Attacchi Island Hopping: cosa sono e come proteggersi

2022/12/27

Il salto da un’isola all’altra probabilmente suona più come un’attività che svolgeresti alle Bahamas piuttosto che come una strategia di attacco, ma in realtà è usato abbastanza spesso dai criminali informatici che cercano di prendere di mira le reti senza hackerarle direttamente. Allora, cos’è un attacco da un’isola all’altra e come puoi proteggerti da esso?

Cos’è un attacco da un’isola all’altra?

Il termine “salto da un’isola all’altra” deriva dalla seconda guerra mondiale. Le forze armate statunitensi volevano raggiungere il Giappone continentale e dovevano spostarsi da un’isola all’altra, utilizzando ognuna come trampolino di lancio per la successiva, con la terraferma come obiettivo principale. All’epoca era noto come leapfrogging.

immagine di una roccia in primo piano a fuoco e alberi sull'isola a fuoco sul lago di scintille

In un attacco da un’isola all’altra, gli autori delle minacce inseguono i tuoi partner e altri associati di terze parti, sfruttando le loro vulnerabilità informatiche per accedere alla tua rete più sicura. Questi attori delle minacce sono entità o individui che partecipano ad azioni che minano o hanno il potenziale per influenzare la sicurezza informatica della tua organizzazione. Possono fare di tutto per aggirare i firewall del loro obiettivo e un metodo efficiente è il salto da un’isola all’altra.

Le aziende manifatturiere, finanziarie e di vendita al dettaglio sono principalmente gli obiettivi di questa forma di attacco informatico. In casi come questi, i sistemi di sicurezza del bersaglio sono ermetici e in gran parte immuni alle invasioni dirette, quindi gli hacker passano attraverso partner notevolmente meno sicuri.

Questi partner sono considerati affidabili dall’organizzazione target e sono connessi alla sua rete. Gli hacker sfruttano la relazione di fiducia e attaccano i complessi meccanismi di difesa del vero bersaglio attraverso i suoi legami deboli con altre organizzazioni.

Come funziona l’attacco Island Hopping?

Un uomo che digita su un PC in sfondo binario verde

Gli attacchi island hopping sono efficaci perché non attivano avvisi nel sistema di sicurezza del bersaglio. Questi avvisi vengono generalmente attivati quando si verifica un tentativo di accesso alla rete host da un dispositivo non attendibile o non registrato. Le voci dei partner sono raramente contrassegnate; gli attori delle minacce approfittano di questa mancanza.

Esistono tre metodi standard che gli attori delle minacce adottano nella loro missione da un’isola all’altra.

1. Attacco basato sulla rete

Questo metodo prevede l’infiltrazione nella rete di un’organizzazione e il suo utilizzo per accedere a un’altra rete associata. In questo attacco, gli attori delle minacce di solito perseguono il Managed Security Service Provider (MSSP) dell’organizzazione.

Gli MSSP sono fornitori di servizi IT che vendono sicurezza a piccole imprese e grandi organizzazioni, proteggendole dalle minacce alla sicurezza informatica. Usano software, o un team di personale, per rispondere a queste minacce non appena si verificano. Molte aziende esternalizzano il proprio dipartimento di sicurezza IT a questi MSSP, rendendo i fornitori un bersaglio per gli hacker.

2. Attacchi di abbeveratoio

Questa forma di salto da un’isola all’altra comporta l’infiltrazione nei siti frequentati dai clienti, dai partner commerciali e dai dipendenti dell’obiettivo principale. I cattivi attori valutano la sicurezza dei siti e inseriscono collegamenti dannosi quando trovano punti deboli.

Questi collegamenti portano a piattaforme compromesse che iniettano automaticamente malware nel computer. Una volta che il malware iniettato è operativo, gli autori delle minacce possono utilizzare le informazioni raccolte per ottenere l’accesso all’obiettivo principale.

3. Compromissione dell’e-mail aziendale

Immagine dei dati di phishing degli hacker

Una truffa di phishing è solitamente il primo passo in questo metodo. I criminali informatici si atteggiano a un’entità aziendale rispettabile. Yahoo, Facebook e le famose banche commerciali vengono utilizzate principalmente in questi attacchi, poiché gli hacker inviano collegamenti dannosi nelle e-mail di spam.

Una volta che l’esca è stata presa e il collegamento è stato cliccato, gli hacker utilizzano malware per compromettere il computer dell’utente. Questo metodo si rivolge a funzionari di alto rango o dirigenti dell’organizzazione.

Il software Keylogger viene talvolta utilizzato qui per rubare gli account di posta elettronica di questi dirigenti. Le informazioni sensibili vengono sottratte dagli account di posta elettronica e quindi utilizzate per infiltrarsi nell’organizzazione bersaglio.

Precedenti Island Hopping: Target e SolarWinds

Nel 2013, una delle più grandi società di vendita al dettaglio degli Stati Uniti, Target, è stata coinvolta in un incubo da un’isola all’altra. E nel 2020, SolarWinds, un fornitore di gestione IT, è stato vittima di un attacco da un’isola all’altra.

Target: L’incubo di una stagione festiva

Gli attori delle minacce hanno compromesso il sistema del punto vendita di Target e rubato le informazioni finanziarie di circa 40 milioni di clienti. Ciò ha portato Target a pagare la più grande transazione per violazione dei dati di sempre .

Sono stati concordati 18,5 milioni di dollari per risolvere 47 stati e il Distretto di Columbia dopo che gli hacker hanno rubato la maggior parte dei dati delle carte di credito e di debito dei clienti del gigante della vendita al dettaglio durante le festività natalizie del 2013. Questa violazione dei dati è costata a Target oltre $ 300 milioni. Ma questo non è stato un attacco diretto ai server dell’azienda.

È iniziato con Fazio Mechanical Services, un’altra azienda che fornisce a Target riscaldamento e refrigerazione. Hanno subito un attacco di malware due mesi prima della violazione della sicurezza di Target. Gli autori delle minacce hanno eliminato le credenziali e-mail e le hanno utilizzate per accedere ai server di Target.

SolarWinds

Questo attacco ha colpito più di 18.000 aziende e persino dipartimenti del governo degli Stati Uniti. Tutti gli interessati avevano una cosa in comune: un fornitore di gestione IT chiamato SolarWinds.

Come per gli attacchi da un’isola all’altra, SolarWinds non era l’obiettivo principale. Con il numero di dipartimenti del governo degli Stati Uniti colpiti, si vociferava che gli hacker fossero sostenuti dal governo russo , sperando di destabilizzare il Congresso degli Stati Uniti.

SolarWinds ha confermato per la prima volta l’attacco nel dicembre 2020, sebbene non sia stato rilevato per diversi mesi. Nel marzo 2021, gli hacker hanno rubato le credenziali e-mail dal Department of Homeland Security, anche se la maggior parte dei dipartimenti governativi aveva avvertito i propri dipendenti di chiudere Orion, il prodotto SolarWinds interessato. Gli attacchi hanno colpito anche i dipartimenti dell’energia, del tesoro e del commercio, Mimecast e Microsoft.

Come proteggersi dagli attacchi che saltano da un’isola all’altra

Con la prevalenza del salto da un’isola all’altra, dovresti adottare misure per impedire che la tua rete e i tuoi server vengano attaccati da malintenzionati. Ecco alcuni modi per farlo.

1. Utilizzare l’autenticazione a più fattori

L’autenticazione a più fattori prevede l’utilizzo di vari controlli di verifica, come le impronte digitali e le conferme dell’ID, per confermare l’identità di chiunque tenti di accedere alla tua rete. Questo ulteriore livello di sicurezza, sebbene noioso, si rivela sempre utile. Gli hacker con credenziali di accesso rubate troveranno quasi impossibile superare un controllo di conferma dell’impronta digitale o una verifica dell’ID facciale.

2. Avere un piano di risposta agli incidenti in standby

Gli attacchi da un’isola all’altra assumono molte forme e talvolta i normali protocolli di sicurezza potrebbero non essere sufficienti per prevenire qualsiasi evento. Il tuo software di sicurezza deve essere aggiornato costantemente man mano che gli attacchi da un’isola all’altra diventano più sofisticati. Inoltre, è meglio avere un team di risposta agli incidenti in standby per occuparsi di minacce impreviste che possono superare la sicurezza e affrontare le minacce più recenti.

3. Adotta gli ultimi standard di sicurezza informatica

Molte organizzazioni riconoscono i rischi del passaggio da un’isola all’altra e hanno stabilito standard di sicurezza informatica per eventuali partner e associati. Consigliare ai partner attuali di aggiornare i loro sistemi di sicurezza; quelli senza controlli avanzati dovrebbero avere un accesso limitato alla tua rete.

Non essere una vittima: limita l’accesso o aggiorna la tua sicurezza

Gli attacchi da un’isola all’altra sono diventati più diffusi. Le organizzazioni con protocolli di sicurezza lassisti rischiano di essere vittime di autori di minacce a meno che non aggiornino i propri sistemi.

Tuttavia, è necessario di più. I partner di terze parti senza sistemi di sicurezza avanzati rappresentano un rischio e non dovrebbero avere accesso illimitato. Se limitare l’accesso è impossibile, tali partner dovrebbero aggiornare i propri sistemi.