Gli attacchi Adversary-in-the-middle sono aumentati del 146% nell'ultimo anno, secondo il Digital Defense Report di Microsoft. Che cos'è l'AiTM e perché è in aumento?

I criminali informatici hanno adattato le loro tattiche per colpire non solo le password, ma lo stesso processo utilizzato per verificare l'identità di qualcuno online. Si tratta degli attacchi Adversary-in-the-Middle (AiTM). Anche se il nome può sembrare tecnico, il concetto descrive quando un aggressore si inserisce nella comunicazione tra un utente e un servizio legittimo, intercettando i dati e prendendo il controllo delle sessioni senza che la vittima se ne accorga.

In cosa si differenzia un attacco AiTM dal classico MitM?

Il termine man-in-the-middle (MitM) esiste da molti anni nel campo della sicurezza informatica. Un attacco MitM tradizionalmente colloca un aggressore tra due parti in modo da poter origliare o modificare le comunicazioni. Ciò che distingue AiTM è l'intercettazione attiva dei flussi di autenticazione, spesso nel momento in cui gli utenti inseriscono i propri dati di accesso. Invece di ascoltare passivamente, l'aggressore partecipa al processo di autenticazione stesso, consentendo di catturare i cookie di sessione o i token utilizzati per mantenere l'accesso.

In altre parole, mentre gli attacchi MitM standard possono intercettare le comunicazioni generali, AiTM mira specificamente al momento dell'autenticazione e al punto esatto in cui viene verificata l'identità. Questa distinzione rende gli attacchi AiTM efficaci nell'aggirare meccanismi come l'autenticazione a più fattori (MFA).

Come funziona un attacco AiTM

Gli attacchi AiTM sono progettati in modo da apparire di routine per la vittima, pur dando agli aggressori il pieno controllo del processo di autenticazione. Invece di rubare le credenziali in modo isolato, l'attaccante intermedia attivamente la sessione di login in tempo reale.

Inganno iniziale

L'attacco inizia con un messaggio di phishing creato per sembrare una richiesta legittima da parte di un servizio fidato o di un team interno. I messaggi spesso creano urgenza, spingendo gli utenti a verificare il proprio account, a risolvere un problema di sicurezza o ad accedere a un documento. Il link non porta a una pagina statica falsa, ma a un'infrastruttura controllata dall'aggressore che si frappone tra l'utente e il servizio reale.

Intercettare il flusso di login

Quando la vittima clicca sul link, il suo browser viene instradato attraverso un reverse proxy gestito dall'aggressore. Questo proxy carica dinamicamente il contenuto del sito web autentico, presentando quella che è di fatto la vera pagina di login. Poiché la pagina si comporta normalmente, è improbabile che la vittima noti qualcosa di insolito.

Cattura delle credenziali in tempo reale

Quando l'utente inserisce nome utente e password, il proxy cattura le credenziali e le inoltra immediatamente al servizio legittimo. Se è richiesta l'autenticazione a più fattori, il proxy trasmette semplicemente la sfida e la risposta. L'autenticazione viene completata con successo, dando all'aggressore la visibilità dell'intero processo senza dover sconfiggere direttamente l'MFA.

Dirottamento del token di sessione

Una volta che l'autenticazione è riuscita, il servizio legittimo rilascia cookie o token di sessione per confermare l'accesso. L'aggressore intercetta questi token mentre passano attraverso il proxy. Con un token di sessione valido, l'aggressore può creare una propria sessione autenticata senza riutilizzare la password o l'MFA, assumendo di fatto l'identità dell'utente.

Persistenza e sfruttamento

Utilizzando la sessione rubata, gli aggressori possono accedere alla posta elettronica, ai servizi cloud e alle applicazioni interne con un attrito minimo. Spesso si muovono rapidamente per stabilire la persistenza modificando le impostazioni dell'account, aggiungendo metodi di autenticazione o concedendo autorizzazioni alle applicazioni. Anche se l'utente cambia la password, l'aggressore può mantenere l'accesso fino alla revoca della sessione.

Strumenti e tecniche comuni utilizzati dagli aggressori

Gli attacchi AiTM sono supportati da strumenti e framework facilmente disponibili che ne facilitano l'implementazione su scala. Gli aggressori utilizzano comunemente kit di reverse proxy come Evilginx2, EvilProxy e altri per automatizzare la gestione dei certificati, la clonazione delle pagine e l'acquisizione delle sessioni. Questi kit semplificano il processo di creazione di un proxy dall'aspetto realistico in grado di intercettare i flussi di autenticazione.

Alcuni aggressori utilizzano anche tecniche a livello di rete, come la manipolazione del DNS, lo spoofing ARP o la compromissione delle reti Wi-Fi per reindirizzare il traffico attraverso la loro infrastruttura. Le campagne avanzate possono anche prevedere la compromissione dei fornitori di servizi o l'utilizzo di modelli di phishing-as-a-service per ospitare e gestire l'infrastruttura di phishing per conto degli affiliati.

Perché gli attacchi AiTM sono così efficaci

La forza di AiTM risiede nella sua capacità di aggirare le protezioni MFA da cui dipendono le organizzazioni. Poiché l'aggressore trasmette le risposte di autenticazione in tempo reale e cattura i token di sessione, la semplice abilitazione dell'MFA non impedisce la compromissione. Le difese tradizionali, come i firewall, i criteri per le password statiche e il filtraggio di base delle e-mail, sono altrettanto inefficaci contro AiTM.

Anche il rilevamento può essere difficile. Poiché la vittima spesso si collega con successo e l'MFA si completa correttamente, i registri di sicurezza possono mostrare un'autenticazione legittima. A meno che non ci sia un monitoraggio sofisticato per individuare modelli di sessione insoliti, anomalie del dispositivo o scenari di viaggio impossibili, l'intrusione può passare inosservata.

Ridurre il rischio AiTM con un approccio di sicurezza a più livelli

Integrity360 aiuta le organizzazioni a ridurre il rischio di attacchi AiTM attraverso un approccio stratificato e basato sull'intelligence. I servizi diManaged Security Awareness rafforzano il livello umano, aiutando gli utenti a riconoscere le esche del phishing, le richieste di login sospette e le tattiche di social engineering che spesso danno il via alle campagne AiTM. Migliorando la consapevolezza e rafforzando i comportamenti sicuri, le organizzazioni possono ridurre significativamente la probabilità che un aggressore riesca a inserirsi nel flusso di autenticazione.

A livello di identità, Managed Identity Security offre una visibilità più approfondita sulle modalità di utilizzo e abuso delle identità negli ambienti cloud e on-premise. Ciò include il monitoraggio di comportamenti di autenticazione anomali, attività di sessione rischiose, uso improprio di token e modifiche non autorizzate alle configurazioni di identità. Queste informazioni sono fondamentali per rilevare precocemente le compromissioni legate all'AiTM, prima che gli aggressori stabiliscano la persistenza o aumentino l'accesso.

Quando gli aggressori riescono a penetrare, il rilevamento e la risposta rapidi diventano essenziali. Il Managed Detection and Response (MDR) consente il monitoraggio continuo della telemetria delle identità, degli endpoint, del cloud e della rete, permettendo di identificare e contenere rapidamente le attività sospette associate agli attacchi AiTM. In questo modo si riducono i tempi di permanenza e si limita l'opportunità per gli aggressori di spostarsi lateralmente, esfiltrare i dati o sferrare attacchi successivi.

Infine, CTEM as a Service supporta le organizzazioni nella comprensione e nella riduzione dell'esposizione alla superficie di attacco in continua evoluzione. Identificando, dando priorità e convalidando continuamente le esposizioni del mondo reale, CTEM aiuta a garantire che le debolezze dell'identità, le configurazioni errate e i percorsi di accesso ad alto rischio sfruttati dagli attacchi AiTM siano affrontati in modo proattivo anziché reattivo.

Gli attacchi AiTM non sono una tendenza passeggera. Sono il riflesso di come gli aggressori si stanno adattando ai moderni controlli di sicurezza. Con la giusta combinazione di consapevolezza, protezione dell'identità, capacità di rilevamento e gestione continua dell'esposizione, le organizzazioni possono ridurre significativamente la probabilità e l'impatto di questi attacchi. Integrity360 riunisce queste funzionalità per aiutare le organizzazioni a rendere sicure le identità, a proteggere gli utenti e a rimanere all'avanguardia in un panorama di minacce sempre più orientato all'identità.

Se avete bisogno di assistenza per affrontare la minaccia AiTM, contattate i nostri esperti.