Una Amenaza Persistente Avanzada (APT por sus siglas en inglés) es una forma elegante de decir que una persona u organización ha sido el blanco específico de una entidad maliciosa – generalmente un grupo de atacantes sofisticados y determinados que realizan una campaña de robo de propiedad intelectual y buscan comprometer redes gubernamentales y comerciales.
Anatomía de una operación APT
- Reconoce el blanco. Lo primero en un ataque APT es buscar datos públicos disponibles sobre empleados específicos. Para este fin, las redes sociales como LinkedIn, Facebook y los motores de búsqueda tales como Google siempre son los favoritos.
- Intrusión inicial. Con la información recaudada de las redes sociales sobre una persona en específico, los atacantes pueden enviar a ese usuario un correo electrónico de Spear Phishing – por ejemplo un mensaje particular que intenta convencer al blanco de abrir un vínculo URL para ganar acceso y divulgar información. A menudo el correo electrónico utiliza contenido relevante para el blanco; si la víctima se encuentra en el departamento financiero, puede dar consejos sobre controles regulatorios.
- Ingresa por la puerta trasera. El próximo paso en una APT típica es instalar algún tipo de herramienta de administración remota (RAT) que permite al atacante controlar la máquina.
- Gana mayor acceso. Al configurar el acceso remoto el atacante empezará a robar nombres de usuario y contraseñas y a buscar cuentas de usuarios con grandes privilegios.
- Realiza exfiltración de datos. El atacante intenta enviar datos comprometidos de forma codificada y comprimida a través de servidores con fachada de regreso. («Exfiltración» es el término usado para describir el sacar los datos de un lugar, en vez de tratar de infiltrarlo).
- Echa raíces. Por último, el atacante instalará más RAT y es posible que mande actualizaciones al malware para mejorar su capacidad de permanecer bajo el radar.
Existen cinco tipos de comportamiento que pueden ayudar a detectar cuando un dispositivo puede estar infectado con una APT:
- El malware generalmente tratará de conectarse a anfitriones inexistentes mediante la Internet. Si experimenta una serie de conexiones fallidas a la Internet este puede ser un síntoma de una infección de malware.
- Un anfitrión que instala una aplicación P2P se puede considerar peligroso para una empresa. Por favor revise las políticas de su compañía relacionadas con aplicaciones autorizadas.
- Múltiples visitas a sitios de países con mucha piratería es una señal de alto riesgo. Verifique esos sitios con una lista de su compañía para identificar direcciones legítimas.
- Cuando un dispositivo comienza a escuchar en un puerto para recibir una conexión exterior pero no ha empezado esa conexión esto puede ser una infección APT.
- Si su dispositivo visita sitios de apuestas, adultos o de malware conocidos al conectarse a la Internet puede ser un síntoma de una infección APT.
Al generar consciencia de la seguridad dentro de la compañía entre empleados nuevos y veteranos se puede evitar la intrusión inicial de APTs. La capacitación sobre ataques de spear phishing, por ejemplo, puede ser útil. Una organización debe tener una política de seguridad definida y personalizada hecha a la medida de las necesidades de la compañía. Esto puede ayudar mucho a bloquear el acceso dentro de la organización. La compañía debe tener seguridad en capas profundas y refuerzo de reglas en capas las cuales incluyen tecnologías IPS, firewall y DLP.
Fuente: Check Point