Intercettazione del Traffico: Network Sniffing (T1040)

Per testare la resilienza della rete contro attacchi di sniffing, iniziamo con l'attivazione della modalità promiscua su Linux:

sudo ip link set eth0 promisc on

Questo comando abilita la cattura di tutto il traffico che transita sull'interfaccia, non solo quello destinato al nostro host. Per verificare l'attivazione: ip link show eth0 mostrerà il flag PROMISC attivo.

La cattura vera e propria può essere effettuata con tcpdump filtrando le credenziali HTTP:

sudo tcpdump -i eth0 -A 'tcp port 80 and (tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354)'

Questo comando intercetta richieste POST che spesso contengono credenziali. Per ambienti Windows, utilizziamo windump con sintassi simile o PowerShell per risultati più raffinati.

Responder rappresenta uno degli strumenti più efficaci per catturare hash NTLM attraverso poisoning dei protocolli di risoluzione nomi:

sudo responder -I eth0 -dwF

I flag attivano DHCP, WPAD e fingerprinting per massimizzare la cattura. Gli hash intercettati vengono salvati automaticamente nella directory logs/ per successive attività di cracking.

Per simulare l'approccio di APT28, configuriamo un Wi-Fi pineapple per intercettare traffico wireless. Il dispositivo crea un access point malevolo che si interpone tra client e rete legittima, catturando tutte le comunicazioni in transito.

In ambienti cloud AWS, testiamo la creazione di una sessione di traffic mirroring:

aws ec2 create-traffic-mirror-session --traffic-mirror-target-id tmt-12345 --network-interface-id eni-67890 --session-number 1

Questo comando replica il traffico di un'istanza EC2 verso un target controllato dall'attaccante per analisi offline.

La detection efficace dello sniffing richiede correlazione tra eventi di sistema e comportamenti di rete. Su Windows, monitoriamo l'Event ID 4656 per rilevare accessi a device di rete in modalità promiscua.

La query Sigma per identificare l'esecuzione di tool di sniffing comuni:

title: Network Sniffing Tool Execution
logsource:
    category: process_creation
    product: windows
detection:
    selection:
        - Image|endswith: 
            - '\wireshark.exe'
            - '\tshark.exe'
            - '\windump.exe'
        - CommandLine|contains: 'promiscuous'

Per Linux, l'audit del syscall socket() con flag PACKET_RCV_ALL indica attivazione modalità promiscua. Configuriamo auditd per loggare questi eventi:

-a always,exit -F arch=b64 -S socket -F a0=17 -k network_sniffing

False positive comuni includono software di monitoring legittimo e scansioni di sicurezza autorizzate. Creiamo whitelist basate su hash dei binari autorizzati e account di servizio specifici.

Un indicatore comportamentale efficace è la creazione di file PCAP di grandi dimensioni in directory non standard. Monitoriamo la crescita anomala di file con estensioni .pcap, .cap, .dmp attraverso regole YARA:

rule PCAP_File_Creation {
    strings:
        $magic = { D4 C3 B2 A1 }
    condition:
        $magic at 0 and filesize > 10MB
}

Per ambienti cloud, gli alert su CloudTrail devono focalizzarsi su eventi CreateTrafficMirrorSession e ModifyTrafficMirrorSession, specialmente se originati da ruoli non amministrativi.

L'analisi forense dello sniffing inizia identificando modifiche alle interfacce di rete. Su Windows, esaminiamo il registro HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces per tracce di configurazioni promiscue.

La timeline richiede correlazione tra:

• Timestamp di modifica delle interfacce
• Creazione di file PCAP o log di cattura
• Esecuzione di binari di sniffing

Artefatti chiave includono i Prefetch files che mostrano esecuzioni di wireshark.exe o tshark.exe. La presenza di WIRESHARK-[HASH].pf indica utilizzo del tool, con timestamp di prima e ultima esecuzione.

MESSAGETAP, utilizzato per intercettare SMS su reti telecom, lascia tracce specifiche: librerie libpcap caricate dinamicamente e pattern di parsing dei protocolli SCTP/SCCP nei dump di memoria.

Durante l'attacco 2015 Ukraine Electric Power Attack, Sandworm Team ha utilizzato il modulo sniffer di BlackEnergy3. L'analisi post-incident ha rivelato catture mirate di credenziali SCADA attraverso intercettazione del traffico tra LAN aziendale e sistemi di controllo industriale.

Su Linux, esaminiamo /var/log/kern.log per messaggi "device eth0 entered promiscuous mode". Timestamp correlati con creazione di file in /tmp o directory utente possono rivelare sessioni di cattura.

Per dispositivi di rete compromessi, come nel caso di ArcaneDoor, analizziamo i syslog per comandi monitor capture eseguiti fuori dagli orari di manutenzione standard. La persistenza di configurazioni di mirroring dopo reboot indica compromissione avanzata.

APT28 dimostra capacità di sniffing sia digitale che fisico. L'uso di Wi-Fi pineapple durante operazioni close-access indica pianificazione dettagliata e capacità HUMINT oltre che cyber. Target preferenziali: ambasciate, ministeri della difesa, organizzazioni NATO.

Sandworm Team integra lo sniffing in campagne distruttive contro infrastrutture critiche. L'uso di intercepter-NG precede tipicamente deployment di wiper come KillDisk. Pattern geografico: focus su Ucraina ed ex-repubbliche sovietiche, con espansione verso infrastrutture energetiche occidentali.

Kimsuky (Corea del Nord) utilizza SniffPass per operazioni di spionaggio a lungo termine. Target: think tank sudcoreani, ricercatori nucleari, diplomatici. La persistenza dello sniffing per mesi indica priorità su intelligence piuttosto che disruption.

APT33 combina sniffing con campagne di watering hole. Cattura credenziali da reti compromesse per pivot verso sistemi industriali nel settore petrolifero. Presenza concentrata in Medio Oriente con occasionali operazioni contro aziende energetiche USA.

Tool overlap significativo: Responder utilizzato da molteplici gruppi indica efficacia e facilità d'uso. Impacket appare in arsenali di APT cinesi, russi e iraniani, suggerendo condivisione di TTP o sviluppo indipendente di capacità simili.

Trend emergente: migrazione verso sniffing in ambienti cloud attraverso abuso di funzionalità native. Gruppi APT investono in capacità di compromissione di dispositivi di rete edge per posizionamento strategico dello sniffing.

Framework MITRE ATT&CK per mappatura tecnica e attribution dei gruppi APT. Campagne documentate: 2015 Ukraine Electric Power Attack (Sandworm), ArcaneDoor (UAT4356), RedPenguin (UNC3886). Risorse detection: Sigma rules repository, Elastic Detection Rules, Splunk Security Essentials. Standard di riferimento: NIST SP 800-61r3 per incident response, CIS Controls v8 per hardening.