Pieter Arntz 
p>Uma ameaça persistente avançada (APT) é uma ameaça persistente prolongada, Ataque dirigido a um alvo específico com a intenção de comprometer o seu sistema e obter informações a partir ou sobre esse alvo.
O alvo pode ser uma pessoa, uma organização ou uma empresa. Quando estas ameaças foram apelidadas de alvos, os seus alvos eram governos e organizações militares. A palavra ameaça não significa que haja apenas um tipo de malware envolvido, porque um APT normalmente consiste em vários ataques diferentes.
Muitos profissionais no campo da segurança um ataque só se qualifica como APT se for iniciado por um governo (agência) ou uma organização semelhante. Dados os recursos e paciência necessários, isto faz certamente sentido.
O que significa isso no actual cenário de ameaças?
Os agentes de ameaças utilizam diferentes “ferramentas” e métodos para se instalarem e alargarem a brecha uma vez dentro. Quando se trata de roubar informação, uma parte importante do trabalho é manter a brecha em segredo. Isto porque muitas vezes a informação roubada perderá o seu valor muito rapidamente assim que o objecto da violação estiver ciente da situação.
Obviamente, é também importante esconder a identidade dos atacantes, uma vez que a atribuição de APT poderia levar a alguns conflitos no mundo real. Assim, os atacantes vão querer esconder os seus rastos. Não é invulgar ver a utilização de vulnerabilidades não corrigidas (zero-dias) neste tipo de operações.
Estágio de uma Ameaça Persistente Avançada
Não serão necessárias todas as fases listadas abaixo em cada situação e, dependendo do alvo e da informação que os atacantes procuram, as tarefas da lista podem ser muito diferentes no tempo, e a quantidade de esforço, gasto nelas. Estas podem ser muito diferentes de caso para caso.
- Conhecer o alvo. Isto pode variar desde descobrir se há algo que valha a pena roubar até compilar uma lista de empregados, ou ainda melhor, ex-empregados descontentes. Descobrir o que interessa aos sujeitos, para que se possa usar essa informação. em ou ataques de pesca submarina.
- Li>Encontrar uma entrada. Isto geralmente envolve técnicas de engenharia social como spear phishing e buracos de rega, a fim de entregar malware personalizado.
- Acompliar uma base de apoio. Obter um alvo para executar o malware no seu sistema que está dentro da rede de alvos.
- Abrir cuidadosamente o âmbito a partir da base criada. Por exemplo, o reconhecimento da rede a partir de um computador infectado. Isto inclui colocar malware e outras ferramentas no sistema comprometido e escondê-las.
- Li>Incobrir e roubar a informação procurada ou outra informação valiosa. Para o fazer, pode ser necessário aumentar os privilégios do ssytem comprometido na rede.
- A partir do momento em que se estabeleça um controlo firme sobre a rede, pode ser necessário mover ou alargar os pontos de entrada na rede de modo a garantir um acesso mais permanente à informação. Se não houver necessidade de uma monitorização permanente, as ferramentas serão normalmente removidas para encobrir as pistas. Por vezes é deixada uma porta traseira para facilitar o regresso.
Profissionais de segurança em crescimento
A razão pela qual os investigadores de segurança gemem quando ouvem a expressão APT é o facto de algumas pessoas tenderem a utilizá-la nos casos em que a ameaça não cumpre os requisitos que especificámos na nossa definição.
Aparentemente, soa menos mal quando se explica que foi violado por algo “Avançado” em vez de por algum malware que deveria ter sido detectado há meses.
Por exemplo, um worm que ataca apenas computadores que executam um determinado tipo de software, quase exclusivamente utilizado em hospitais, não é um APT. É dirigido a um tipo de organizações e não a uma organização específica.
Sumário
Este artigo explica que as Ameaças Persistentes Avançadas são ataques especializados e prolongados dirigidos a alvos específicos. São geralmente patrocinados por nações ou organizações muito grandes.
Links
Criminosos cibernéticos e as suas técnicas de APT e AVT
Cadeia de morte
Pieter Arntz