Amenaza persistente avanzada

Una amenaza persistente avanzada, también conocida por sus siglas en inglés, APT (por Advanced Persistent Threat), es un conjunto de procesos informáticos sigilosos orquestados por un tercero (organización, grupo delictivo, una empresa, un estado,...) con la intención y la capacidad de atacar de forma avanzada (a través de múltiples vectores de ataque) y continuada en el tiempo, un objetivo determinado (empresa competidora, estado,...). Este malware es instalado usando exploits que aprovechan vulnerabilidades de la máquina objetivo. Para realizar la infección es habitual aprovechar vulnerabilidades de día cero y/o ataques de abrevadero.[1][2]

Desde la terminología militar podría decir que las APT están basadas en capacidades SIGINT en las que la adquisición es activa mediante ataque al objetivo (capacidades CNA de CNO) para modificar el comportamiento y funcionalidad para que proporcione los datos que queremos adquirir. Por ejemplo podríamos instalar malware o elementos hardware (implantes).[1]

Características

Las APT se caracterizan por:[1]

  • Ser orquestadas por grupos organizados con grandes recursos (capacidad avanzada de ataque) y con mucho interés en el objetivo del ataque y en su información. Ejemplos típicos de estas organizaciones son servicios de información, mafias organizadas, ejércitos, grupos terroristas o activistas. El uso en la denominación del término ‘amenaza’ indica la participación humana para orquestar el ataque.[3] Por su propia naturaleza puede ser difícil distinguir que equipo concreto está detrás de cada APT. Se han identificado más de 150 grupos, donde cabe destacar la especial importancia de grupos procedentes de China, Rusia e Irán.[4][5] Los grupos organizadores de APT más conocidos son los que, al menos de manera presunta, son apoyados directamente por los gobiernos más activos en el ámbito de la ciberserguridad, Estados Unidos, Rusia, China, la Unión Europea y otras:[1]
  • TAO. Su existencia fue revelada por los papeles de Snowden y está supuestamente apoyado por Estados Unidos de América.
  • Los grupos vinculados con el estado ruso son numerosos. Cada uno con sus propios objetivo y características al operar. Algunas veces cooperan entre ellos pero, en general, cada uno usa sus propias herramientas. De esta forma el descubrimiento de las actividades de unos no revelen las de los otros. La complejidad de grupos es tal que incluso se ha desarrollado un mapa interactivo que facilita su entendimiento.[6] Entre los grupos más importantes hay que destacar APT28 (objetivo sector militar, farmacéutico, el financiero, el tecnológico, ONGs e incluso en organizaciones delincuenciales) y APT29 (objetivo sector aeroespacial, defensa, energía, administraciones públicas y medios de comunicación), DragonFly (objetivo sector energético) Dragonfly 2.0 (objetivo sector energético) y Sandworm Team (objetivo entidades ucranianas asociadas a la energía, la industria, el gobierno, SCADA y los medios de comunición[7][8][9][10][4]
Por otro lado hay numerosos grupos ciberdelincuentes que operan desde Rusia (ej. Wizard Spider, Lunar Spider, Venom Spider, DarkSide) aprovechándose de la inacción del gobierno ruso.[11] En algunos casos el gobierno ruso les apoya e incluso se asocia con ellos para llevar a cabo ataques en su nombre.[11] A cambio es frecuente que estos ciberdelincuentes excluyan de sus ataques a Rusia y países asociados, excluyendo equipos en los que detecta el uso del idioma ruso o el uso de IP's asignadas a esos países.[11] El 10 de mayo de 2021, después de que la empresa responsable de un oleaducto pagara 3,6 millones de euros a los hackers responsables del ataque, el presidente de Estados Unidos, Biden, pese a que no había pruebas de participación directa del Gobierno ruso en el ataque, señaló que Moscú (Rusia) tenía la responsabilidad de lidiar con los criminales que vivían dentro de sus propias fronteras.[11]
  • APT1. Su existencia fue rebelada por la empresa de seguridad Mandiant (posteriormente comprada por FireEye) y están supuestamente apoyados por China.[12]
  • Irán, desde el ataque sufrido en 2010 en sus instalaciones nucleares usando Stuxnet, ha desarrollado sus capacidades APT y ha lanzado sus propios ataques sobre las infraestructuras, incluyendo las eléctricas, de USA y sus enemigos en oriente medio. Se le vincula con distintos grupos que se dedican a la implementación de ataques APT. Los grupos más importantes son APT33 (ataques sobre USA, Corea del Sur, Arabia Saudí y especialmente en sectores aeroespacial, defensa y petroquímico), APT34 (ataques contra infraestructuras nacionales críticas, como aeropuertos, agencias de seguridad, proveedores de energía e instituciones gubernamentales, de numerosos países incluyendo Emiratos Árabes Unidos, Jordania y Baréin), APT39 (dedicado al robo de información en sectores de las telecomunicaciones y viajes, especialmente en compañías de USA, Turquía, España, Egipto, Irak, Emiratos Árabes Unidos y Arabia Saudí), APT35 (dedicado al robo de información de individuos vinculados a agencias gubernamentales y compañías del sector de la tecnología, militar y diplomático, especialmente en objetivos de USA, Israel y Reino Unido), Cleaver, (Centrado en los sectores de las organizaciones, militares, compañías aeroespaciales y gigantes de la industria energética de 16 incluyendo USA, Israel, China, Indica, Francia, Reino Unido y Arabia Saudí), CopyKittens (dedicado al acceso a sistemas y robo de datos especialmente en sectores de instuciones gubernamentales y académicas y en compañías de defensa y tecnologías de la información, especialmente USA, Jordania, Turquía, Israel, Arabia Saudí y Alemania), Leafminer (actividades de ciberespionaje principalmente de instituciones gubernamentales e industrias del sector petroquímico, telecomunicaciones, financiero, naviero y aerolíneas especialmente de Arabia Saudí, Líbano, Israel y Kuwait), MuddyWater (dedicado al ciberespionaje enfocado inicialmente en Oriente Medio, en particular Arabia Saudí, Líbano y Omán, y luego se expandió a organizaciones de países de Europa y Norte América.[13]
  • El atacante persigue mantener el control de la infraestructura de la víctima de forma continuada. Típicamente varios años. Para que no sea detectado durante tanto tiempo el software malicioso tiene que:
    • Estar instalado en varias máquinas para mantener la persistencia en caso de sustitución, formateo o rotura de la máquinas. Estas máquinas es bueno que no tengan reputación negativa o que tengan muchas vulnerabilidades de esta forma evitaremos que esté en listas negras. El número de máquinas no tiene que ser suficientemente bajo como para no llamar la atención o evitar ser descubierto de forma casual.
    • Ser lo más sigiloso posible. Con la aparición de las Amenazas persistente avanzadas se ha dado un paso cualitativo en la complejidad de las técnicas de ocultación del software malicioso y de sus actividades. A esta nuevas técnicas avanzadas se las ha llamado Técnicas de evasión avanzadas o AET (del inglés Advanced Evasion Techniques)
    • Diseñado para evitar que sea localizado. Es habitual que el software disponga de capacidades automáticas que ante la más mínima duda de detección o intervención asociada a sus actividades se suelen borrándose rápidamente y volviéndose a reorganizar en servidores alternativos.
    • Diseñado de forma que si es localizado su análisis revele la mínima información sobre el ataque y el atacante. Es decir, se dificulte cualquier análisis TECHINT. Por ejemplo usar código cifrado u ofuscado, borrar la información comunicada, no usar comentarios, estar en idioma inglés, estilo de programación aséptico,que los identificadores no revelen ningún tipo de información.
El uso en la denominación del término ‘persistente’ indica que existe un control y monitorización externos para la extracción de datos de un objetivo específico de forma continua.[3]
  • El atacante usa varios vectores de ataque y persistencia para obtener y mantener el acceso a la red de la organización. El uso en la denominación del término 'avanzado' indica el uso de sofisticadas técnicas que utilizan software malicioso para explotar vulnerabilidades en los sistemas.

Objetivos

Una APT puede tener diferentes objetivos:[1]

  • Robo de información (ciberespionaje) tanto de estado como industrial. La mayoría de APT tienen este tipo de objetivo. Ejemplos de APT centradas en este objetivo son Duqu (buscaba información sobre el programa nuclear iraní), Flame (buscaba robo de información general sobre Oriente Medio), Shady RAT (buscaba información en diferentes sectores, en especial gobierno y defensa estadounidense), Red October (buscaba información diplomática, en especial en Europa del Este, antiguas repúblicas soviéticas y Asia Central), Net Traveler (buscaba información mediante ataque de phising personalizado a personas relevantes), Careto (buscaba información especialmente sobre Marruecos), Uroburos (buscaba información sensible de grandes empresas, estados y servicios de inteligencia de Europa y Estados Unidos) y Titan Rain (buscaba información de defensa de los Estados Unidos de América).
  • Provocación de daños o terror. Con esta motivación son típicos las campañas APT contra sistemas de control industrial (ICS) de industrias de distintos sectores. Ejemplos de este tipo de campañas son las realizadas con el (software malicioso Stuxnet (orientado al sabotaje del programa nuclear iraní), las campañas usando las distintas versiones de Shamoon (orientado a la destrucción de los datos del sector energético de países de Oriente Medio enemigos de Irán[14]) o las campañas de grupos vinculados a Rusia (Dragonfly, Dragonfly 2.0 y Sandworm) con objetivo la industria energética y con capacidad de controlar y provocar cortes de suministros en los sistemas de plantas eléctricas, de la red de energía y de algunos oleoductos.[15][16][17]
  • Beneficio económico. El fin último de algunas APT es obtener un beneficio económico ya sea, por ejemplo, vendiendo la información obtenida, comprando acciones de empresas basándose en información privilegiada, comprando acciones de empresas que se van a beneficiar del sabotaje que se va a realizar a otras, o simplemente alquilando sus servicios con un determinado fin (espionaje, sabotaje,...). Se han detectado grupos APT, como Cozy Bear o Fancy Bear, que alquilan sus servicios.[18] otros, como Desert Falcon, desarrollan operaciones mercenarias de ciberespionaje seleccionando sus víctimas cuidadosamente y buscando archivos con datos sobre ciertos temas.[19][20]

Servidores externos involucrados

En una amenaza persistente avanzada es habitual que varios servidores externos a la red comprometida, colaboren para la consecuención del objetivo. Lo más frecuente es que estos servidores sean a su vez servidores comprometidos que la APT usa sin el conocimiento de sus propietarios. Ejemplos de servidores que es frecuente que intervenga a una APT son:[1]

  • Servidor externo para la descarga inicial del malware que compromete a la víctima. La descarga típicamente es introducida en la organización de la víctima a través de un correo eslectrónico, un phising personalizado o es descargado a través de un servidor web comprometido. A veces el software malicioso se descarga directamente, pero lo más frecuente es que se descargue primero un programa dropper que no contiene código dañino pero que se ejecuta con el objetivo de descargarse el malware.
  • Servidor de control y mando. Es el responsable de enviar órdenes a los equipos comprometidos y recibir informaciones indicando el estado o el resultado de la ejecución de una orden. Estos servidores permiten a atacante el control remoto del malware y alterar su comportamiento cambiando su configuración. Por ejemplo puede poner el malware en estado latente, indicarle que se autodestruya o que infecte otro dispositivo.
  • Servidor de exfiltración. Es el servidor que reciba la información robada para que el atacante pueda acceder a ella. Normalmente se transmite usando algún tipo de protección. Por ejemplo usando cifrado preferiblemente asimétrico (necesita clave privada para descifrar), usando esteganografía, usando fichero portadores (ejemplo imagen JPEG con datos ubicado después de la marca de fin imagen 0xFFD9) o transmitiendo la información a trozos

Para dificultar la localización del origen del ataque, los servidores se suelen establecer en cadenas de N saltos con un número N elevado. Por ejemplo, una cadena de servidores de exfiltración donde el primer servidor de la cadena obtiene la información desde el malware y se la pasa al segundo servidor de la cadena. El segundo de la cadena se la pasa al siguiente y así sucesivamente. A veces en lugar de usar una cadena se usa una botnets (redes de equipos zombis controlados por un atacante y que le permiten automáticamente transferir información robada por medio mundo hasta llegar a su destino real).

Notas y referencias

  1. Amenazas persistente avanzadas. Antonio Villalón Huerta. Ed. Nau Llibres 2016
  2. Watering Hole Attack: Método de espionaje contra las empresas. Cristian Borghello. MUG 2013.
  3. «Advanced Persistent Threat - APT» (en inglés). Consultado el 18 de octubre de 2014.
  4. THREAT GROUP CARDS: A THREAT ACTOR ENCYCLOPEDIA Archivado el 23 de febrero de 2020 en Wayback Machine.. ThaiCERT. 19 de junio de 2019.
  5. APT Groups. MITRE
  6. El mapa ruso de APT revela 22.000 conexiones entre 2000 muestras de malware. ciberseguridadlatam.com. 25 de septiembre de 2019
  7. La CCI rusa (IX): grupos APT. Antonio Villalón. securityartwork.es. Enero 2017.
  8. APT28. A WINDOW INTO RUSSIA’S CYBER ESPIONAGE OPERATIONS? Archivado el 10 de enero de 2017 en Wayback Machine.. FireEye 2014.
  9. APT28. AT THE CENTER OF THE STORM. RUSSIA STRATEGICALLY EVOLVES ITS CYBER OPERATIONS. FireEye. Enero de 2017
  10. HAMMERTOSS. Stealthy Tactics Define a Russian Cyber Threat Group. FireEye 2015
  11. La gravedad del ransomware sigue creciendo ante la inacción de Rusia. Patrick Howell O'Neill. 1 de junio de 2021
  12. APT1. Exposing One of China’s Cyber Espionage Units. Mandiant. 2013
  13. Iran APT groups: An overview of the country’s key cyber warfare actors. Lucy Ingham. Verdict. 7 de enero de 2020
  14. Evolución de Shamoon – Parte 1. Salvador Sánchiz. securityartwork.es. 14 de febrero de 2019
  15. APT "dragonfly" en Sistemas de Control Industrial. INCIBE-CERT 2014
  16. Dragonfly: Symantec descubre la versión rusa de Stuxnet. Mateo Santos. 2014
  17. Un grupo de hackers se ha infiltrado en las infraestructuras eléctricas de Europa y EE.UU. Eduardo Medina. muyseguridad.net 2017
  18. Los ataques de los grupos de la APT - un paso hacia la economía. Serhii Puzyrko. advantio.com. 30 de enero de 2019
  19. Descubren grupo cibermercenarios árabes muy activo que roba archivos privados. EFE. eldiario.es. 17 de febrero de 2015
  20. Desert Falcons. kaspersky.es

Véase también

Este artículo ha sido escrito por Wikipedia. El texto está disponible bajo la licencia Creative Commons - Atribución - CompartirIgual. Pueden aplicarse cláusulas adicionales a los archivos multimedia.