Island hopping attack significa letteralmente attacco passando da un’isola all’altra. Al di là di un termine che fa sognare altri lidi e tutt’altro genere di navigazione, si tratta di campagne di hacking in cui gli aggressori minano la sicurezza. Come? Sfruttando terze parti che hanno un certo grado di accesso alle reti di quelle imprese che sono il loro vero obiettivo finale.
Island hopping attack: che cos’è e come funziona
La tecnica del salto tra le isole, infatti, è una tecnica di attacco informatico (sempre più popolare) in cui gli hacker si infiltrano nelle aziende che si occupano di risorse umane o di marketing così come servizi sanitari o distributivi, al fine di accedere a un’organizzazione target più ampia. È in questo modo che gli attori delle minacce prendono di mira le grandi organizzazioni (anche quelle che hanno attivato efficaci difese di sicurezza informatica).
Gli attacchi di island hopping avvengono attraverso:
- l’accesso a VDI (Virtual Desktop Infrastructure)
- collegamenti a reti private VPN (Virtual Private Network)
Nel caso di reverse BEC (Business Email Compromise), il criminale informatico requisisce un server di posta per poi inviare e-mail con malware. Il risultato finale di tutti questi attacchi è un assedio a lungo termine, con l’attaccante che imposta i comandi in tutta la rete, minandone la sicurezza nel profondo.
Da una strategia militare a una strategia digitale
Il termine island hopping in realtà risale al periodo della seconda guerra mondiale. Allora gli Stati Uniti stavano cercando una strategia per raggiungere il Giappone e così porre fine al conflitto. Lo schema era di seguire un itinerario che prevedeva di andare prima alle Hawaii, poi alle Isole Marshall, a Guam. Ognuna di queste isole era utilizzata come base di partenza per avvicinarsi progressivamente al nemico.
In modo analogo, in un Island Hopping attack il cybercriminale prende di mira un’azienda: il suo obiettivo è quello di sottrarre i suoi dati. L’azienda, però, ha delle ottime difese e una buona squadra di sicurezza. Così l’hacker fatica ad avere un ritorno dell’investimento rispetto al tempo speso nello sferrare i suoi attacchi informatici. È a questo punto che cambia strategia: attraverso le sue attività di ricognizione scopre che l’organizzazione che ha intenzione di attaccare fa affari con un’altra organizzazione come, ad esempio, un fornitore hardware o un partner che fornisce cibo per i dipendenti.
Sapendo di questo collegamento, l’aggressore hackera il sito di un provider di fiducia, utilizzandolo come fonte principale per ottenere informazioni dannose sull’organizzazione target.
Il movimento laterale del cybercrime
Gli esperti hanno anche concettualizzato la filosofia sottesa alla strategia di attacco dell’Island Hopping. Il riferimento è al movimento laterale moderno in cui l’attaccante, una volta atterrato su un endpoint della rete, decide di passare all’endpoint successivo. La tecnica consente di sfruttare l’intero ecosistema web-based. Non a caso, i report sulle minacce globali fotografano come la maggior parte degli attacchi venga dal Nord America dove le aziende sono tutte fortemente interconnesse, con supply chain diversificate e ramificate a livello world wide.
Non confondere la fiducia con la sicurezza
Si pensi alla fiducia riposta nel cloud, che tutti usano quotidianamente anche solo per conservare le fotografie scattate dagli smartphone. Anche in questo caso, la relazione potrebbe nascondere un attacco Island Hopping?
Il tema, infatti, è che se si riceve una mail dal nostro provider di fiducia che ci invita a caricare qualcosa o ad accedere a una determinata pagina come si reagisce? È difficile, infatti, per un utente riconoscere se sotto si nasconda o meno un attacco.
Confondere la fiducia con la sicurezza è la diretta conseguenza del fatto che gli attacchi di phishing di Apple o di Facebook siano ancora così massivi…
Come è possibile rilevare un island hopping attack?
Come ribadiscono gli esperti, il migliore per rilevare questo tipo di attacchi è quello di avere massima visibilità dell’ambiente. Molti degli strumenti tradizionali, però, non offrono una mappatura completa della rete, degli endpoint e delle applicazioni.
È importante, dunque, fare periodicamente delle fotografie degli ambienti aziendali. Grazie a queste immagini nel tempo sarà possibile identificare anomalie o verificare cosa da ripulire per mantenere sano quell’ecosistema.
3 consigli per prevenire un attacco island hopping
Le aziende devono concentrarsi sul movimento laterale e sulla raccolta delle credenziali: chi ci riesce, secondo gli esperti, riuscirà a rilevare dall’80% al 90% degli attacchi o, quantomeno, a riconoscerli quando si verificano perché, in quasi in ogni caso, gli avversari devono salire su un’altra isola e devono ottenere le credenziali per farlo.
Ecco tre consigli utili a prevenire un attacco island hopping:
- Cercare di avere sempre una corretta segmentazione della rete in modo che i fornitori non abbiano necessariamente accesso a tutti i server, ma solo al server su cui devono lavorare.
- Fare uso dell’autenticazione così come delle tecnologie che eseguono il vaulting delle password per il controllo degli account a tutti i livelli (amministratori e utenti) per un Identity Management allo stato dell’arte.
- Eseguire sempre e comunque backup continui, avendo cura di testare i restore per verificare la qualità della situazione di ripristino.
Condividere protocolli di sicurezza e best practice
Molte aziende comunicano quotidianamente con una serie di fornitori a valle di attività dannose provenienti dalle loro reti. Questo è il motivo per cui sempre più spesso i fornitori molto grandi consigliano ai propri clienti di scegliere lo stesso loro fornitore di sicurezza gestito e il loro stack tecnologico preferito. Ma c’è un altro segnale di cambiamento: le aziende stanno imparando a chiedere ai partner quali sono i tempi di risposta in caso di incidente da parte di terzi sul fermo.
I team ICT dovrebbero lavorare con i loro team legali in modo da definire il perimetro contrattuale e, se si perde qualcosa, stabilire modalità di intervento e di risarcimento in base a un punteggio condiviso.
