Ameaça Persistente Avançada (APT)

Views: 417
0 0
Read Time:7 Minute, 31 Second

O que é ameaça persistente avançada (APT)?

Uma ameaça persistente avançada (APT) é um ataque cibernético prolongado e direcionado no qual um intruso obtém acesso a uma rede e permanece sem ser detectado por um longo período de tempo.

Ataques APT são iniciados para roubar dados em vez de causar danos à rede da organização de destino.

O objetivo da maioria dos ataques APT é alcançar e manter o acesso contínuo à rede de destino, em vez de entrar e sair o mais rápido possível. Como um grande esforço e recursos podem ser usados na realização de ataques APT, os hackers geralmente selecionam alvos de alto valor, como estados-nação e grandes corporações, com o objetivo de roubar informações por um longo período de tempo.

Para obter acesso, os grupos APT geralmente usam métodos avançados de ataque, incluindo explorações avançadas de vulnerabilidades de dia zero, bem como spear phishing altamente segmentado e outras técnicas de engenharia social. Para manter o acesso à rede de destino sem ser descoberto, os atores de ameaças reescreverão continuamente códigos maliciosos para evitar detecção e outras técnicas sofisticadas de evasão. Alguns APTs são tão complexos que exigem que os administradores em tempo integral mantenham os sistemas e softwares comprometidos na rede de destino.

Os motivos dos atores avançados de ameaças persistentes são variados. Por exemplo, atacantes patrocinados por estados-nação podem direcionar a propriedade intelectual para obter uma vantagem competitiva em certos setores. Outras metas podem incluir serviços públicos de distribuição de energia e telecomunicações e outros sistemas de infraestrutura, mídias sociais, organizações de mídia e alvos eleitorais e outros alvos políticos. Grupos do crime organizado podem patrocinar ameaças persistentes avançadas para obter informações que podem usar para realizar atos criminosos para ganho financeiro.

Embora os ataques APT possam ser difíceis de identificar, o roubo de dados nunca é completamente indetectável. No entanto, o ato de exfiltrar dados de uma organização pode ser a única pista que os defensores têm de que suas redes estão sob ataque. Os profissionais de segurança cibernética geralmente se concentram em detectar anomalias em dados de saída para ver se a rede foi alvo de um ataque APT.

Como funciona um ataque APT

Os atacantes que executam APTs geralmente adotam a seguinte abordagem sequencial para obter e manter o acesso contínuo a um alvo:

  • Tenha acesso. Grupos APT obtêm acesso a um alvo segmentando sistemas através da internet. Normalmente, através de e-mails de spear phishing ou através de uma vulnerabilidade de aplicativo com a intenção de aproveitar qualquer acesso inserindo software malicioso no alvo.
  • Estabeleça uma posição. Depois de obter acesso ao alvo, os atores de ameaças usam seu acesso para fazer mais reconhecimento. Eles usam o malware que instalaram para criar redes de backdoors e túneis para se movimentar despercebidos. Os APTs podem usar técnicas avançadas de malware, como reescrita de código, para cobrir suas faixas.
  • Obtenha acesso ainda maior. Uma vez dentro da rede de destino, os atores do APT podem usar métodos como quebra de senha para obter direitos administrativos. Isso lhes dá mais controle do sistema e obtém níveis ainda mais profundos de acesso.
  • Mova-se lateralmente. Uma vez que os atores de ameaças tenham violado seus sistemas de destino, incluindo a obtenção de direitos de administrador, eles podem se mover pela rede corporativa à vontade. Eles também podem tentar acessar outros servidores, bem como outras áreas seguras da rede.
  • Prepare o ataque. Neste ponto, os hackers centralizam, criptografam e compactam os dados para que possam exfiltrá-los.
  • Pegue os dados. Os atacantes coletam os dados e os transferem para seu próprio sistema.
  • Permaneça até que sejam detectados. Os cibercriminosos podem repetir esse processo por longos períodos de tempo até serem detectados, ou podem criar um backdoor para que possam acessar o sistema novamente mais tarde.

Exemplos de ameaças persistentes avançadas

Os APTs geralmente recebem nomes de seus descobridores, embora muitos ataques avançados de ameaças persistentes tenham sido descobertos por mais de um pesquisador, então alguns são conhecidos por mais de um nome.

Ameaças persistentes avançadas foram detectadas desde o início dos anos 2000, e remontam a 2003, quando hackers baseados na China realizaram a campanha Titan Rain contra alvos do governo dos EUA em uma tentativa de roubar segredos de estado sensíveis. Os atacantes visaram dados militares e lançaram ataques APT aos sistemas high-end de agências governamentais, incluindo a NASA e o FBI. Analistas de segurança apontaram o Exército Popular de Libertação da China como a fonte dos ataques.

Alguns exemplos de ameaças persistentes avançadas incluem:

  • A família de malware Sykipot APT explora falhas no Adobe Reader e Acrobat. Foi detectado em 2006, e outros ataques usando o malware supostamente continuaram até 2013. Os atores de ameaças usaram a família de malware Sykipot como parte de uma longa série de ataques cibernéticos, visando principalmente organizações dos EUA e do Reino Unido. Os hackers usaram um ataque de spear phishing que incluiu links e anexos maliciosos contendo explorações de dia zero em e-mails direcionados.
  • A operação de ciberespionagem da GhostNet foi descoberta em 2009. Executados da China, os ataques foram iniciados por meio de e-mails de spear phishing contendo anexos maliciosos. Os ataques comprometeram computadores em mais de 100 países. Os atacantes se concentraram em obter acesso aos dispositivos de rede dos ministérios e embaixadas do governo. Esses ataques permitiram que os hackers controlassem esses dispositivos comprometidos, transformando-os em dispositivos de audição e gravação, ligando remotamente suas câmeras e recursos de gravação de áudio.
  • worm Stuxnet usado para atacar o programa nuclear do Irã foi detectado por pesquisadores de segurança cibernética em 2010. Ainda é considerado uma das peças de malware mais sofisticadas já detectadas. O malware tinha como alvo sistemas SCADA (controle de supervisão e aquisição de dados) e foi espalhado com dispositivos USB infectados. Os EUA e Israel estiveram ligados ao desenvolvimento do Stuxnet e, embora nenhuma nação tenha reconhecido oficialmente seu papel no desenvolvimento, houve confirmações não oficiais de que eles eram responsáveis pelo Stuxnet.
  • O APT28, o grupo russo de ameaças persistentes avançadas também conhecido como Fancy Bear, Pawn Storm, Sofacy Group e Sednit, foi identificado por pesquisadores da Trend Micro em 2014. O APT28 tem sido associado a ataques contra alvos militares e governamentais na Europa Oriental, incluindo Ucrânia e Geórgia, bem como campanhas direcionadas a organizações da OTAN e empreiteiros de defesa dos EUA.
  • O APT29, o grupo russo de ameaças persistentes avançadas também conhecido como Cozy Bear, tem sido associado a vários ataques, incluindo um ataque de phishing de lança de 2015 no Pentágono, bem como os ataques de 2016 ao Comitê Nacional Democrata.
  • O APT34, um grupo avançado de ameaças persistentes ligado ao Irã, foi identificado em 2017 por pesquisadores da FireEye, mas está ativo desde pelo menos 2014. O grupo de ameaças tem como alvo empresas no Oriente Médio com ataques contra empresas financeiras, governamentais, de energia, químicas e de telecomunicações.
  • O APT37, também conhecido como Reaper, StarCruft e Group 123, é uma ameaça persistente avançada ligada à Coreia do Norte que acredita-se ter se originado por volta de 2012. O APT37 foi conectado a ataques de spear phishing explorando uma vulnerabilidade de dia zero do Adobe Flash.

Características de ameaças persistentes avançadas

Ameaças persistentes avançadas geralmente exibem certas características que refletem o alto grau e a coordenação necessários para violar alvos de alto valor.

A maioria dos APTs é realizada em várias fases, refletindo a mesma sequência básica de obtenção de acesso, manutenção e expansão do acesso e tentando permanecer sem ser detectada na rede de vítimas até que os objetivos do ataque sejam alcançados.

Ameaças persistentes avançadas também se distinguem por seu foco no estabelecimento de vários pontos de compromisso. Os APTs geralmente tentam estabelecer vários pontos de entrada nas redes de destino, o que lhes permite manter o acesso mesmo que a atividade maliciosa seja descoberta e a resposta a incidentes seja acionada, permitindo que os defensores de segurança cibernética fechem um compromisso.

Detectando ameaças persistentes avançadas

Ameaças persistentes avançadas têm certos sinais de alerta, apesar de normalmente serem difíceis de detectar. Uma organização pode notar certos sintomas depois de ter sido alvo de um APT, incluindo:

  • atividade incomum em contas de usuário;
  • uso extensivo de malware backdoor Trojan horse, um método que permite que os APTs mantenham o acesso;
  • atividade de banco de dados ímpar ou incomum, como um aumento repentino nas operações de banco de dados envolvendo grandes quantidades de dados; e
  • presença de arquivos de dados incomuns, que podem indicar dados que foram agrupados em arquivos para auxiliar no processo de exfiltração.

Detectar anomalias em dados de saída é talvez a melhor maneira de os profissionais de segurança cibernética determinarem se uma rede foi alvo de um ataque APT.

FONTE: TECHTARGET

POSTS RELACIONADOS

Categorias

Posts Recentes

Instagram Youtube Facebook Twitter Linkedin

Feito por VP DIGITAL