Las Advanced Persistent Threats (APTs) son un tipo de amenazas con un alto grado de complejidad, totalmente orientadas a atacar entidades (organismos públicos, instituciones financieras, empresas,etc.), con un objetivo concreto (militares, económicos, técnicos, políticos, etc.) durante el mayor tiempo posible y cuidando meticulosamente el no ser detectado. El propósito de este tipo de ataques está más enfocado al robo de información que a causar propiamente daños.

El termino “APT” fue establecido por las fuerzas de seguridad del  ejército americano del aire en el año 2006. Las APTs son:

  • Avanzadas: el atacante que lo realiza está altamente cualificado y utiliza herramientas y exploits personalizados.
  • Persistentes: el atacante tiene un objetivo a largo plazo y trabaja con perseverancia para alcanzarlo sin ser detectado y sin preocuparle el factor tiempo.
  • Amenazas: el atacante está organizado, financiado, cualificado y motivado.

Ciclo de vida de los ataques APT

La anatomía de las amenazas persistentes avanzadas varía bastante dependiendo tanto del atacante como de la víctima, pero en todas ellas se ha evidenciado un ciclo vida compuesto por varias fases:

Fase 1: Recolección de toda la información estratégica

En esta fase se realiza la recogida de toda la información estratégica posible acerca del objetivo fijado: información del objetivo en redes sociales, revelación de información sobre la infraestructura tecnológica, personal, nombres de usuarios, direcciones de correo, etc.

Fase 2: Intrusión inicial en la red

Durante esta fase el objetivo es llegar a estar dentro de la red. Se suele realizar mediante un exploit remoto al entrar en una determinada web o al descargar un fichero adjunto a un e-mail, exploit local. El exploit esta integrado en un objeto web, como puede ser un archivo .pdf o .xls y al ejecutar este código el malware se instala en el equipo victima para poder tomar el control sobre el.

Fase 3: Inicio de la conexión saliente

Una vez instalado el malware en el equipo se establece una conexión, normalmente cifrada SSL, entre el equipo infectado y un servidor de comando y control (C&C, Command & Control). En cuanto se realiza la conexión, el atacante tiene el control total del equipo. La conexión se puede realizar desde el atacante hacia el equipo infectado o al revés. Normalmente la conexión suele establecerla el equipo infectado ya que resulta menos sospechoso que la conexión se realice desde la red interna a la red externa.

Fase 4: Propagación lateral en busca de información

Dado que existe la probabilidad de que el equipo vulnerado no contenga información sensible, es necesario ir buscando otros objetivos de la red tales como servidores de bases de datos, servidores de ficheros, etc.

Fase 5: Extracción de los datos

En esta etapa el atacante se encarga de extraer los datos recogidos a los servidores externos. A fin de no levantar sospechas de sus actividades, suele enviar los datos en bloques de pequeño tamaño (de 50 MB a 100 MB). Para que el atacante no se relacione con los servidores en los que se alojará la información robada se suele contratar un host virtual en la nube a efectos de poder eliminar este host una vez finalizada la extracción de los datos. La información viaja cifrada para evitar ser detectado por los sistemas de monitorización.

Fase 6: Borrado de huellas

La última fase consiste en el borrado de todo rastro que haya dejado en la red. Para que no poder localizar al atacante se utilizan distintos métodos, como pueden ser:

  • Instalar un malware para entretener al personal de TI.
  • Eliminar los servidores (en la nube) donde se han almacenado los datos robados.
  • Desinstalar el malware con el que se realizó la intrusión en la red.

Indicadores de un ataque APT

Aunque las ATPs son muy difíciles de detectar, hay una serie de señales que nos pueden dar una pista de si estamos ante un ataque de esta índole.:

  • Hallar código malicioso en los datos adjuntos de uno o varios e-mails o en la descarga de una página web.
  • Detectar un incremento alto de inicios de sesión con privilegios elevados durante el periodo nocturno.
  • Detectar conexiones salientes a servidores C&C conocidos.
  • Hallar troyanos en endspoint o recursos de red de archivos compartidos.
  • Almacenamiento excesivo (del orden de GB) en puntos en los que no debiera haberlos.
  • Comunicaciones anómalas cifradas en SSL.
  • Entradas de registro con comandos de activación y desactivación del firewall o del antivirus.

APTs realizadas en los últimos años

AÑO 2009

Operación Aurora

Operación Aurora fue un ataque coordinado donde un fragmento de código informático aprovechaba una vulnerabilidad de Microsoft Internet Explorer para obtener acceso a los sistemas informáticos. Seguidamente, el ataque descargaba y activaba el malware en los sistemas. El ataque, que se iniciaba cuando los usuarios atacados accedían a una página web maliciosa (posiblemente por considerarla de confianza), acababa conectando esos sistemas informáticos a un servidor remoto. Esta conexión se utilizaba para robar propiedad intelectual de la empresa y, según Google, para obtener acceso a las cuentas de los usuarios.

AÑO 2010

Stuxnet

Es un gusano informático que afecta equipos con Windows, descubierto en junio de 2010 por VirusBlokAda, una empresa de seguridad establecida en Bielorrusia. Es el primer gusano conocido que espía y reprograma sistemas industriales, en concreto sistemas SCADA de control y monitorización de procesos, pudiendo afectar a infraestructuras críticas como centrales nucleares.

AÑO 2011

Operación Shady RAT

Estuvo orientada al robo de información, más de 70 organizaciones se vieron afectadas por esta operación, entre ellas Naciones Unidas, gobiernos y diversas empresas de todo el mundo. El ataque consistía en enviar a una persona con un nivel de acceso a información elevado un e-mail (phishing) que contenía un virus espía capaz de abrir una canal de comunicación (backdoor) por el que se enviaba la información confidencial.

AÑO 2012

Flame

Flame, también conocido como Flamer, sKyWIper, y Skywiper, es un malware modular descubierto en 2012 que ataca ordenadores con el sistema operativo Microsoft Windows. El programa se ha usado para llevar a cabo ataques de ciberespionaje en países de Oriente Medio. Flame puede propagarse a otros sistemas a través de la red de área local (LAN) y mediante memorias USB. Puede grabar audio, capturas de pantalla, pulsaciones de teclado y tráfico de red. El programa también graba conversaciones de Skype y puede controlar el Bluetooth. Estos datos, junto con los documentos almacenados en el ordenador, son enviados a uno o varios servidores dispersos alrededor del mundo. Cuando termina, el programa se mantiene a la espera hasta que recibe nuevas instrucciones de esos servidores.

AÑO 2013

APT1

Es un término utilizado por Mandiant para designar a un grupo de personas que son responsables de un conjunto particular de ATPs dentro del ejército chino.

RECOMENDACIONES

La aparición de las APT’s en el ámbito de la ciberseguridad nos lleva a realizar las siguientes recomendaciones:

  • Monitorización de la actividad real de nuestra organización mediante alguna herramienta SIEM (Security Information and Event Management).
  • Búsqueda de comportamientos anómalos en la infraestructura TIC.
  • Hacer especial hincapié en el tráfico entrante y sobre todo en el trafico saliente de nuestra red.
  • Promover la importancia de la seguridad dentro de nuestra organización mediante formación interna, cursos online, etc.
  • Disponer del personal adecuado y cualificado para realizar todas las tareas de seguridad TI.
  • Tener actualizados todos los sistemas al último parche de seguridad.
  • Adquirir o incorporar a la infraestructura de seguridad existente alguna solución Anti-APTs de las existentes en el mercado (FireEye, Trend Micro, McAfee, Palo Alto, etc).

Escrito por David Jiménez Cobo