2. APT(ADVANCED PERSISTENT THREAT)
Las APT (Amenaza persistente avanzada), es una categoría de malware que
se encuentra totalmente orientado a atacar objetivos empresariales o políticos.
Una de sus mayores características es la capacidad de ocultamiento, al ser
amenazas altamente sigilosas, estas logran perdurar dentro de la red afectada
por largos periodos de tiempo sin ser detectadas, cuando saben que algo los
está detectando simplemente se apaga durante un tiempo y tres meses o seis
después se vuelve a prender. Sin embargo, a pesar de permanecer totalmente
ocultas a nivel de host, las APTs necesitan comunicarse con su servidor de
Comando & Control, siendo este tipo de comunicación dentro del tráfico de
red, el único síntoma perceptible de su presencia.
//Juan Santiago
3. Las APTs no son más que un nuevo vector de ataque que tiene
un propósito definido y que su objetivo es abrir una brecha o
fallo de seguridad sin que la empresa tenga constancia de que
la tiene y de ahí robar la mayor información posible.
El término APT se volvió famoso debido a una nota del New
York Times en donde se detallaba la campaña de un ataque de
un mes, en donde una unidad militar de China, conocida ahora
como “APT 1”, logró penetrar las redes de organización de
los medios de comunicación con una serie de correos
electrónicos de phishing y un diluvio de muestras de malware
personalizadas.
//Juan Santiago
4. Amenaza: Se trata de una amenaza porque existe un atacante con un objetivo ilícito bien establecido. A diferencia de otras piezas de código
totalmente carentes de inteligencia y automáticas, los operadores de una APT cuentan con un objetivo claro, siendo quienes están detrás de este
tipo de códigos, personas capacitadas, motivadas, organizadas y sobre todo, bien pagas.
Persistente: Es persistente porque se da en un largo período de tiempo. Las APT pueden permanecer activas por años, e incluso muchas veces
quedan ocultas sin ser detectadas y sin causar daños en la red de las víctimas por meses o años esperando obtener datos específicos, para
entonces actuar, robando la información que buscaba. EJ: La botnet mariposa se encontró residiendo dentro de algunas empresas por más de un
año.
Avanzada: Es avanzada porque los atacantes que participan de estos tipos de ataques suelen tener conocimiento avanzado de programación y
seguridad de la información, así que no solamente hacen uso de malware conocido, técnicas de Ingeniería Social y vulnerabilidades viejas, sino
que también explotan vulnerabilidades previamente desconocidas, además de técnicas novedosas que ellos mismos tienen la habilidad y
conocimientos para desarrollar. EJ: En el caso de Stuxnet se han logrado identificar al menos 20 tipos de codificación distinta, evitando la
posibilidad de obtener un perfil de su programador.
//Juan Santiago
5. Objetivos
Los objetivos son establecer y extender su posicionamiento dentro de la infraestructura de tecnología de la información
de organizaciones con el objetivo de filtrar información hacia el exterior continuamente, también impedir aspectos
importantes de una misión, un programa o una organización, o ubicarse en una posición que le permita hacerlo en el
futuro.
Además, la amenaza persistente avanzada persigue sus objetivos repetidamente durante un lapso extenso de tiempo,
adaptándose a las medidas de defensa del atacado, y con la determinación de mantener el nivel de interacción
necesario para ejecutar sus objetivos. El objetivo final de un ataque del estilo de las APT es el de comprometer una
máquina en donde haya algún tipo de información valiosa.
//Anthony
6. Caracteristicas
APT
• Las amenazas persistentes avanzadas suelen manifestarse como un programa especialmente diseñado
para mantenerse oculto en el sistema atacado, aprovechando vulnerabilidades desconocidas hasta un
momento determinado o usando técnicas de ingeniería social muy concretas sobre el personal de la
empresa-víctima.
• El tipo de atacante que usa una APT es mucho más paciente que el atacante medio sin objetivo
concreto. Suelen tener una mayor motivación económica para que el ataque sea exitoso y, por tanto,
los recursos y tiempo empleados son superiores a los de cualquier otro atacante.
• Muchos de estos ataques son financiados por gobiernos o el cibercrimen y tienen relaciones políticas,
económicas o militares.
• Las APTs tienen la capacidad de fragmentación o descomposición en módulos. Una vez infectado el
sistema, este puede descargar módulos encargados de diferentes tareas, tales como leer
comunicaciones de red, escuchar el micrófono e incluso controlar la webcam.
//Anthony
8. El proceso general por parte de los atacantes
consta de varias partes:
1) Estudio de la víctima. Al tratarse de un ataque específico dirigido, el atacante debe conocer en profundidad su objetivo,
desde la configuración de los sistemas hasta sus políticas de seguridad. Esto le permite elegir el punto más débil en la
cadena para atacar.
2) Infección. Consiste en instalarse o esconderse en alguna máquina de la red interna, desde donde se intenta obtener el
objetivo deseado. Esta máquina puede infectarse ejecutando un simple archivo, que contiene las instrucciones para futuras
etapas de la infección. También incluye la lógica necesaria para descargar nuevas funcionalidades, si fuesen necesarias.
3) Propagación. Una vez infectado un equipo o sistema, la propagación consiste en extenderse a más equipos, ya sean en
las redes cercanas o a través de Internet. Con esto se consigue más información, pero como punto en contra, el atacante
asume un mayor riesgo a ser detectado.
//Anthony
9. Métodos de infección y propagación
Las APT logran ingresar dentro de las empresas a través de distintos vectores de infección, incluso en aquellos escenarios protegidos con
buenas estrategias de seguridad. Al menos pueden distinguirse tres grandes grupos o vectores de introducción de una APT en una
organización:
//Romnyfer
10. a) Las amenazas internas o conexión de
confianza. son aquellos empleados de las
organizaciones que sirven para plantar la
APT de manera interna, sin necesidad de
tener que quebrar la barrera perimetral de
seguridad de la red. Este último factor, es
un ingrediente clave en muchas APT.
b) Ingeniería social. Algunos ataques muy
sofisticados técnicamente han comenzado
con un simple engaño a uno de los
usuarios de la red. La infección comienza
con una ejecución. Persuadir a un usuario
de que lance un ejecutable, si el sistema
no cuenta con las medidas de seguridad//Romnyfer
11. c) Bring Your Own Device (BYOD). Salvo que se
tomen las medidas de gestión de seguridad
adecuadas, esta política de empresa puede traer
problemas a la seguridad corporativa, puesto que
puede suponer la entrada de dispositivos no
protegidos ni controlados en la red interna. Otro
posible escenario se da cuando el usuario se infecta
con el malware fuera de la empresa y este se
propaga a través de la red interna corporativa a
servidores u otros sistemas.
e) Phishing dirigido. El phishing es un término
referido habitualmente al robo de credenciales
bancarias para suplantación de identidad y
robo.
En el modelo de APTs, el ataque es ligeramente
diferente.
Se buscan credenciales de gente involucrada en
la empresa u organismo, tanto trabajadores
como altos directivos, por lo que no es un
ataque indiscriminado.
d) Vulnerabilidades. Todo software presenta
vulnerabilidades. Si estas son suficientemente
graves, pueden permitir la ejecución de código
en el sistema sin que la víctima se percate.
Las más graves son las más recientes y por
tanto menos conocidas y con menor
probabilidad de que exista parche para
solucionarla. Estas suponen una brecha
mayor de seguridad.
//Romnyfer
12. ¿Cómo prevenir ataques?
• Contar con una solución de seguridad que proteja la red
corporativa a través de un firewall, para evitar el acceso no deseado
de terceros a la red interna.
• Contar con soluciones de seguridad para todos los dispositivos que
se conectan a la red, ya que, tan solo infectando un dispositivo, el
atacante ya superó el firewall. Más allá de lo avanzado que sea el
ataque, la gran mayoría todavía tiene éxito gracias a malware conocido.
Mantener todo el software y el firmware actualizados. Programas y
dispositivos no actualizados y/o parcheados son puertas de entrada para
los atacantes, ya que las actualizaciones y parches suelen corregir
vulnerabilidades en estos medios.
//Yenny
13. Otros
• Concientizar, ya que sin importar cuánto se invierte en tecnología, si
los empleados con acceso a la información no tienen los
conocimientos necesarios para proteger la misma, el atacante ya posee
un vector de ataque accesible.
• Evitar otorgar privilegios de administrador a empleados a menos que
sea absolutamente necesario.
• Tener visibilidad y contexto de las asociaciones que se dan entre las
personas y su identidad.
• Saber quién, cómo, dónde y cuándo se accede y se manipulan datos en
reposo, en movimiento, estructurados y no estructurados.
//Yenny
14. • Desarrollar aplicaciones seguras desde el
momento del diseño de las mismas.
• Cuantificar el consumo de la infraestructura física
o virtual.
• Crear patrones de normalidad, detectar anomalías
y al mismo tiempo ayudar a cumplir con las
políticas y requerimientos normativos.
//Yenny
15. Ataques de APT
• Stuxnet, un virus diseñado para la destrucción de las centrifugadoras de uranio de irán. En el 2010 salía a la luz Stuxnet,
un malware que había infectado la central nuclear Natanz, en irán, asi como a RSA donde se realizaron ataques para
robar el diseño de su token de seguridad Securid. Posteriormente hubo un ataque a Lockheed Martin, fabricante de
armas, norteamericano, donde se usó la información extraída de RSA para lograr saltarse la seguridad de los sistemas y
convertirse así, en un claro ejemplo de APT. El propósito de Stuxnet era retrasar el programa nuclear Iraní. Stuxnet se
puede considerar el primer Ciber-Arma.
• Exxonmobil, Marathon Oil y Conocophilips - fueron víctimas de ciber ataques APT dirigidos en el 2008. Durante los
ataques, que se pensaba provenían de china, los cibercriminales filtraron información crítica de la industria acerca de la
cantidad, el valor, y la ubicación de descubrimientos petrolíferos en el mundo, hacia un servidor remoto. Pero estas
compañías solamente descubrieron los ataques cuando el FBI les informó que su información privada había sido robada.
Para el 2011, los APTs habían tomado su lugar como la gran nueva amenaza en la cadena alimenticia de la seguridad.
16. Los APT fueron responsables por algunas de las mayores pérdidas durante ese año, lo que incluyó ataques de alto perfil sobre
SONY, EPSILON, HBGARY y DIGINOTAR, al igual que la pérdida en RSA de aproximadamente 40 millones de archivos
semilla de contraseña de una sola vez (OTP). En total, la fuga en RSA le costó a la compañía un estimado de $66 millones,
mientras que a SONY le costó la pérdida de 100 millones de registros en la primera intrusión por un costo estimado de $170
millones. El 2011 finalizó con no menos de 535 fugas de datos con la pérdida de 30.4 millones de registros, muchos de los cuales
se debían a algunos de los ataques más sensacionales del año, de acuerdo con el Privacy Rights Clearinghouse. Estos son solo
una fracción de los ataques conocidos, ya que existen miles de violaciones de seguridad que no se reportan o no se descubren
cada año.
• Mariposa Botnet, utilizado para Windows. En mayo de 2009, Defence Intelligence hizo público el descubrimiento de una
nueva red de bots, bautizada como “Mariposa”. además de la información facilitada en su momento, en ese momento se
empezó un trabajo que ha durado meses, cuyo objetivo era acabar con una red criminal que estaba detrás de lo que iba a
convertirse en una de las mayores redes de bots de la historia. La finalidad era puramente económica. El grupo de delincuentes
detrás de Mariposa se hacía llamar DDP TEAM (Días de Pesadilla TEAM), información que se logró descubrir más tarde
cuando debido a un error fatal se descubrió a uno de los principales miembros de la banda el 3 de febrero de 2010, la guardia
civil procedió a la detención de Netkairo.
17. Se trataba de F.C.R., español, de 31 años de edad. Tras su detención, las fuerzas de seguridad incautaron material
informático, cuyo análisis forense llevó a la policía a localizar a otros 2 componentes de la banda, también españoles: J.P.R.,
de 30 años, alias “Jonyloleante”, y J.B.R., de 25 años, alias “Ostiator”. Ambos fueron arrestados el 24 de febrero de 2010.