¿Qué es una amenaza persistente avanzada (APT)?
Una amenaza persistente avanzada (APT) es un ciberataque en el que los actores de la amenaza obtienen acceso no autorizado a una red o sistema con la intención de permanecer sin ser detectados durante un periodo de tiempo prolongado. Esto les permite supervisar la actividad, extraer documentos y mantener la vigilancia durante todo el tiempo que deseen.
Mantener el engaño, evitar la detección y vigilar el sistema comprometido requiere una dedicación significativa, recursos humanos y, posiblemente, malware personalizado. También puede utilizarse malware personalizado para comprometer el sistema objetivo en la fase del ataque. Esto indica el altísimo nivel de capacidad técnica que poseen estos actores de amenazas.
También tienen que disponer de suficiente mano de obra para mantener una APT activa.
¿Quién está detrás de los ataques APT?
Tradicionalmente, los grupos y colectivos de piratas informáticos patrocinados por el Estado eran las únicas organizaciones capaces de montar una APT. La existencia de muchas de estas organizaciones es conocida. Mediante una cuidadosa atribución basada en huellas digitales y otras técnicas de inteligencia, se ha identificado que muchos de los ataques APT proceden de los mismos culpables una y otra vez. Son los llamados grupos APT.
Sin embargo, no es de extrañar que haya grupos cibernéticos adecuadamente sofisticados, respaldados por grupos de delincuencia organizada, que perpetren ataques APT. También ha habido sospechas de que grandes organizaciones técnicas han sido presionadas para realizar ataques APT en nombre del Estado.
Tipos de objetivos de las APT
Una evolución preocupante de los ataques APT ha sido el ataque a infraestructuras como centrales eléctricas, comunicaciones, hospitales, instituciones financieras, plantas químicas, empresas de electrónica, fabricación, industria aeroespacial, automoción y sanidad.
Estos ataques no pretenden recabar información de inteligencia, sino hacerse con el control remoto de la infraestructura atacada y dirigirla de forma que falle. El motivo de una APT puede ser el espionaje financiero, político o industrial, y en algunos casos también puede clasificarse como guerra cibernética.
Para atacar infraestructuras de esta manera, los actores de la amenaza deben obtener acceso a los controladores lógicos programables (“programmable logic controllers” o “PLC“), que controlan los actuadores que, a su vez, regulan los procesos dentro de la planta de enriquecimiento, la planta de purificación de agua u otros objetivos críticos. Dado que todos los PLC se pueden dirigir a través de la red, comprometer la red principal permite a los actores de la amenaza acceder a estos dispositivos.
Ataques camuflados
En ocasiones, las APT pueden lanzar ataques contra objetivos mucho más amplios que una única red, organización o instalación de infraestructura. Un ataque atribuido a Sandworm, una APT con afiliaciones al ejército ruso, estaba dirigido a cualquier empresa de Ucrania que utilizara el software de contabilidad MeDoc, que eran la mayoría.
El ataque de 2017 fue un falso ataque de ransomware, utilizando un malware llamado NotPetya. Funcionaba como un ransomware normal, pero no se podía descifrar. No había un identificador único para cada red, y el código de descifrado era defectuoso a propósito.
En realidad, se trataba de un ataque masivo diseñado para destruir datos y paralizar la capacidad operativa del mayor número posible de empresas ucranianas, disfrazado de un ataque de malware normal. Este tipo de ataques son poco frecuentes, pero demuestran que no hace falta ser un objetivo militar, de infraestructuras o de otro tipo importante para verse atrapado en el fuego cruzado de una guerra cibernética.
Una vez que el malware se libera, es muy difícil de controlar. Sigue habiendo víctimas de NotPetya, incluso fuera de Ucrania. Norsk Hydro fue golpeada por NotPetyta a finales de 2019, con pérdidas estimadas en 40 millones de dólares.
Corre silencioso, corre profundo
Los piratas informáticos de las APT están muy bien cualificados y tienen a su disposición todos los recursos que necesitan. Como la mayoría de ellos se dedican a actividades patrocinadas por el Estado, son inmunes a la detención. Estados Unidos, el Reino Unido, Irán, Irak, Israel, Rusia, China, Corea del Norte y Vietnam disponen de servicios de inteligencia ofensivos y defensivos con gran capacidad cibernética. Nota: tanto ofensiva como defensiva.
La clave de la mayoría de los ataques APT es pasar desapercibidos. Esto es justo lo contrario de un ataque como un ransomware, en el que uno sabe que se ha visto comprometido porque un mensaje le informa de que ha sido atacado y tiene que pagar un rescate. Un pirata informático APT aprovecha una vulnerabilidad para acceder a su sistema. Recupera la información que necesita o plantanmalware sutil entre bastidores, como rootkits y keyloggers. Una vez completada esa parte de la misión, desaparece sin hacer ruido. Pero ahora tiene la capacidad de volver -sin ser detectados- cuando quiera.
Un ataque APT suele ejecutarse con una estrategia ligera. Los atacantes pueden permitirse tomarse su tiempo. Pueden operar de una manera que no genere muchos eventos curiosos o sospechosos en los registros del sistema ni provoque tipos inusuales de tráfico de red.
Para obtener acceso a su red, las APT utilizan vulnerabilidades conocidas o, más raramente, vulnerabilidades descubiertas por ellas mismas. Aunque la mayoría de las APT pueden generar código personalizado para explotar vulnerabilidades, cuando pueden, utilizan métodos conocidos y técnicas reconocidas. Prefieren estos métodos porque, si se detectan, la atribución del ataque resulta mucho más difícil.
También pueden utilizar malware enviado por correo electrónico como primera fase de la infiltración.
Señales de advertencia
Debido a la naturaleza a largo plazo de los ataques APT, los actores de la amenaza harán todo lo posible para no ser detectados. Estos son algunos indicadores de que probablemente debería realizar un examen cuidadoso de sus servidores y su red.
Inicios de sesión de administrador en momentos extraños
Los ataques APT pueden propagarse rápidamente desde el ordenador comprometido inicial a sus sistemas objetivo reales. Los ordenadores objetivo suelen ser los que contienen los datos más sensibles y protegidos, lo que requiere que el usuario tenga privilegios elevados o de tipo administrativo. Para obtener estos privilegios, los actores de la amenaza utilizan cualquiera de las técnicas de escalada de privilegios a su disposición.
Una de ellas consiste en extraer tablas de autenticación de la memoria del servidor comprometido y descifrarlas fuera de línea en los ordenadores de los actores de la amenaza. A continuación, pueden seleccionar una cuenta con los privilegios adecuados para acceder a la información restringida o crear una cuenta privilegiada encubierta que luego utilizarán para tal fin.
Dado que es probable que los grupos APT se encuentren en una zona horaria diferente a la suya -o literalmente al otro lado del mundo-, es posible que vea inicios de sesión de administrador a horas extrañas.
Rootkits, troyanos y malware de puerta trasera
Los actores de amenazas APT a menudo instalan rootkits u otro malware de puerta trasera (“backdoor malware“) para asegurarse de que siempre pueden recuperar el acceso incluso si las cuentas de usuario que están utilizando están deshabilitadas.
Los troyanos desplegados a través de ataques de phishing por correo electrónico son la causa de la mayoría de los ataques iniciales. Realizar análisis periódicos es fundamental para detectar cualquier tipo de malware.
Transmisiones de datos inesperadas
Hay que prestar atención a los movimientos grandes e inesperados de datos, ya sean internos o externos. Asimismo, hay que fijarse en las caídas repentinas del espacio disponible en disco. Es común que los actores de amenazas consoliden toda la información que desean extraer en un único archivo comprimido masivo.
Esto significa hacer copias de los datos originales y colocarlas en una única ubicación, para luego crear el archivo comprimido. Esto provocará una reducción repentina del espacio en disco, probablemente del orden de gigabytes. Además, hay que tener cuidado con los archivos comprimidos en formatos que su organización no utilice normalmente, como los archivos “.RAR” y “.7z”.
¿Le atacará alguna vez un grupo APT?
Los grupos APT suelen tener como objetivo instalaciones militares, políticas y de infraestructuras críticas, por lo que sería extremadamente improbable que un grupo APT atacara a una empresa comercial típica.
Pero puede ocurrir y ocurre. Si se encuentra en la cadena de suministro del objetivo real que quieren comprometer, pero ese objetivo está demasiado protegido, pueden infectarle con malware que no se activará hasta que detecte que está en la red del objetivo final. La idea es que usted pueda infectar involuntariamente al objetivo real al visitarlo mediante un ordenador infectado, el correo electrónico u otras vías de comunicación.
Y, como hemos visto, es fácil quedar atrapado como daño colateral en un ataque disfrazado. Se han montado ataques APT, como NotPetya, que atacan a cualquier organización susceptible, así como al objetivo real, para tratar de ocultar la intención real del ataque.