AO_411

GENNAIO-FEBBRAIO 2019 AUTOMAZIONE OGGI 411 73 esperti potranno utilizzare si- stemi guidati dall’intelligenza artificiale per migliorare i propri attacchi e sfruttare una migliore scalabilità. In definitiva, sarà sempre più difficile distinguere tra attac- chi eseguiti da esseri umani o alimentati dall’IA, poiché le due tipologie si fonderanno sempre più l’una con l’altra. Gli attacchi guidati dall’IA identificati da Darktrace Negli ultimi 12 mesi l’En- terprise Immune System di Darktrace ha analizzato e identificato numerose mi- nacce avanzate che hanno raggiunto particolari livelli di sofisticazione in ogni fase del ciclo di vita dell’attacco: dal movimento laterale al traffico command & control all’estrazione dei dati. Esami- nando attentamente ciò che rende queste minacce così pericolose, possiamo estra- polarle e prevedere come evolveranno in futuro attacchi simili, alimentati dall’intelligenza artificiale e dalla consapevolezza con- testuale. Uno dei casi ha coinvolto un dipendente di uno studio legale, vittima di una campagna di spam che ha portato a un’infe- zione da malware Trickbot. Trickbot è un malware di tipo oppor- tunistico che si insinua nella rete, mantenendosi sotto i radar, per rubare informazioni. Il malware è modulare e contiene funziona- lità di worming che utilizzano exploit SMB, simili a WannaCry. In pochi minuti dall’infezione del paziente zero, Trickbot si è diffuso in oltre 20 altri dispositivi sulla rete con servizi SMB obsoleti. Anche se il team di sicurezza ha rilevato immediatamente l’infezione di Trickbot, contenere e neutralizzare l’attacco è stato costoso: il team di sicurezza umana, infatti, non è riuscito a reagire abbastanza ve- locemente e il modulo di worming è entrato in azione. Diverse ore dopo l’infezione iniziale, due macchine hanno mo- strato segni del quadro post-infezione di Empire Powershell. Si tratta di un nuovo sviluppo mai registratosi prima del giugno 2018. Infatti, mentre Trickbot è solitamente un malware di tipo opportunistico che tenta di infettare quante più vittime possi- bile utilizzando semplicemente più C2 ‘tradizionali’, Empire è comunemente usato dagli aggressori umani più capaci per fa- cilitare attacchi nascosti ‘hands-on-keyboard’. I moduli Empire Powershell sono stati probabilmente aggiunti a Trickbot per una migliore persistenza e per facilitare l’accesso ai sistemi di destinazione da parte di chi attacca e gestisce l’infrastruttura di Trickbot. Ciò consente agli aggressori di condurre intrusioni manuali in modo conveniente, utilizzando Empire per le attività post-infezione che mirano a obiettivi di alto valore e diversifi- cando i propri payload per massimizzare i profitti: rubando ad esempio prima i dettagli bancari, quindi bloccando l’accesso della vittima al proprio computer e costringendola a pagare un riscatto per riottenerlo. Darktrace ha avvertito il cliente sotto attacco che il malware era stato scaricato da una fonte esterna insolita su Internet, il canale C2, e ha identificato immediatamente il movimento late- rale, svolgendo un ruolo inestimabile nell’operazione di pulizia e rivelando l’attività Empire post-infezione non appena iniziata. In futuro, questi attacchi saranno sempre più comuni e pericolosi perché il malware guidato dall’IA si auto-propagherà attraverso una serie di decisioni autonome, adattate in modo intelligente ai parametri del si- stema infetto. Sele- zionerà per conto proprio qualsiasi metodo appaia più efficace per l’am- biente di destina- zione e lo utilizzerà per spostarsi lateral- mente e apprendere i comportamenti dei dispositivi in- fetti. Prendendo queste decisioni in modo autonomo, al malware non sarà richiesto alcun ca- nale C2 perché l’attacco si propaghi e completi la sua missione. Eliminando la necessità di C2, l’attacco diventerà ancora più furtivo e più pericoloso. Un altro caso interessante ha coinvolto invece un’azienda energetica e idrica, in cui Darktrace ha rilevato un dispositivo infettato da malware che aveva adottato misure apposite per mascherare la sua attività come legittima. Un file, scaricato sul dispositivo dalla piattaforma cloud Amazon S3, ha stabilito una backdoor sulla rete. Anche se stabilire una backdoor non è raro, il programma ha anche mostrato segni di integra- zione nell’ambiente. Il malware ha utilizzato il proprio certificato SSL autofirmato sul portale windowsupdate.microsoft.com . Il di- spositivo ha quindi inoltrato richieste Http(s) successive diretta- mente a un indirizzo IP controllato da un utente malintenzionato utilizzando il certificato falso di Windows. Il certificato autofirmato ingannava i controlli di sicurezza tra- dizionali e l’attività è stata rilevata solo perché l’intelligenza artificiale di Darktrace è stata in grado di comprendere come le comunicazioni esterne del dispositivo fossero irregolari, ba- sandosi su ciò che aveva appreso sul normale ‘modello di vita’ del dispositivo. Mentre le comunicazioni regolari a microsoft. com venivano viste nell’ambiente dominato da Windows, l’indi- rizzo IP di destinazione per la comunicazione Http(s) era molto anomalo rispetto al resto della rete, specialmente considerando l’utilizzo di un certificato autofirmato. Questo esempio dimostra come l’IA utilizzata come arma sia in grado di adattarsi rapida- mente all’ambiente che infetta. Imparando dalle informazioni contestuali, mirerà in modo sempre più specifico ai punti deboli che scopre, o imiterà gli elementi del sistema in cui solitamente Gruppi di aggressori umani esperti potranno utilizzare sistemi guidati dall’intelligenza artificiale per migliorare i propri attacchi