Un Advanced Persistent Threat (APT) è una categoria di attori della minaccia che conduce attacchi informatici prolungati, altamente mirati e sofisticati contro specifici target strategici. I tre aggettivi del nome descrivono con precisione le caratteristiche distintive:
Advanced: uso di exploit zero-day, strumenti malware sviluppati su misura (custom implants), tecniche di evasione avanzate che eludono antivirus e EDR tradizionali. Le capacità tecniche e le risorse a disposizione sono significativamente superiori alla criminalità informatica ordinaria.
Persistent: presenza nella rete del target per mesi o anni prima del rilevamento o prima di realizzare l’obiettivo. Il dwell time medio storico (tempo tra l’infezione e il rilevamento) è stato attorno ai 200 giorni, secondo i report annuali di Mandiant/CrowdStrike — sebbene sia sceso negli ultimi anni grazie al miglioramento delle capacità di detection.
Threat: attori con motivazione, finanziamento e obiettivi specifici. La stragrande maggioranza degli APT sono correlati a governi nazionali o sponsorizzati da essi, anche se operano spesso tramite contractors e gruppi criminali con relazioni di comodo.
Motivazioni e obiettivi
Gli APT operano per obiettivi strategici a lungo termine, non per guadagno economico immediato:
- Spionaggio: raccolta di segreti di Stato, proprietà intellettuale, know-how industriale. La sottrazione di anni di ricerca e sviluppo da aziende farmaceutiche, aerospaziali o della difesa rappresenta un vantaggio competitivo e strategico enorme.
- Sabotaggio e warfare: distruzione di infrastrutture critiche, degradazione delle capacità militari e industriali del target.
- Posizionamento strategico: mantenere l’accesso e la capacità di colpire in futuro — i sistemi infetti diventano sleeper agents attivabili in caso di escalation.
- Influenza e disinformazione: raccolta di informazioni per operazioni di influenza politica, dossieraggio di oppositori e funzionari stranieri.
Gruppi APT noti
La denominazione dei gruppi APT varia per vendor (CrowdStrike usa animali per paese: Bears per Russia, Pandas per Cina, Kittens per Iran; Mandiant usa numerazione APT1, APT28, ecc.):
| Gruppo (Mandiant) | Denominazione alternativa | Paese attribuito |
|---|---|---|
| APT28 | Fancy Bear (CrowdStrike) | Russia — GRU (intelligence militare) |
| APT29 | Cozy Bear / Midnight Blizzard | Russia — SVR (intelligence estera) |
| APT1 | Comment Crew | Cina — PLA Unit 61398 (Esercito Popolare) |
| APT41 | Winnti / Double Dragon | Cina — MSS con operazioni criminali |
| APT33 | Elfin / Refined Kitten | Iran — IRGC (Corpo delle Guardie Rivoluzionarie) |
| Lazarus Group | ZINC / Bluenoroff | Corea del Nord — RGB (intelligence estera) |
Casi documentati
Stuxnet (2010): il primo cyberweapon documentato. Progettato da NSA e Unit 8200 israeliana per sabotare le centrifughe di arricchimento dell’uranio a Natanz (Iran). Usava quattro zero-day Windows contemporaneamente — record assoluto.
SolarWinds (2020): APT29 ha compromesso il sistema di build di SolarWinds Orion, inserendo una backdoor (SUNBURST) negli aggiornamenti software firmati distribuiti a 18.000 clienti, tra cui agenzia governative USA (Treasury, Commerce, State Department) e aziende Fortune 500. Considerato uno degli attacchi supply chain più impattanti della storia.
NotPetya (2017): mascherato da ransomware, era in realtà un wiper distruttivo attribuito a Sandworm (GRU). Causò danni stimati in $10 miliardi, colpendo Maersk, FedEx/TNT, Merck e Mondelez. Si propagò tramite l’aggiornamento compromesso del software contabile ucraino MeDoc.
Difesa e rilevamento
La difesa contro gli APT richiede capacità che vanno oltre le protezioni perimetrali tradizionali:
Threat Intelligence: abbonamento a feed di IOC (Indicator of Compromise) aggiornati — hash di malware noti, indirizzi IP dei C2, domini di staging. Le piattaforme MISP e OpenCTI permettono la condivisione strutturata di TTP basate su MITRE ATT&CK.
Threat Hunting: ricerca proattiva di tracce di compromissione in log ed endpoint telemetry, senza attendere un alert automatico. Il threat hunter formula ipotesi (es. “c’è un processo che chiama net.exe con parametri inusuali?”) e le verifica nei dati storici dell’EDR.
Segmentazione di rete e Zero Trust: limitare il movimento laterale assumendo che la compromissione sia già avvenuta. Ogni comunicazione est-ovest deve essere autenticata e autorizzata, non basta il perimetro.
Incident Response plan: avere procedure testate per l’eradicazione di una compromissione APT. Il playbook deve includere la preservazione forense delle evidenze, la notifica alle autorità (CSIRT nazionale) e la comunicazione alla supply chain se la compromissione può aver propagato malware a terzi (scenario SolarWinds).
Vedi anche: Attacco Informatico, EDR, SIEM.