni e corporazioni. 
• Gli obiettivi: gli obiettivi o gli scopi sono principalmente quelli di reperire in 
modo illecito qualsiasi tipo di informazioni della vittima per un periodo 
prolungato. 
• Le tempistiche: il fulcro degli attacchi sta nel fatto di garantire l’accesso illecito 
agli aggressori e mantenere tale accesso il più a lungo possibile in termini di 
tempo in modo da consentire agli attaccanti di spostarsi e tornare più volte nel 
sistema vittima dell’attacco. 
• Le risorse: ogni APT richiede ingenti risorse sia per la pianificazione dell’attacco 
che per la sua attuazione. 
• I metodi: le Advanced Persistent Threats richiedono e impiegano tecniche e 
competenze di sicurezza elevate e sofisticate. 
• L’origine dell’attacco: può avvenire anche su più luoghi in contemporanea; può 
capitare che alcuni di questi attacchi servano soltanto a distrarre i team di 
sicurezza, in modo poi da poter sferrare quello primario su un determinato 
sistema. Gli attaccanti spesso pianificano e studiano i punti deboli dei sistemi 
vittima, in modo che mappando le debolezze si trovi il punto di ingresso più 
proficuo per entrare nel sistema. 
• Il valore dell’attacco: ovvero la dimensione dell’attacco stesso. Le vittime 
preferite dalle APT sono le grosse organizzazioni, in quanto vi sono in gioco 
molti più interessi rispetto alle piccole aziende.