¿Qué es y cómo funciona una amenaza persistente avanzada (APT)?

Introducción

Para algunas cosas, el todo es mayor que la suma de sus partes. Cuando se trata de ciberseguridad, este dicho es una descripción adecuada de los ataques cibernéticos de Amenaza Persistente Avanzada (APT, por sus siglas en inglés).

Está compuesta por una combinación reflexiva de diferentes herramientas y métodos, a veces rudimentarios. La temido APT es una amenaza más importante que cualquiera de sus partes compuestas.

En este artículo aprenderás que son las APT, cómo funcionan, las características de las APT y las fases de las APT. Además, verás los ejemplos reales de APT que se utilizaron para llevar a cabo ataques.

En mi humilde opinión, el concepto de APT en malware es una especie de “suite” de Malware ya que combina una amplia variedad de malware. Son muchos conceptos relacionados en un pequeño paquete.

Un poco sobre las APT

APT se define como un ataque prolongado centrado en un objetivo específico con el fin de comprometer el sistema y robar información sobre dicho objetivo.

Los actores de amenazas que ejecutan ataques APT utilizan una variedad de herramientas y métodos para obtener acceso a su objetivo y ampliar su ataque.

Estas herramientas suelen ser malware personalizado para las diversas técnicas que requiere el ataque. A veces, los grupos de ataque crean familias de malware que consisten en herramientas personalizadas que solo se utilizan en sus ataques APT. Estas herramientas son como tarjetas de llamadas para el grupo de ataque.

Tradicionalmente, una amenaza persistente avanzada era una clasificación de ciberataque patrocinado por un estado nación. Esto se debió a los recursos necesarios para emprender una campaña APT, que puede ser significativamente más de lo que puede reunir un grupo de hackers.

Esta definición ha sido ligeramente modificada recientemente por algunas autoridades de malware para incluir actores no estatales y aquí seguiremos la nueva definición.

Características de los ataques de APT

Para esos ataques que son difíciles de identificar, hay ciertas características que se han atribuido a los ataques de ATP que pueden ayudar a identificarlos. Estos dejan diferentes signos que los diferencian de otros ataques cibernéticos. Estas características se exploran brevemente a continuación.

1. Aumento de inicios de sesión a altas horas de la noche

Lo que pasa con los ataques APT es que a menudo son perpetrados por ciberdelincuentes del otro lado del mundo. Esto significa que cuando estás durmiendo, estos hackers malintencionados están llevando a cabo su ataque APT. El alto volumen de estos inicios de sesión debería ser tu pista.

2. Troyanos de puerta trasera generalizados

Los ataques APT dependen de troyanos de puerta trasera porque los atacantes necesitan volver a los sistemas en los que han establecido una singular entrada. A veces estos troyanos son el resultado de la ingeniería social. Los troyanos de puerta trasera se usan porque incluso si se han capturado credenciales válidas, el usuario legítimo puede cambiarlos.

3. Flujos de información inesperados

Esto puede ser una señal reveladora de un ataque APT. Notarás un uso de VPN’s por parte de los atacantes, esto se está volviendo más difícil de usar como pista. Para evitar esto, tendrás que “desempaquetar” el tráfico HTTPS. Un buen punto de partida es, por supuesto, saber cómo se ve normalmente tu flujo de información.

4. Paquetes de datos inesperados

Estos paquetes de datos pueden ser tu información que se filtra a los atacantes. Debes estar atento a grandes cantidades de información que está donde no debería estar, especialmente si está comprimida. Esto que podría ser una característica en sí misma.

5. Campañas enfocadas de spear phishing

El agente causal en la mayoría de los ataques APT es una exitosa campaña de spear phishing. Estos correos electrónicos de spear phishing comúnmente tienen un archivo de documento infectado que contiene enlaces URL maliciosos o código ejecutable malicioso. Rastrear el sistema infectado podría llevarte al punto cero del ataque APT.

Fases de una APT

Hay 6 fases distintas de un ataque APT. No hay límite de tiempo para que estas fases concluyan, ya que un APT puede persistir durante mucho tiempo.

  1. Conocer el objetivo: la información recopilada puede ayudar a promover el ataque.
  2. Encontrar una entrada y enviar malware personalizado: se puede lograr mediante phishing o usando otros medios.
  3. Obtener el punto de apoyo: engañar a un usuario para que ejecute el malware en su sistema, dentro de la red objetivo.
  4. Ampliando el alcance del ataque.
  5. Encontrar y robar información: esto puede implicar la elevación de privilegios.
  6. Mover y cubrir pistas: puede ser necesario mover o expandir los puntos de entrada para avanzar en el ataque. Si no queda nada más por hacer, las herramientas utilizadas pueden eliminarse para cubrir pistas.

Ejemplos reales de APT

Stuxnet

Utilizado por un grupo de ataque APT, Stuxnet se refiere a un gusano utilizado en un ataque APT. Se considera una de las instancias más sofisticadas de malware que se haya usado. Stuxnet apuntó principalmente a sistemas SCADA que prestan servicios a plantas nucleares en Irán,

GhostNet

Este grupo de ciberataques APT con sede en China utilizó spear phishing. También usó archivos adjuntos maliciosos para obtener acceso a los sistemas en más de 100 países a partir de 2009. Entre las muchas técnicas de ataque que GhostNet utilizó fueron el audio y la captura de pantalla para obtener información sobre los objetivos.

Sykipot APT

El grupo de ataque Sykipot es conocido en parte por crear la familia de malware Sykipot APT. Este malware personalizado aprovechó vulnerabilidades en productos de Adobe y usó ataques de spear phishing para efectuar exploits de día cero sobre sus víctimas.

Mettel

Este grupo de ataque, junto con otros, incluidos Carbanak y GCMAN, se dirigió a instituciones financieras. Mettel usó malware personalizado para infectar cajeros automáticos. Cuando los cajeros automáticos se liquidaron al final del día, el malware hizo que las transacciones de los cajeros automáticos no se registraran. Esto demuestra que los ataques APT pueden robar dinero e información.

Conclusión

Los APT son, en muchos sentidos, la culminación colectiva de los ciberataques del mundo. Los grupos de ataque APT aprovechan diferentes tipos de malware.  Desde malware preexistente hasta malware personalizado y métodos de trabajo adecuados para lanzar ataques dirigidos que pueden continuar durante un período de tiempo prolongado.

Los ataques APT tienden a persistir después de los intentos iniciales de detección y mitigación. Esto los convierte posiblemente en el riesgo de malware más grave junto al ransomware.