¿Qué es una amenaza persistente avanzada (APT)? Guía completa

Un ciberataque bien planificado contra un gobierno o una gran empresa es una perspectiva aterradora. Particularmente cuando el ataque está diseñado para infiltrarse en una red durante un período de tiempo prolongado para robar datos confidenciales. Este tipo de campaña se conoce como una amenaza persistente avanzada (APT) y se ha convertido en una ocurrencia común en las complejas redes de hoy.

Una vez que el dominio de los grupos terroristas cibernéticos patrocinados por el estado se centró en infiltrarse en gobiernos y grandes empresas y organizaciones políticas, las APT han evolucionado para convertirse en una forma más común de ciberataque.

En esta publicación encontrarás todo lo que necesitas saber sobre las amenazas persistentes avanzadas o APT, qué es, cómo funciona y medidas de seguridad para protegerte.

¿Qué es una APT?

Una amenaza persistente avanzada (APT) es un término amplio que se utiliza para describir una campaña de ataque en la que un intruso, o un equipo de intrusos, establece una presencia ilícita a largo plazo en una red para extraer datos altamente confidenciales.

Los objetivos de estos ataques, que se eligen e investigan con mucho cuidado, suelen incluir grandes empresas o redes gubernamentales. Las consecuencias de tales intrusiones son vastas e incluyen:

  • Robo de propiedad intelectual (por ejemplo, secretos comerciales o patentes)
  • Información confidencial comprometida (por ejemplo, datos privados de empleados y usuarios)
  • El sabotaje de infraestructuras organizativas críticas (por ejemplo, eliminación de bases de datos)
  • Adquisiciones totales del sitio

Ejecutar un asalto APT requiere más recursos que un ataque a una aplicación web estándar. Los perpetradores suelen ser equipos de ciberdelincuentes experimentados que cuentan con un respaldo financiero sustancial. Algunos ataques APT están financiados por el gobierno y se utilizan como armas de guerra cibernética.

Los ataques APT se diferencian de las amenazas tradicionales de aplicaciones web en que:

  • Son significativamente más complejos.
  • No son ataques de golpe y fuga: una vez que se infiltra una red, el perpetrador permanece para obtener la mayor cantidad de información posible.
  • Se ejecutan manualmente contra una marca específica y se lanzan indiscriminadamente contra una gran cantidad de objetivos.
  • A menudo tienen como objetivo infiltrarse en una red completa, en lugar de en una parte específica.

Los ataques más comunes, como la inclusión de archivos remotos (RFI), la inyección de SQL y las secuencias de comandos entre sitios (XSS), son utilizados con frecuencia por los perpetradores para establecerse en una red objetivo. A continuación, los troyanos y los shells de puerta trasera se utilizan a menudo para expandir ese punto de apoyo y crear una presencia persistente dentro del perímetro objetivo.

Etapas de un ataque APT

Un ataque APT exitoso se puede dividir en tres etapas: infiltración de la red, expansión de la presencia del atacante y extracción de datos acumulados, todo sin ser detectado.

Infiltración

Las empresas suelen infiltrarse mediante el compromiso de una de las tres superficies de ataque: activos web, recursos de red o usuarios humanos autorizados.

Esto se logra mediante cargas maliciosas (p. Ej., RFI, inyección SQL) o ataques de ingeniería social (p. Ej., Spear phishing ), amenazas que enfrentan las grandes organizaciones de forma regular.

Además, los infiltrados pueden ejecutar simultáneamente un ataque DDoS contra su objetivo . Esto sirve tanto como una cortina de humo para distraer al personal de la red como un medio para debilitar un perímetro de seguridad, lo que facilita la brecha.

Una vez que se ha logrado el acceso inicial, los atacantes instalan rápidamente un shell de puerta trasera: malware que otorga acceso a la red y permite operaciones ocultas y remotas. Las puertas traseras también pueden presentarse en forma de troyanos enmascarados como software legítimo.

Expansión

Una vez que se establece el punto de apoyo, los atacantes se movilizan para ampliar su presencia dentro de la red.

Esto implica ascender en la jerarquía de una organización, comprometiendo a los miembros del personal con el acceso a los datos más confidenciales. Al hacerlo, pueden recopilar información comercial crítica, incluida la información de la línea de productos, los datos de los empleados y los registros financieros.

Dependiendo del objetivo final del ataque, los datos acumulados pueden venderse a una empresa competidora, modificarse para sabotear la línea de productos de una empresa o utilizarse para acabar con toda una organización.

Si el motivo es el sabotaje, esta fase se usa para ganar sutilmente el control de múltiples funciones críticas y manipularlas en una secuencia específica para causar el máximo daño. Por ejemplo, los atacantes podrían eliminar bases de datos completas dentro de una empresa y luego interrumpir las comunicaciones de red para prolongar el proceso de recuperación.

Extracción

Mientras se lleva a cabo un evento de APT, la información robada generalmente se almacena en un lugar seguro dentro de la red que está siendo atacada. Una vez que se han recopilado suficientes datos, los ladrones deben extraerlos sin ser detectados.

Por lo general, las tácticas de ruido blanco se utilizan para distraer a su equipo de seguridad para que la información se pueda mover. Esto podría tomar la forma de un ataque DDoS, nuevamente atando al personal de la red y / o debilitando las defensas del sitio para facilitar la extracción.

Señales de un ataque APT

La detección temprana de ataques APT es fundamental para una mitigación exitosa antes de que las redes se vean realmente comprometidas y los datos confidenciales estén expuestos.

Si bien este tipo de ataques pueden ser engañosos y difíciles de detectar, hay una serie de señales de alerta que los equipos de seguridad deben estar atentos:

Inicios de sesión inesperados

Una gran cantidad de inicios de sesión en el servidor fuera del horario habitual de oficina puede indicar que se está produciendo un ataque APT. Un método de entrada de red común para los ataques es mediante el uso de credenciales de inicio de sesión robadas.

Aumento de los correos electrónicos de suplantación de identidad (spear-phishing)

Spear phishing es la práctica de enviar correos electrónicos de forma fraudulenta a través de un remitente conocido. El objetivo es lograr que los destinatarios revelen información y documentos confidenciales. Una gran cantidad de estos tipos de correos electrónicos, especialmente cuando se envían a personas de la alta dirección, pueden ser parte de un ataque APT coordinado.

Movimiento de datos no autorizado

Los atacantes de APT a menudo copian datos en otra ubicación de la red antes de robarlos. Esto ayuda a garantizar que puedan mover los datos fuera de la red sin que se den cuenta. Cualquier movimiento de datos inexplicado o no autorizado debe investigarse de inmediato.

Aumento de la actividad de los troyanos de puerta trasera

Un troyano de puerta trasera permite a los atacantes obtener el control remoto de una computadora infectada. El atacante puede hacer lo que quiera en esa máquina, incluido el robo o la eliminación de archivos. Un aumento en este tipo de actividad puede indicar un ataque APT más amplio.

Medidas de seguridad APT

La detección y protección adecuadas de APT requiere un enfoque multifacético por parte de los administradores de red, los proveedores de seguridad y los usuarios individuales.

Monitorización de tráfico

La supervisión del tráfico de entrada y salida se considera la mejor práctica para prevenir la instalación de puertas traseras y bloquear la extracción de datos robados. La inspección del tráfico dentro del perímetro de tu red también puede ayudar a alertar al personal de seguridad sobre cualquier comportamiento inusual que pueda apuntar a una actividad maliciosa.

Un firewall de aplicaciones web (WAF) implementado en el borde de tu red filtra el tráfico a tus servidores de aplicaciones web, protegiendo así una de tus superficies de ataque más vulnerables. Entre otras funciones, un WAF puede ayudar a eliminar los ataques a la capa de aplicación, como los ataques de inyección de RFI y SQL, que se utilizan comúnmente durante la fase de infiltración de APT.

Los servicios de monitorización de tráfico interno, como los firewalls de red, son el otro lado de esta ecuación. Pueden proporcionar una vista granular que muestra cómo los usuarios están interactuando dentro de tu red, al mismo tiempo que ayudan a identificar anomalías del tráfico interno (por ejemplo, inicios de sesión irregulares o transferencias de datos inusualmente grandes). Esto último podría indicar que se está produciendo un ataque APT. También puedes monitorizar el acceso a archivos compartidos o honeypots del sistema.

Finalmente, los servicios de monitorización de tráfico entrante podrían ser útiles para detectar y eliminar las carcasas de puerta trasera. Estos se pueden identificar interceptando solicitudes remotas de los operadores.

Lista blanca de aplicaciones y dominios

La lista blanca es una forma de controlar los dominios a los que se puede acceder desde tu red, así como las aplicaciones que pueden instalar tus usuarios. Este es otro método útil para reducir la tasa de éxito de los ataques APT minimizando las superficies de ataque disponibles.

Sin embargo, esta medida de seguridad está lejos de ser infalible, ya que incluso los dominios más confiables pueden verse comprometidos. También se sabe que los archivos maliciosos suelen llegar bajo la apariencia de software legítimo. Además, las versiones de productos de software más antiguas son propensas a verse comprometidas y explotadas.

Para una lista blanca eficaz, se deben aplicar políticas de actualización estrictas para garantizar que sus usuarios siempre estén ejecutando la última versión de cualquier aplicación que aparezca en la lista.

Control de acceso

Para los perpetradores, tus empleados generalmente representan el punto débil más grande y vulnerable en su perímetro de seguridad. La mayoría de las veces, esta es la razón por la que los intrusos ven a los usuarios de tu red como una puerta de entrada fácil para infiltrarse en tus defensas, mientras expanden su control dentro de tu perímetro de seguridad.

Aquí, los posibles objetivos se incluyen en una de las siguientes tres categorías:

  • Usuarios descuidados que ignoran las políticas de seguridad de la red y, sin saberlo, otorgan acceso a posibles amenazas.
  • Personas internas malintencionadas que abusan intencionalmente de tus credenciales de usuario para otorgar acceso al perpetrador.
  • Usuarios comprometidos cuyos privilegios de acceso a la red están comprometidos y son utilizados por atacantes.

El desarrollo de controles efectivos requiere una revisión integral de todos los miembros de tu organización, especialmente la información a la que tienen acceso. Por ejemplo, clasificar los datos según la necesidad de conocerlos ayuda a bloquear la capacidad de un intruso de secuestrar las credenciales de inicio de sesión de un miembro del personal de bajo nivel, usándolas para acceder a materiales confidenciales.

Los puntos clave de acceso a la red deben protegerse con autenticación de dos factores (2FA). Requiere que los usuarios utilicen una segunda forma de verificación cuando acceden a áreas sensibles (por lo general, un código de acceso enviado al dispositivo móvil del usuario). Esto evita que los actores no autorizados disfrazados de usuarios legítimos se muevan por tu red.

Medidas adicionales

Además de las anteriores, estas son las medidas de mejores prácticas que debes tomar al proteger tu red:

  • Parchear el software de red y las vulnerabilidades del sistema operativo lo más rápido posible.
  • Cifrado de conexiones remotas para evitar que intrusos se apoderen de ellas para infiltrarse en tu sitio.
  • Filtrado de correos electrónicos entrantes para evitar spam y ataques de phishing dirigidos a tu red.
  • Registro inmediato de eventos de seguridad para ayudar a mejorar las listas blancas y otras políticas de seguridad.

Cómo manejar las amenazas persistentes avanzadas

Limpiar después de un ataque APT no es divertido. Si el equipo de TI de tu organización ha encontrado evidencia de un ataque APT, esto es lo que debe hacer:

  • Identifica el alcance del problema: ¿a qué máquinas tienen acceso los atacantes? ¿A dónde va la información robada? ¿Qué herramientas maliciosas se están utilizando? ¿Los atacantes tienen acceso a contraseñas, cuentas de correo electrónico, etc.? ¿Qué unidades de negocio se ven afectadas?
  • Alertar a los ejecutivos: presenta el problema a la alta dirección para que puedan decidir cuál es la mejor forma de proceder y a quién se debe informar sobre la violación de seguridad.
  • Decidir sobre una estrategia de recuperación: aislar o eliminar los sistemas de usuarios finales comprometidos y restablecer las contraseñas puede ser el primer paso. Por otra parte, esto alertará a los atacantes de que han sido detectados, dándoles la oportunidad de mejorar su juego e infiltrarse más en la red. Una decisión alternativa puede ser concentrarse en eliminar la amenaza sin quitar las computadoras afectadas.
  • Establece un plan para eliminar la amenaza utilizando equipos que incluyan especialistas en TI y gerentes comerciales, y contratando expertos externos cuando sea necesario. Si no deseas que los atacantes sepan lo que estás haciendo, utiliza un método de comunicación alternativo fuera de la red o consulta el plan con una palabra clave. El plan debe ser minucioso, minimizando el tiempo de inactividad de las aplicaciones críticas y asegurando que no se pierda tiempo tomando decisiones durante el proceso de reparación real. Todos los recursos necesarios, incluidos los empleados, el dinero, el tiempo y la tecnología, deben reservarse antes de comenzar el proceso.
  • Mejora los esfuerzos para proteger la red: puede que sea demasiado tarde para este momento, pero para el futuro, asegúrate de que tu red esté protegida utilizando algunas de las técnicas de protección contra amenazas enumeradas anteriormente.

Las amenazas persistentes avanzadas son ataques complejos y prolongados que pueden causar estragos incluso en las organizaciones globales más grandes.

Para evitar que las APT obtengan acceso a tus datos, debes ser tan sofisticado y proactivo como tus adversarios para proteger la red de tu organización y estar atento a cualquier actividad sospechosa que pueda indicar que se está produciendo un ataque. Si te conviertes en un objetivo, elabora un plan de recuperación detallado para garantizar las máximas posibilidades de éxito de la recuperación, con un tiempo de inactividad y daños mínimos.

Ejemplos de APT

Algunos ejemplos de amenazas persistentes avanzadas incluyen:

  • La familia de malware Sykipot APT aprovecha las fallas en Adobe Reader y Acrobat. Se detectó en 2006 y, según los informes, continuaron los ataques con el malware hasta 2013. Los actores de amenazas utilizaron la familia de malware Sykipot como parte de una serie de ciberataques de larga duración, principalmente dirigidos a organizaciones de EE.UU. y Reino Unido. Esto, incluidas las agencias gubernamentales, los contratistas de defensa y las empresas de telecomunicaciones. Los piratas informáticos utilizaron un ataque de spear phishing que incluía enlaces y archivos adjuntos maliciosos que contenían exploits de día cero en correos electrónicos dirigidos.
  • La operación de ciberespionaje GhostNet se descubrió en 2009. Ejecutados desde China, los ataques se iniciaron a través de correos electrónicos de spear phishing que contenían archivos adjuntos maliciosos. Los ataques comprometieron computadoras en más de 100 países. Los atacantes se concentraron en obtener acceso a los dispositivos de red de los ministerios gubernamentales y las embajadas. Estos ataques permitieron a los piratas informáticos controlar estos dispositivos comprometidos, convirtiéndolos en dispositivos de escucha y grabación al encender de forma remota sus cámaras y capacidades de grabación de audio.
  • El gusano Stuxnet utilizado para atacar el programa nuclear de Irán fue detectado por investigadores de ciberseguridad en 2010. Todavía se considera una de las piezas de malware más sofisticadas jamás detectadas. El malware se dirigió a los sistemas SCADA (control de supervisión y adquisición de datos) y se propagó con dispositivos USB infectados. Estados Unidos e Israel han estado vinculados al desarrollo de Stuxnet, y aunque ninguna nación ha reconocido oficialmente su papel en su desarrollo, ha habido confirmaciones no oficiales de que fueron responsables de Stuxnet.
  • APT29, el grupo ruso de amenazas persistentes avanzadas también conocido como Cozy Bear, se ha relacionado con una serie de ataques, incluido un ataque de spear phishing en 2015 contra el Pentágono, así como los ataques de 2016 contra el Comité Nacional Demócrata.
  • APT28, el grupo ruso de amenazas persistentes avanzadas también conocido como Fancy Bear, Pawn Storm, Sofacy Group y Sednit, fue identificado por investigadores de Trend Micro en 2014. APT28 se ha relacionado con ataques contra objetivos militares y gubernamentales en Europa del Este, incluida Ucrania y Georgia, así como campañas dirigidas a organizaciones de la OTAN y contratistas de defensa de EE. UU.
  • APT34, un grupo de amenaza persistente avanzado vinculado a Irán, fue identificado en 2017 por investigadores de FireEye, pero ha estado activo desde al menos 2014. El grupo de amenaza ha apuntado a empresas en el Medio Oriente con ataques contra los sectores financiero, gubernamental, energético, químico y empresas de telecomunicaciones.
  • APT37, también conocido como Reaper, StarCruft y Group 123, es una amenaza persistente avanzada vinculada a Corea del Norte que se cree que se originó alrededor de 2012. APT37 se ha conectado a ataques de spear phishing que explotan una vulnerabilidad de día cero de Adobe Flash.