Actualmente la diversidad en ataques cibernéticos ha hecho de la ciberseguridad uno de los principales temas de interés tanto de las empresas como de la sociedad. Entre aquellas amenazas que resultan más preocupantes, se encuentra el APT o Advanced Persistent Threat.

En este artículo aprenderás qué son las APT, cómo funcionan, sus características y sus fases. Además, verás los ejemplos reales de APT que se utilizaron para llevar a cabo ataques, así como contrarrestar ciertos riesgos a tus dispositivos.

Una APT se define como un ataque centralizado en un objetivo específico con el fin de comprometer el sistema y robar información; utiliza diferentes herramientas para obtener acceso a su objetivo y ampliar el ataque.

 

Características de los ataques APT

1. Troyanos de puerta trasera generalizados

Los ataques APT dependen de troyanos de puerta trasera, porque los atacantes necesitan volver a los sistemas en los que han establecido una entrada principal para filtrarse en dicho software.

2. Flujos de información.

Se establece el uso de VPNs por parte de los atacantes, mediante el uso del HTTPS,  por lo que un buen punto de partida para identificar dicho malware, es saber cómo se ve normalmente tu flujo de información.

3. Paquetes de datos inesperados

Estos paquetes de datos pueden ser tu información que se filtra a los atacantes. Debes estar atento a grandes cantidades de información que está donde no debería estar, especialmente si está comprimida.

4. Campañas enfocadas de spear phishing

Se emplean correos electrónicos que comúnmente tienen un archivo de documento infectado generado por enlaces URL maliciosos o código ejecutable malicioso, por lo que rastrear el sistema infectado podría llevarte al punto cero del ataque APT.

Fases de una APT

1. Conocer el objetivo; la información recopilada puede ayudar a promover el ataque.
   
2. Encontrar una entrada y enviar malware personalizado; se puede lograr mediante phishing o usando otros medios.
   
3. Obtener el punto de apoyo; engañar a un usuario para que ejecute el malware en su sistema, dentro de la red objetivo.
   
4. Ampliando el alcance del ataque.
   
5. Encontrar y robar información; esto puede implicar la elevación de privilegios.
   
6. Mover y cubrir pistas; puede ser necesario mover o expandir los puntos de entrada para avanzar en el ataque.
   

3 ejemplos reales de APT

GhostNet

Este grupo de ciberataques APT, con sede en China, utilizó spear Phishing, así como archivos adjuntos maliciosos para obtener acceso a los sistemas en más de 100 países a partir de 2009. Entre las muchas técnicas de ataque que GhostNet utilizó fueron el audio y la captura de pantalla para obtener información sobre los objetivos.

Sykipot APT

El grupo de ataque Sykipot es conocido en parte por crear la familia de malware Sykipot APT. Este malware personalizado aprovechó vulnerabilidades en productos de Adobe y usó ataques de spear phishing para efectuar exploits de día cero sobre sus víctimas.

Mettel

Este grupo de ataque, junto con otros incluidos Carbanak y GCMAN, se dirigió a instituciones financieras. Mettel usó malware personalizado para infectar cajeros automáticos. Cuando los cajeros automáticos se liquidaron al final del día, el malware hizo transacciones de los cajeros automáticos. Esto demuestra que los ataques APT pueden robar dinero e información.

¿Cómo protegerse de las APTs?

1. Las APTs son programas diseñados con base a las características del objetivo, por lo que un antivirus o antimalware convencional no suelen ser efectivos, ya que se suelen basar en buscar patrones conocidos de otros virus que tienen en la base de datos. En este sentido, la mejor recomendación es disponer de mecanismos de seguridad y software actualizado tanto en equipos de usuario como servidores (Windows, Linux, macOS) para que los atacantes no puedan aprovechar vulnerabilidades y así infectarlos.
   
2. Es indispensable concienciar a todos y cada uno de los empleados de la importancia de la seguridad en la organización e implementar mejores prácticas, mediante protocolos, reglas y procedimientos.
   
3. Utilizar políticas de contraseñas robustas y que éstas se cambien con frecuencia.
   
4. Instalar un firewall (cortafuegos) corporativo, que aísla la red de la organización del exterior y, bien configurado, puede llevar a detectar los APTs a través de los ataques realizados, ya que se puede llegar a controlar lo que entra y lo que sale de la red, monitorizando el flujo de los datos de entrada y salida, aunque muchos cibercriminales usan los puertos 80 y 443 (http y https) para sus conexiones, lo que hace que despierten menos sospechas.
   
5. Realizar un análisis del tráfico para detectar anomalías o intrusos en la red utilizando IDS Sistemas de Detección de Intrusos, para localizar y evitar que atacantes realicen ARP spoofing, Rogue DHCP server o ataques de otro tipo.
   
6. Instalación de HIDS (sistemas de detección de intrusos basados en host – Host based intrusion detection systems), que son agentes que se instalan individualmente en cada equipo y monitorizan el estado del sistema, alertando de posibles amenazas.
   
7. Instalación de herramientas que reduzcan la probabilidad de que se exploten las vulnerabilidades provenientes de spear phishing y fallos en aplicaciones para infectar al atacante. Herramientas como EMET (Enhanced Mitigation Experience Toolkit y la guía de usuario de EMET) permiten reducir las probabilidades de que un atacante ejecute código malicioso a través en un cierto programa.
   
8. Utilizar herramientas como Honeypoto, que son sistemas especialmente diseñados para ser atacados, pero cuyo objetivo es ser un señuelo para que se detecte la intrusión. Honeynets es un equivalente, pero son auténticas redes de señuelos falsos, IOC (indicadores de compromiso) por las que, a través de unos esquemas XML, pueden llegar a detectarse ataques de APT, etc.
   

 

Conclusión

A partir de dicha información podremos catalogar a las APT como una especie de “suite” de Malware ya que combina una amplia variedad del mismo, desde un malware preexistente hasta un malware personalizado, así como algunos métodos de trabajo adecuados para lanzar ataques dirigidos que pueden continuar durante un período de tiempo prolongado ya que tienden a persistir después de los intentos iniciales de detección y mitigación, convirtiéndolos en grandes riesgos de malware junto al ransomware.

Fuentes:

http://www.ieee.es/Galerias/fichero/docs_opinion/2020/DIEEEO12_2020GABSAN_Submarinos.pdf

https://www.incibe-cert.es/blog/apt-amenaza-oculta

https://neuronamagazine.com/atacantes-aprovechan-herramientas-legitimas-en-el-30-de-los-ciberincidentes-exitosos/

https://www.gb-advisors.com/es/advanced-persistent-threat-atp-seguridad/