Tabla de contenido:
- ¿Qué es un APT?
- ¿Cómo son diferentes los APT?
- Algunos ejemplos de APT
- ¿A dónde APTs?
- Amenazas de seguridad del siglo XXI
Un ataque en una red informática ya no es noticia de primera plana, pero hay un tipo diferente de ataque que lleva las preocupaciones de seguridad cibernética al siguiente nivel. Estos ataques se denominan amenazas persistentes avanzadas (APT). Descubra cómo difieren de las amenazas cotidianas y por qué pueden causar tanto daño en nuestra revisión de algunos casos de alto perfil que han ocurrido en los últimos años. (Para leer los antecedentes, consulte Las 5 amenazas más aterradoras en la tecnología).
¿Qué es un APT?
El término amenaza persistente avanzada (APT) puede referirse a un atacante con medios, organización y motivación sustanciales para llevar a cabo un ataque cibernético sostenido contra un objetivo.
Un APT, como es lógico, es avanzado, persistente y amenazante. Es avanzado porque emplea métodos de sigilo y de ataque múltiple para comprometer un objetivo, a menudo un recurso corporativo o gubernamental de alto valor. Este tipo de ataque también es difícil de detectar, eliminar y atribuir a un atacante en particular. Peor aún, una vez que se infringe un objetivo, a menudo se crean puertas traseras para proporcionar al atacante acceso continuo al sistema comprometido.
Los APT se consideran persistentes en el sentido de que el atacante puede pasar meses recopilando información sobre el objetivo y usar esa inteligencia para lanzar múltiples ataques durante un período prolongado de tiempo. Es amenazante porque los perpetradores a menudo buscan información altamente sensible, como el diseño de plantas de energía nuclear o códigos para entrar en contratistas de defensa de Estados Unidos.
Un ataque APT generalmente tiene tres objetivos principales:
- Robo de información confidencial del objetivo
- Vigilancia del objetivo.
- Sabotaje del objetivo
Los perpetradores de APT a menudo usan conexiones confiables para obtener acceso a redes y sistemas. Estas conexiones se pueden encontrar, por ejemplo, a través de una persona comprensiva o un empleado inconsciente que cae presa de un ataque de phishing.
¿Cómo son diferentes los APT?
Los APT son diferentes de otros ataques cibernéticos en varias formas. Primero, los APT a menudo usan herramientas personalizadas y técnicas de intrusión, como vulnerabilidades, virus, gusanos y rootkits, diseñados específicamente para penetrar en la organización objetivo. Además, los APT a menudo lanzan múltiples ataques simultáneamente para violar sus objetivos y garantizar el acceso continuo a los sistemas objetivo, a veces incluyendo un señuelo para engañar al objetivo para que piense que el ataque ha sido repelido con éxito.
Segundo, los ataques APT ocurren durante largos períodos de tiempo durante los cuales los atacantes se mueven lenta y silenciosamente para evitar ser detectados. En contraste con las tácticas rápidas de muchos ataques lanzados por los cibercriminales típicos, el objetivo de la APT es no ser detectado moviéndose "bajo y lento" con monitoreo e interacción continuos hasta que los atacantes logren sus objetivos definidos.
Tercero, los APT están diseñados para satisfacer los requisitos de espionaje y / o sabotaje, que generalmente involucran a actores estatales encubiertos. El objetivo de un APT incluye la recolección de inteligencia militar, política o económica, datos confidenciales o amenaza de secreto comercial, interrupción de operaciones o incluso destrucción de equipos.
Cuarto, los APT están dirigidos a un rango limitado de objetivos altamente valiosos. Se han lanzado ataques APT contra agencias e instalaciones gubernamentales, contratistas de defensa y fabricantes de productos de alta tecnología. Las organizaciones y empresas que mantienen y operan infraestructura nacional también son objetivos probables.
Algunos ejemplos de APT
La Operación Aurora fue una de las primeras APT ampliamente publicitadas; La serie de ataques contra compañías estadounidenses fue sofisticada, selectiva, sigilosa y diseñada para manipular objetivos.Los ataques, realizados a mediados de 2009, explotaron una vulnerabilidad en el navegador Internet Explorer, permitiendo a los atacantes obtener acceso a los sistemas informáticos y descargar malware a esos sistemas. Los sistemas informáticos estaban conectados a un servidor remoto y la propiedad intelectual fue robada a las compañías, que incluían Google, Northrop Grumman y Dow Chemical. (Lea sobre otros ataques dañinos en software malicioso: gusanos, troyanos y bots, ¡Oh, Dios mío!)
Stuxnet fue la primera APT que utilizó un ataque cibernético para interrumpir la infraestructura física. Se cree que fue desarrollado por Estados Unidos e Israel, el gusano Stuxnet apuntó a los sistemas de control industrial de una central nuclear iraní.
Aunque Stuxnet parece haber sido desarrollado para atacar instalaciones nucleares iraníes, se ha extendido mucho más allá de su objetivo previsto, y también podría usarse contra instalaciones industriales en países occidentales, incluido Estados Unidos.
Uno de los ejemplos más destacados de un APT fue la violación de RSA, una empresa de seguridad informática y de redes. En marzo de 2011, RSA descubrió una fuga cuando fue penetrada por un ataque de phishing que atrapó a uno de sus empleados y resultó en una gran captura para los ciberatacantes.
En una carta abierta a RSA publicada por los clientes en el sitio web de la compañía en marzo de 2011, el presidente ejecutivo Art Coviello dijo que un sofisticado ataque APT había extraído información valiosa relacionada con su producto de autenticación de dos factores SecurID utilizado por trabajadores remotos para acceder de forma segura a la red de su compañía .
"Si bien en este momento estamos seguros de que la información extraída no permite un ataque directo exitoso a ninguno de nuestros clientes de RSA SecurID, esta información podría potencialmente usarse para reducir la efectividad de una implementación actual de autenticación de dos factores como parte de una aplicación más amplia ataque ", dijo Coviello.
Pero resultó que Coviello estaba equivocado al respecto, ya que numerosos clientes de tokens RSA SecurID, incluido el gigante de defensa estadounidense Lockheed Martin, informaron ataques resultantes de la violación de RSA. En un esfuerzo por limitar el daño, RSA acordó reemplazar los tokens para sus clientes clave.
¿A dónde APTs?
Una cosa es segura: las APT continuarán. Mientras haya información sensible que robar, los grupos organizados irán tras ella. Y mientras existan naciones, habrá espionaje y sabotaje, físico o cibernético.
Ya hay un seguimiento del gusano Stuxnet, denominado Duqu, que fue descubierto en el otoño de 2011. Como un agente durmiente, Duqu se integró rápidamente en sistemas industriales clave y está reuniendo información y esperando su momento. Tenga la seguridad de que está estudiando documentos de diseño para encontrar puntos débiles para futuros ataques.
Amenazas de seguridad del siglo XXI
Ciertamente, Stuxnet, Duqu y sus herederos plagarán cada vez más a los gobiernos, los operadores de infraestructura crítica y los profesionales de seguridad de la información. Es hora de tomar estas amenazas tan en serio como los mundanos problemas de seguridad de la información de la vida cotidiana en el siglo XXI.
