Heading

Just another blog

Explicación: Amenaza Persistente Avanzada (APT)

    Pieter ArntzPieter Arntz
    Hace 5 años

Una amenaza persistente avanzada (APT) es un ataque prolongado, dirigido a un objetivo específico con la intención de comprometer su sistema y obtener información de o sobre ese objetivo.

El objetivo puede ser una persona, una organización o una empresa. Cuando se denominaron estas amenazas sus objetivos eran gobiernos y organizaciones militares. La palabra amenaza no implica que sólo haya un tipo de malware involucrado, ya que una APT suele estar formada por varios ataques diferentes.

Para muchos profesionales del ámbito de la seguridad un ataque sólo se califica como APT si es iniciado por un gobierno (agencia) o una organización similar. Dados los recursos y la paciencia necesarios, esto ciertamente tiene sentido.

Entonces, ¿qué significa esto en el panorama actual de las amenazas?

Los actores de las amenazas utilizan diferentes «herramientas» y métodos para conseguir un punto de apoyo y ampliar la brecha una vez que están dentro. Cuando se trata de robar información, una parte importante del trabajo es mantener la brecha en secreto. Esto se debe a que, a menudo, la información robada perderá su valor bastante rápido una vez que el objeto de la brecha sea consciente de la situación.

Obviamente, también es importante ocultar la identidad de los atacantes, ya que la atribución de APT podría llevar a algunos conflictos del mundo real. Así que los atacantes querrán ocultar sus huellas. No es raro ver el uso de vulnerabilidades no parcheadas (zero-days) en este tipo de operaciones.

logo

Etapas de una Amenaza Persistente Avanzada

No todas las etapas que se enumeran a continuación serán necesarias en todas las situaciones y, dependiendo del objetivo y de la información que los atacantes persiguen, las tareas de la lista pueden ser muy diferentes en cuanto al tiempo, y la cantidad de esfuerzo, invertido en ellas. Éstas pueden ser muy diferentes de un caso a otro.

  • Conocer el objetivo. Esto puede variar desde averiguar si hay algo que valga la pena robar hasta recopilar una lista de empleados, o incluso mejor, de ex empleados descontentos. Averigüe qué les interesa a los sujetos, para poder utilizar esa información. en o ataques de spear-phishing.
  • Encontrar una entrada. Esto suele implicar técnicas de ingeniería social como el spear phishing y los watering holes para entregar el malware personalizado.
  • Conseguir un punto de apoyo. Conseguir que el objetivo ejecute el malware en su sistema que está dentro de la red del objetivo.
  • Ampliar cuidadosamente el alcance desde el punto de apoyo creado. Por ejemplo, el reconocimiento de la red desde un ordenador infectado. Esto incluye colocar malware y otras herramientas en el sistema comprometido y ocultarlas.
  • Encontrar y robar la información buscada u otra información valiosa. Para ello, puede ser necesario elevar los privilegios del sistema comprometido en la red.
  • Una vez que se ha establecido un control firme de la red, puede ser necesario mover o ampliar los puntos de entrada en la red para asegurar un acceso más permanente a la información. Si no hay necesidad de una vigilancia permanente, las herramientas suelen eliminarse para cubrir las huellas. A veces se deja una puerta trasera para facilitar el retorno.

Los profesionales de la seguridad gimen

La razón por la que los investigadores de seguridad gemirán cuando escuchen la expresión APT es el hecho de que algunas personas tienden a utilizarla en casos en los que la amenaza no cumple los requisitos que especificamos en nuestra definición.

Aparentemente, suena menos mal cuando explicas que has sido vulnerado por algo «Avanzado» en lugar de por algún malware que debería haber sido detectado hace meses.

Por ejemplo, un gusano que ataca sólo a los ordenadores que ejecutan un determinado tipo de software, utilizado casi exclusivamente en hospitales, no es una APT. Está dirigido a un tipo de organizaciones y no a una organización en particular.

Resumen

Este artículo explica que las Amenazas Persistentes Avanzadas son ataques especializados y prolongados dirigidos a objetivos específicos. Suelen estar patrocinados por naciones u organizaciones muy grandes.

Enlaces

Los ciberdelincuentes y sus técnicas APT y AVT

Cadena de muerte

Pieter Arntz

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *