Qu es una APT?

11 Jun 2013 Brian Donohue Featured Post, Malware 6 comentarios

APT son las siglas del trmino ingls Advanced Persistent Threat (Amenaza Avanzada
Persistente), concepto que salt a la fama tras la divulgacin, por parte de The New York
Times, del ataque realizado por una unidad militar china (conocida como APT1) contra las
redes de diferentes medios mediante una campaa de spear phishing y malware.

Las APT tienen dos caras: el concepto y las personas. Por una parte, esta amenaza es un
tipo sofisticado de ciberataque. En cambio, tambin puede referirse a aquellos grupos,
normalmente patrocinados por los estados, que son los responsables del lanzamiento de
dichas campaas maliciosas.
Cuando pensamos en la mayora de cibercriminales y sus ataques, creemos que su objetivo
es infectar tantos equipos como sea posible a travs de un software malicioso, una red de
botnets o el robo de credenciales. Cuanto mayor es la Red, ms oportunidades existen para
robar dinero, recursos informticos, etc. En cambio, las ATP no atacan de forma aleatoria,
sino que tienen un objetivo especfico.
As, su fin es comprometer un equipo en concreto, el cual contiene informacin de valor.
Sera todo un xito si un atacante lograra cargar un keylogger o instalar un backdoor en el

ordenador de un alto directivo de una compaa importante. Pero, afortunadamente, no es

tan sencillo. Existen muchos profesionales que trabajan para que esto no ocurra. En otras
palabras, es realmente difcil hackear a este tipo de individuos.
As que, en vez de dirigir sus ataques contra un CEO, los grupos APT suelen escoger otros
objetivos ms sencillos, como empleados de menor rango, los cuales no almacenan tanta
informacin valiosa en sus equipos pero utilizan la misma red y pueden convertirse en el
trampoln que les haga llegar a los ordenadores que desean. Es decir, los ataques se dirigen
a empleados corrientes para llegar al equipo del gran jefe.
Esta tctica tambin resulta complicada porque las compaas siguen invirtiendo recursos
en productos de seguridad informtica y en la educacin de sus empleados. Los hackers
APT cada vez eligen objetivos ms oscuros para sincronizar una cadena compleja de
infecciones que les abra camino hasta la informacin de valor. Por ejemplo, si eres un
ingeniero que trabaja para una compaa que disea piezas para el modelo Boeing; sers el
objetivo inicial de los grupos APT para hacerse con el secreto mejor guardado.
Cul es la conclusin? No es necesario ser un CEO para convertirse en el objetivo de una
APT; cualquiera puede ser la conexin perfecta en un ataque dirigido.
La semana pasada, nuestros amigos de Securelist descubrieron una campaa de
ciberespionaje, estilo APT, llamada NetTraveler. Entre sus objetivos se encontraban
diplomticos, subcontratas militares y agencias gubernamentales procedentes de 40 pases.
Este ataque, como otros muchos APT, comenz con una campaa de spear phishing que
explotaba un par de vulnerabilidades de Microsoft. Al final, los atacantes utilizaron una
herramienta capaz de extraer la informacin del sistema mediante un malware de
keylogging robando documentos Word, Excel y Power Point y modificando las
configuraciones para aduearse de diseos Corel Draw, archivos AutoCAD y otro tipo de
documentos usados en los crculos de defensa. Se debera considerar este ataque una
amenaza avanzada persistente porque no solo se diriga a individuos especficos sino a
organizaciones cuyos equipos contenan secretos valiosos. Los investigadores de Kaspersky
Lab han afirmado que quien haya lanzado el ataque NetTraveler puede ser el responsable,
tambin, de los ataques Titan Rain y GhostNet.

http://blog.kaspersky.es/que-es-una-apt/966/

Qu son las APTs?

Las advanced persistent threats (APTs) son una categora de
malware que se encuentra totalmente orientado atacar objetivos
empresariales o polticos. Todos los APTs tienen algunas caractersticas
en comn, pero sin dudas una de las mayores caractersticas es la
capacidad de ocultamiento por parte de este tipo de amenazas. Al ser
amenazas altamente sigilosas, estas logran perdurar dentro de la red
afectada por largos periodos de tiempo sin ser detectadas. Sin
embargo, en su nombre en ningn momento aparece la palabra
sigilosa (en ingls Stealth), advanced persistent threat hace
referencia a tres caractersticas muy importantes en este tipo de
malware sin importar la diferencia que pudiera existir en todas las
definiciones que podemos encontrar en Internet.
Se les llama avanzadas (en ingls Advanced), ya que este tipo de
amenazas cuentan no con uno, sino con varios mtodos de ataque,
propagacin u ocultamiento en el sistema. As mismo, se conoce que
este tipo de amenazas son generadas por grupos de profesionales,
quienes tienen el tiempo, el conocimiento, la paciencia y los recursos
para generar una pieza nica, sin precedentes, generadas desde la nada
misma, evitando herramientas de construccin de malware. Por ejemplo,
en el caso de Stuxnet se han logrado identificar al menos 20 tipos de
codificacin distinta, evitando la posibilidad de obtener un perfil de su
programador. Se les llama persistentes (en ingls Persistent) ya que
sus creadores toman muy en serio su objetivo. Quienes tienen la tarea
de desarrollar una APT, no buscan un rdito inmediato, sino que esperan
pacientemente dentro de su objetivo, monitoreando sigilosamente y con
un perfil bajo. Por ejemplo, se supo que la botnet mariposa se encontr
residiendo dentro de algunas empresas por ms de un ao. Se les llama
amenazas (en ingls Threat) debido al nivel de coordinacin humana
involucrada en el ataque. A diferencia de otras piezas de cdigo
totalmente carentes de inteligencia y automticas, los operadores de
una APT cuentan con un objetivo claro, siendo quienes estn detrs de
este tipo de cdigos, personas capacitadas, motivadas, organizadas y
sobre todo, bien pagas.

Cmo ingresa una APT dentro de la empresa?

Las APTs logran ingresar dentro de las empresas a travs de distintos

vectores de infeccin, incluso en aquellos escenarios protegidos con
buenas estrategias de seguridad. Al menos pueden distinguirse tres
grandes grupos o vectores de introduccin de una APT en una
organizacin:

Infeccin de
malware
proveniente de
Internet

Download
ers

Archivos
adjuntos en
correos
electrnicos

o
o

Archivos
compartidos
o redes P2P
Software
pirata o uso
de Keygens
Phishing
Envenena
miento de
DNS, etc.

Infeccin de
malware por
medios fsicos

Infeccin por exploit

externo

Pendriv
es o Sticks
USB

Hackers
profesionale
s

CDs o
DVDs

Vulnerabil
idades

Tarjetas
de
memoria

Ingreso
por Wifi

Applian
ces

Ataque a
la nube

Equipo
s de
tecnologa
con
backdoors

A pesar de contar de innumerables casos de APTs dentro de las tres

categorias mostradas anteriormente, existen registros en donde el
ingreso de la APT no corresponde con estas. Es necesario, cuando se
habla de ATPs, contar cn la posibilidad de un contacto interno en la
organizacin. Las amenazas internas o conexin de confianza son
aquellos empleados de las organizaciones que sirven para plantar la
APT de manera interna, sin necesidad de tener que quebrar la barrera
perimetral de seguridad de la red. Este ltimo factor, es un ingrediente

clave en muchas APTs. Mientras que aquellas organizaciones que son

objetivo de este tipo de amenazas emplean tecnologias sofisticadas en
prevenir el acceso no autorizado, los responsables de las APTs utilizan
credenciales de empleados o proveedores a travs de oficinas remotas,
menos seguras y logran de esta manera recolectar la informacion
necesaria para lanzar el ataque.
Una parte vital de la APT es la capacidad de una APT de permanecer
oculta dentro de la organizacin por mucho tiempo, ya que presentan un
perfil de ataque lento y bajo, moviendose de manera sigilosa entre un
host y otro. Sin embargo, a pesar de permanecer totalmente
ocultas a nivel de host, las APTs necesitan comunicarse con su
servidor de Command & Control, siendo este tipo de
comunicacin dentro del trfico de red, el unico sintoma
perceptible de su precencia.
http://antivirus.com.ar/techieblog/2011/09/%C2%BFque-son-las-apts/