Taula de continguts:
- Què és un APT?
- En què es diferencien els APT?
- Alguns exemples d’APT
- A on surten els APT?
- Amenaces de seguretat del segle XXI
Un atac a una xarxa informàtica ja no és cap novetat principal, però hi ha un tipus diferent d'atac que porta a les preocupacions de ciberseguretat al següent nivell. Aquests atacs s’anomenen amenaces persistents avançades (APT). Informeu-vos de què es diferencien de les amenaces quotidianes i de per què poden infligir tants danys en la revisió d'alguns casos d'alt perfil que han tingut lloc durant els darrers anys. (Per a la lectura de fons, consulteu Les 5 amenaces més esmergidores en tecnologia.)
Què és un APT?
El terme amenaça persistent avançada (APT) pot referir-se a un atacant amb mitjans, organització i motivació substancials per dur a terme un ciberataque sostingut contra un objectiu.
Un APT, no sorprèn, és avançat, persistent i amenaçador. És avançat perquè utilitza mètodes d’atac furtius i múltiples per comprometre un objectiu, sovint un recurs corporatiu o governamental d’alt valor. Aquest tipus d’atac també és difícil de detectar, eliminar i atribuir a un atacant particular. Pitjor encara, un cop incomplert un objectiu, sovint es creen espais interiors per proporcionar l’atacant un accés continu al sistema compromès.
Les APT es consideren persistents en el sentit que l’atacant pot passar mesos recopilant intel·ligència sobre l’objectiu i utilitzar aquesta intel·ligència per llançar diversos atacs durant un període de temps prolongat. És amenaçador perquè sovint els autors són informacions molt delicades, com ara la disposició de centrals nuclears o codis per trencar amb contractistes de defensa nord-americans.
Un atac APT generalment té tres objectius principals:
- Robatoris d'informació sensible des de l'objectiu
- Vigilància de l'objectiu
- Sabotatge de l'objectiu
Els perseguidors d’APT sovint utilitzen connexions de confiança per obtenir accés a xarxes i sistemes. Aquestes connexions es poden trobar, per exemple, a través d’un usuari privilegiat o un empleat que no tingui intenció que cau presa d’un atac de pesca contra la llança.
En què es diferencien els APT?
Les APT són diferents de les altres ciberataques de diverses maneres. En primer lloc, les APT sovint utilitzen eines personalitzades i tècniques d’intrusió (com ara explotacions de vulnerabilitat, virus, cucs i rootkits) dissenyades específicament per penetrar en l’organització objectiu. A més, les APT solen llançar múltiples atacs simultàniament per incomplir els objectius i garantir l’accés continuat als sistemes objectius, de vegades incloent-hi una decisió per enganyar l’objectiu a pensar que l’atac ha estat rebutjat amb èxit.
En segon lloc, els atacs APT es produeixen durant llargs períodes de temps durant els quals els atacants es mouen lentament i tranquil·lament per evitar la detecció. En contraposició a la tàctica ràpida de molts atacs llançats per cibercriminals típics, l’objectiu de l’APT és mantenir-se desapercebut movent-se “baix i lent” amb un control i interacció continuats fins que els atacants assoleixin els seus objectius definits.
En tercer lloc, els APT estan dissenyats per satisfer els requisits d'espionatge i / o sabotatge, que solen implicar actors d'estat encobert. L’objectiu d’una APT inclou la recollida d’intel·ligència militar, política o econòmica, dades confidencials o amenaça de secret comercial, interrupció de les operacions, o fins i tot destrucció d’equips.
En quart lloc, els APT tenen com a objectiu un objectiu limitat d’objectius altament valuosos. S'han llançat atacs APT contra agències i instal·lacions governamentals, contractistes de defensa i fabricants de productes d'alta tecnologia. Les organitzacions i empreses que mantenen i operen infraestructures nacionals també són objectius possibles.
Alguns exemples d’APT
L’operació Aurora va ser un dels primers APT publicitaris; la sèrie d’atacs contra empreses nord-americanes era sofisticada, orientada, furtiva i pensada per manipular objectius.Els atacs, realitzats a mitjans de 2009, van explotar una vulnerabilitat al navegador d'Internet Explorer, permetent als atacants accedir als sistemes informàtics i descarregar programari maliciós a aquests sistemes. Els sistemes informàtics es van connectar a un servidor remot i es va robar la propietat intel·lectual a les empreses, que van incloure Google, Northrop Grumman i Dow Chemical. (Llegiu sobre altres atacs perjudicials en programari maliciós: cucs, troians i bot, Oh My!)
Stuxnet va ser el primer APT que va utilitzar un ciberataque per desorganitzar la infraestructura física. Es creu que ha estat desenvolupat pels Estats Units i Israel, el cuc Stuxnet va dirigir els sistemes de control industrial d'una central nuclear iraniana.
Tot i que Stuxnet sembla haver estat desenvolupat per atacar les instal·lacions nuclears iranianes, s’ha estès molt més enllà del seu objectiu previst, i també es pot utilitzar contra instal·lacions industrials de països occidentals, inclosos els Estats Units.
Un dels exemples més destacats d’una APT va ser l’incompliment de RSA, una companyia d’informàtica i seguretat de xarxa. Al març de 2011, RSA va produir una filtració quan va ser penetrada per un atac de pesca contra la llança que va enganxar un dels seus empleats i va suposar una enorme captura de ciberataques.
En una carta oberta a RSA publicada per clients al lloc web de la companyia el març de 2011, el president executiu Art Coviello va dir que un sofisticat atac APT havia extret informació valuosa relacionada amb el seu producte d’autenticació de dos factors SecurID utilitzat per treballadors remots per accedir de forma segura a la xarxa de la seva empresa. .
"Si bé en aquest moment estem segurs que la informació extreta no permet un atac directe amb èxit a cap dels nostres clients RSA SecurID, aquesta informació podria ser utilitzada per reduir l'efectivitat d'una implementació d'autenticació de dos factors actual com a part d'una àmplia atac ", va dir Coviello.
Però, Coviello, va resultar equivocat, ja que nombrosos clients del testimoni RSA SecurID, inclòs el gegant de defensa nord-americà Lockheed Martin, van denunciar atacs derivats de la violació de RSA. En un esforç per limitar els danys, RSA va acceptar substituir els testimonis pels seus clients principals.
A on surten els APT?
Una cosa és certa: els APT continuaran. Sempre que hi hagi informació sensible per robar, els grups organitzats seran posteriors. I sempre que existeixen nacions, hi haurà espionatge i sabotatge, físic o cibernètic.
Ja hi ha un seguiment del cuc de Stuxnet, anomenat Duqu, que va ser descobert a la tardor del 2011. Com un agent per a dormir, Duqu es va incrustar ràpidament en els sistemes industrials clau i està recollint informació i apostant el seu temps. Estigueu segurs que estudia documents de disseny per trobar punts febles per a futurs atacs.
Amenaces de seguretat del segle XXI
Certament, Stuxnet, Duqu i els seus hereus plagaran cada cop més els governs, els operadors d’infraestructures crítics i els professionals de la seguretat de la informació. És hora de prendre aquestes amenaces tan seriosament com els problemes mundans de seguretat de la informació de la vida quotidiana del segle XXI.
