Processi di comunicazione beacon: cosa sono e perchè sono pericolosi?
Che cos’è un processo di comunicazione beacon?
Da alcuni anni l’incremento delle attività da parte di cyber-gruppi dediti a operazioni di attacco, ha portato all’osservazione di metodi di intrusione più sofisticati.
Il beacon è un processo usato per questo scopo, in grado di raggiunge spesso in modalità silenziosa, le periferiche computer come client e server. L’installazione di tale componente può avvenire anche tramite l’apertura di pagine o siti web, inviati alle caselle email tramite campagne di truffa, sotto forma di richieste, come ad esempio “clicca qui per…”, tramite allegati manipolati (false bollette di gestori energia/telefonici, false cartelle esattoriali di Equitalia…).
Attenzione, una volta attivato, il processo beacon manterrà un intervallo di tempo (in genere non inferiore a ventiquattro ore), in cui non eseguirà nessun tipo di operazione. Passato questo periodo il beacon provvederà a contattare il cyber-gruppo che lo ha generato, in ascolto tramite una porta di comunicazione preimpostata nelle impostazioni del processo. I sistemi di difesa di ultima generazione a volte faticano a rilevare e bloccare sul nascere, lo scambio dei primi comandi, spesso camuffati come se fossero normali visite a siti web di un utente. Scoprire questo primo contatto, è una manovra complessa anche per un amministratore di rete IT.
Ultimata la fase di prima attività del beacon, i cyber-criminali potranno ottenere rapidamente le informazioni del computer infettato, ed avviare operazioni laterali, ovvero scoprire come è formata la rete interna aziendale, e se i server che mantengono tutte le informazioni degli utenti di dominio sono attivi nella sede dell’organizzazione vittima. Sarà semplice per il cyber-gruppo trasportare gli strumenti di rottura (crack) dei servizi interni di dominio, per poi avviarli e tentare di ottenere i privilegi di amministratore di rete IT. Se fossero ottenuti, il cyber-gruppo avrebbe accesso a tutte le informazioni salvate nei server di dominio.
Perchè è difficile individuare un beacon attivo in un computer?
I cyber gruppi criminali o dediti allo spionaggio industriale, considerano la presenza di controlli di ultima generazione come EDR (Endpoint Detecion Response) nelle odierne organizzazioni. Nascondere per mesi la comunicazione con la sede di comando del cyber-gruppo, è una realtà. I beacon programmati con tecniche sempre migliori, sono in grado persino di eludere protezioni EDR, impegnate nella ricerca delle funzioni usate dagli intrusi per attendere ore, senza che venga riconosciuta la loro presenza come pericolosa o indesiderata.
In scenari in cui il cyber-attacco sia avvenuto, ed una soluzione di difesa non fosse riuscita a rilevare traccia di un ipotetico beacon attivo, è possibile integrare la protezione di un firewall perimetrale. Esso dovrà ricevere dal proprio produttore, impronte di sequenze byte da comparare con il traffico di rete generato dall’organizzazione verso la rete internet, indirizzi IP usati e mantenuti dai cyber gruppi, al fine di bloccare queste transazioni in uscita dalla rete dell’ufficio.
Un beacon può essere attivo anche in un sistema operativo Linux?
Sì, nell’anno 2021 è stata rilevata la prima versione beacon costruita appositamente per il sistema Linux. Questo aspetto tende a confermare che i cyber-gruppi, sono sempre più interessati ad entrare anche in ambienti di dominio non solo amministrati da prodotti di Microsoft, ma anche con alternative di Redhat, Suse, Oracle, oppure totalmente libere (progetti open-source).
Cosa posso fare per aumentare la protezione dei miei dati?
Una soluzione per mantenere i dati più al sicuro, sono le aree cloud.
Un cyber-gruppo impegnato a sabotare dati presenti nel cloud, si scontrerebbe con i meccanismi di difesa gestiti dal provider cloud. I dati in cloud possono essere predisposti in due aree, produzione e backup, le rispettive posizionate in due datacenter di diversa posizione geografica.
In caso di incidente, i computer utente impegnati a lavorare nell’area di produzione, possono essere scollegati salvaguardando l’integrità degli ultimi dati aggiornati nell’ultime ore. Come risaputo, il cyber attacco potrebbe alterare la natura dei dati tramite la criptatura nel più breve tempo possibile, rendendo definitivamente i dati indisponibili all’organizzazione.
Per proteggersi anche da tale caso, è necessario disporre fin da subito di un sistema di disaster-recovery con il cloud provider.
L’accesso ai dati salvati nelle aree di disaster-recovery, è oggi disponibile tramite l’autenticazione a due fattori (password ed ulteriore riconoscimento con device personale). Quest’ultima permette poi l’accesso ai dati precedentemente protetti dal cloud provider con specifiche chiavi, in modo che solo il personale autorizzato e riconosciuto vi possa accedere.
Un accesso di tipo tunnel VPN dedicato per accedere all’area cloud è efficace?
Sì, a patto che ogni utente con diritto di accesso, abbia attivo il controllo a due fattori (password e codice dinamico generato con il proprio smart-phone) per poter accedere all’area cloud con il tunnel.
Quest’ultima area non dovrebbe mai permettere ai server dati, di contattare di propria iniziativa la rete internet; la regola restrittiva eviterebbe ai server di inizializzare dall’interno, un contatto con un cyber-gruppo.
Posso essere preventivamente avvisato se vi fossero dei problemi con i miei dati salvati nel cloud?
I cyber gruppi sono intenzionati a compiere la manovra di fermo schedulazioni, e cancellazione delle aree backup, in modo da obbligare l’organizzazione vittima a dipendere quasi totalmente dalle richieste di ricatto.
Il controllo delle schedulazioni e copie dati predisposte dal cloud provider è difficile da fermare e cancellare, proprio perché è sottoposto ad un rigido controllo quotidiano. L’organizzazione viene avvisata riguardo l’inizio di una possibile anomalia nei dati delle aree di disaster-recovery. Il consiglio ulteriore è di effettuare almeno una volta all’anno, il ripristino dei dati cloud, al fine di accertarsi che i livelli di integrità e disponibilità siano adeguati alle proprie esigenze.