Una Amenaza Persistente Avanzada (APT por sus siglas en inglés) es una forma elegante de decir que una persona u organización ha sido el blanco específico de una entidad maliciosa –generalmente un grupo de atacantes sofisticados y determinados que realizan una campaña de robo de propiedad intelectual y buscan comprometer redes gubernamentales y comerciales.
Anatomía de una operación APT
• Reconoce el blanco. Lo primero en un ataque APT es buscar datos públicos disponibles sobre empleados específicos. Para este fin las redes sociales como LinkedIn, Facebook y los motores de búsqueda tales como Google siempre son los favoritos.
• Intrusión inicial. Con la información recaudada de las redes sociales sobre una persona en específico los atacantes pueden enviar a ese usuario un correo electrónico de Spear Phishing –por ejemplo un mensaje particular que intenta convencer al blanco de abrir un vínculo URL para ganar acceso y divulgar información. A menudo el correo electrónico utiliza contenido relevante para el blanco; si la víctima se encuentra en el departamento financiero puede dar consejos sobre controles regulatorios.
• Ingresa por la puerta trasera. El próximo paso en una APT típica es instalar algún tipo de herramienta de administración remota (RAT) que permite al atacante controlar la máquina.
• Gana mayor acceso. Al configurar el acceso remoto el atacante empezará a robar nombres de usuario y contraseñas y a buscar cuentas de usuarios con grandes privilegios.
• Realiza exfiltración de datos. El atacante intenta enviar datos comprometidos de forma codificada y comprimida a través de servidores con fachada de regreso. (“Exfiltración” es el término usado para describir el sacar los datos de un lugar, en vez de tratar de infiltrarlo).
• Echa raíces. Por último el atacante instalará más RATs y es posible que mande actualizaciones al malware para mejorar su capacidad de permanecer bajo el radar.
Check Point advierte que existen cinco tipos de comportamiento que pueden ayudar a detectar cuando un dispositivo está infectado con una APT:
1. El malware generalmente tratará de conectarse a anfitriones inexistentes mediante la Internet. Si experimenta una serie de conexiones fallidas a la Internet este puede ser un síntoma de una infección de malware.
2. Un anfitrión que instala una aplicación P2P se puede considerar peligroso para una empresa. Por favor revise las políticas de su compañía relacionadas con aplicaciones autorizadas.
3. Múltiples visitas a sitios de países con mucha piratería es una señal de alto riesgo. Verifique esos sitios con una lista de su compañía para identificar direcciones legítimas.
4. Cuando un dispositivo comienza a escuchar en un puerto para recibir una conexión exterior pero no ha empezado esa conexión esto puede ser una infección APT.
5. Si su dispositivo visita sitios de apuestas, adultos o de malware conocidos al conectarse a la Internet puede ser un síntoma de una infección APT.
¿Cómo mitigar ataques APT?
Check Point aconseja generar consciencia de la seguridad dentro de la compañía entre empleados nuevos y veteranos para evitar la intrusión inicial de APTs. La capacitación sobre ataques de spear phishing por ejemplo puede ser útil. Una organización debe tener una política de seguridad definida y personalizada hecha a la medida de las necesidades de la compañía. Esto puede ayudar mucho a bloquear el acceso dentro de la organización. Asimismo, la compañía debe tener seguridad en capas profunda y refuerzo de reglas en capas las cuales incluyen tecnologías IPS, firewall y DLP.
CIO México
