Advanced Persistent Threat (APT – Ameaça Persistente Avançada)

O que é ameaça persistente avançada (APT)?

Uma ameaça persistente avançada (APT) é um ataque cibernético prolongado e direcionado no qual um invasor obtém acesso a uma rede e permanece sem ser detectado por um longo período de tempo.

Os ataques APT são iniciados para roubar dados em vez de causar danos à rede da organização alvo.

O objetivo da maioria dos ataques APT é alcançar e manter o acesso contínuo à rede visada, em vez de entrar e sair o mais rápido possível. Como uma grande quantidade de esforço e recursos podem ser usados ​​para realizar ataques APT, os hackers geralmente selecionam alvos de alto valor, como estados-nações e grandes corporações, com o objetivo de roubar informações por um longo período de tempo .

Para obter acesso, os grupos APT costumam usar métodos avançados de ataque, incluindo explorações avançadas de vulnerabilidades zero-day, bem como spear phishing altamente direcionado e outras técnicas de engenharia social. 

Para manter o acesso à rede visada sem serem descobertos, os agentes da ameaça reescreverão continuamente o código malicioso para evitar a detecção e outras técnicas sofisticadas de evasão. Alguns APTs são tão complexos que exigem administradores em tempo integral para manter os sistemas e software comprometidos na rede de destino.

Os motivos dos agentes de ameaças persistentes avançados são variados. Por exemplo, os invasores patrocinados por Estados-nação podem visar a propriedade intelectual para obter uma vantagem competitiva em determinados setores. Outros alvos podem incluir distribuição de energia e serviços de telecomunicações e outros sistemas de infraestrutura, mídia social, organizações de mídia e alvos eleitorais e outros alvos políticos. Os grupos do crime organizado podem patrocinar ameaças persistentes avançadas para obter informações que podem usar para realizar atos criminosos para ganho financeiro.

Embora os ataques APT possam ser difíceis de identificar, o roubo de dados nunca é completamente indetectável. No entanto, o ato de exfiltrar dados de uma organização pode ser a única pista que os defensores têm de que suas redes estão sendo atacadas. Os profissionais de segurança cibernética geralmente se concentram na detecção de anomalias nos dados de saída para ver se a rede foi alvo de um ataque APT.

Como funciona um ataque APT

Os invasores que executam APTs geralmente adotam a seguinte abordagem sequencial para obter e manter o acesso contínuo a um alvo:

• Ganhar acesso. Os grupos APT obtêm acesso a um alvo por meio de sistemas de direcionamento por meio da Internet. Normalmente, por meio de e-mails de spear phishing ou por meio de uma vulnerabilidade de aplicativo com a intenção de alavancar qualquer acesso inserindo software malicioso no alvo.
• Estabeleça um ponto de apoio. Depois de obter acesso ao alvo, os atores da ameaça usam seu acesso para fazer mais reconhecimento. Eles usam o malware que instalaram para criar redes de backdoors e túneis para se moverem despercebidos. Os APTs podem usar técnicas avançadas de malware, como reescrever código para encobrir seus rastros.
• Obtenha um acesso ainda maior. Uma vez dentro da rede-alvo, os agentes APT podem usar métodos como a quebra de senha para obter direitos administrativos. Isso dá a eles mais controle do sistema e níveis de acesso ainda mais profundos.
• Mova-se lateralmente. Depois que os agentes da ameaça violam seus sistemas de destino, incluindo a obtenção de direitos de administrador, eles podem mover-se pela rede corporativa à vontade. Eles também podem tentar acessar outros servidores, bem como outras áreas seguras da rede.
• Organize o ataque. Nesse ponto, os hackers centralizam, criptografam e compactam os dados para que possam exfiltrá-los.
• Pegue os dados. Os invasores colhem os dados e os transferem para seu próprio sistema.
• Permaneça até serem detectados. Os cibercriminosos podem repetir esse processo por longos períodos até serem detectados ou podem criar uma porta dos fundos para que possam acessar o sistema novamente mais tarde.

Exemplos de ameaças persistentes avançadas

APTs geralmente recebem nomes atribuídos por seus descobridores, embora muitos ataques avançados de ameaças persistentes tenham sido descobertos por mais de um pesquisador, portanto, alguns são conhecidos por mais de um nome.

Ameaças persistentes avançadas foram detectadas desde o início dos anos 2000, e datam de 2003, quando hackers baseados na China realizaram a campanha Titan Rain contra alvos do governo dos EUA em uma tentativa de roubar segredos de estado confidenciais. Os invasores direcionaram dados militares e lançaram ataques APT contra sistemas de ponta de agências governamentais, incluindo a NASA e o FBI. Analistas de segurança apontaram o Exército de Libertação do Povo Chinês como a fonte dos ataques.

Alguns exemplos de ameaças persistentes avançadas incluem:

• A família de malware Sykipot APT explora as falhas do Adobe Reader e do Acrobat. Ele foi detectado em 2006, e outros ataques usando o malware continuaram supostamente em 2013. Os agentes da ameaça usaram a família de malware Sykipot como parte de uma longa série de ataques cibernéticos, principalmente visando organizações dos EUA e do Reino Unido. Os hackers usaram um ataque de spear phishing que incluiu links e anexos maliciosos contendo exploits de dia zero em e-mails direcionados.
• A operação de espionagem cibernética GhostNet foi descoberta em 2009 . Executados na China, os ataques foram iniciados por meio de e-mails de spear phishing contendo anexos maliciosos. Os ataques comprometeram computadores em mais de 100 países. Os invasores se concentraram em obter acesso aos dispositivos de rede de ministérios e embaixadas do governo. Esses ataques permitiram que os hackers controlassem esses dispositivos comprometidos, transformando-os em dispositivos de escuta e gravação ao ligar remotamente suas câmeras e recursos de gravação de áudio.
• O worm Stuxnet usado para atacar o programa nuclear do Irã foi detectado por pesquisadores de segurança cibernética em 2010. Ele ainda é considerado uma das peças de malware mais sofisticadas já detectadas. O malware tinha como alvo os sistemas SCADA (controle de supervisão e aquisição de dados) e se espalhou com dispositivos USB infectados. Os Estados Unidos e Israel estão ligados ao desenvolvimento do Stuxnet e, embora nenhuma das nações tenha oficialmente reconhecido seu papel no desenvolvimento, houve confirmações não oficiais de que foram responsáveis ​​pelo Stuxnet.
• APT28 , o grupo russo de ameaças persistentes avançadas também conhecido como Fancy Bear, Pawn Storm, Sofacy Group e Sednit, foi identificado por pesquisadores da Trend Micro em 2014. APT28 foi relacionado a ataques contra alvos militares e governamentais na Europa Oriental, incluindo Ucrânia e Geórgia, bem como campanhas visando organizações da OTAN e empreiteiros de defesa dos EUA.
• APT29 , o grupo russo de ameaças persistentes avançadas também conhecido como Cozy Bear, foi vinculado a uma série de ataques, incluindo um ataque de spear phishing em 2015 no Pentágono, bem como os ataques de 2016 no Comitê Nacional Democrata.
• APT34 , um grupo de ameaça persistente avançado ligado ao Irã, foi identificado em 2017 por pesquisadores da FireEye, mas está ativo desde pelo menos 2014. O grupo de ameaça tem como alvo empresas no Oriente Médio com ataques contra finanças, governo, energia, produtos químicos e empresas de telecomunicações.
• APT37 , também conhecido como Reaper, StarCruft e Group 123, é uma ameaça persistente avançada vinculada à Coreia do Norte que se acredita ter se originado por volta de 2012. APT37 foi conectado a ataques de spear phishing que exploram uma vulnerabilidade de dia zero do Adobe Flash.

Características de ameaças persistentes avançadas

Ameaças persistentes avançadas geralmente exibem certas características que refletem o alto grau e coordenação necessários para violar alvos de alto valor.

A maioria dos APTs é realizada em várias fases, refletindo a mesma sequência básica de obter acesso, manter e expandir o acesso e tentar permanecer sem ser detectado na rede da vítima até que os objetivos do ataque sejam alcançados.

Ameaças persistentes avançadas também se distinguem por seu foco no estabelecimento de vários pontos de comprometimento. Os APTs geralmente tentam estabelecer vários pontos de entrada nas redes visadas, o que permite que eles retenham o acesso mesmo se a atividade maliciosa for descoberta e a resposta a incidentes for acionada, permitindo que os defensores da segurança cibernética fechem um compromisso.

Detectando ameaças persistentes avançadas

Ameaças persistentes avançadas têm certos sinais de alerta, apesar de serem geralmente difíceis de detectar. Uma organização pode notar certos sintomas após ter sido alvo de um APT, incluindo:

• atividade incomum em contas de usuário;
• uso extensivo de malware cavalo de Tróia de backdoor , um método que permite que os APTs mantenham o acesso;
• atividade de banco de dados estranha ou atípica, como um aumento repentino nas operações de banco de dados envolvendo grandes quantidades de dados; e
• presença de arquivos de dados incomuns, o que pode indicar dados agrupados em arquivos para auxiliar no processo de exfiltração.

Detectar anomalias nos dados de saída talvez seja a melhor maneira para os profissionais de segurança cibernética determinarem se uma rede foi alvo de um ataque de APT.

Fonte: TerchTarget