Amenaza persistente avanzada

De Wikipedia, la enciclopedia libre
Ir a la navegación Ir a la búsqueda

Una amenaza persistente avanzada, también conocida por sus siglas en inglés, APT (por Advanced Persistent Threat), es un conjunto de procesos informáticos sigilosos orquestados por un tercero (organización, grupo delictivo, una empresa, un estado,...) con la intención y la capacidad de atacar de forma avanzada (a través de múltiples vectores de ataque) y continuada en el tiempo, un objetivo determinado (empresa competidora, estado,...).[1]

Desde la terminología militar podría decir que las APT están basadas en capacidades SIGINT en las que la adquisición es activa mediante ataque al objetivo (capacidades CNA de CNO para modificar el comportamiento y funcionalidad para que proporcione los datos que queremos adquirir. Por ejemplo podríamos instalar malware o elementos hardware (implantes).[1]

Características[editar]

Las APT se caracterizan por:[1]

  • Ser orquestadas por grupos organizados con grandes recursos (capacidad avanzada de ataque) y con mucho interés en el objetivo del ataque y en su información. Ejemplos típicos de estas organizaciones son servicios de información, mafias organizadas, ejércitos, grupos terroristas o activistas. El uso en la denominación del término ‘amenaza’ indica la participación humana para orquestar el ataque.[2]​. Los grupos organizadores de APT más conocidos son los que, al menos de manera presunta, son apoyados directamente por los gobiernos más activos en el ámbito de la ciberserguridad:[1]
  • TAO. Su existencia fue rebelada por los papeles de Snowden y está supuestamente apoyado por Estados Unidos de América.
  • APT28 y APT29. Su existencia fue rebelada por la empresa de seguridad FireEye y están supuestamente apoyados por Rusia. APT29 suele usar técnicas de phishing dirigido a la víctima, con un enlace en el correo. Sus ámbitos preferidos de ataque son además del ámbito militar, sectores como el farmacéutico, el financiero, el tecnológico, ONGs e incluso en organizaciones delincuenciales. Por su parte, APT28 trabaja más con la creación de páginas web fraudulentas similares en aspecto a las de sus objetivos, con nombres de dominios cercanos a los legítimos, para robo de credenciales. Sus ámbitos preferidos de ataque son el aeroespacial, defensa, energía, administraciones públicas y medios de comunicación[3][4][5][6]
  • APT1. Su existencia fue rebelada por la empresa de seguridad Mandiante (posteriormente comprada por FireEye) y están supuestamente apoyados por China.[7]
  • El atacante persigue mantener el control de la infraestructura de la víctima con el despliegue de capacidades necesarias para persistir en su objetivo. Es habitual el uso de software malicioso lo más sigiloso posible para evitar su detección. El uso en la denominación del término ‘persistente’ indica que existe un control y monitorización externos para la extracción de datos de un objetivo específico de forma continua.[2]
  • El atacante usa varios vectores de ataque y persistencia para obtener y mantener el acceso a la red de la organización. El uso en la denominación del término 'avanzado' indica el uso de sofisticadas técnicas que utilizan software malicioso para explotar vulnerabilidades en los sistemas.

Objetivos[editar]

Una APT puede tener diferentes objetivos:[1]

  • Robo de información (ciberespionaje) tanto de estado como industrial. La mayoría de APT tienen este tipo de objetivo. Ejemplos de APT centradas en este objetivo son Duqu (buscaba información sobre el programa nuclear iraní), Flame (buscaba robo de información general sobre Oriente Medio), Shady RAT (buscaba información en diferentes sectores, en especial gobierno y defensa estadounidense), Red October (buscaba información diplomática, en especial en Europa del Este, antiguas repúblicas soviéticas y Asia Central), Net Traveler (buscaba información mediante ataque de phising personalizado a personas relevantes), Careto (buscaba información especialmente sobre Marruecos), Uroburos (buscaba información sensible de grandes empresas, estados y servicios de inteligencia de Europa y Estados Unidos).
  • Beneficio económico.
  • Provocación de daños o terror. Por ejemplo Stuxnet fue un software malicioso realizado para una APT orientada al sabotaje industrial, en concreto del programa nuclear iraní]].
  • Reivindicación (ciberactivismo)
  • Superioridad en el ciberespacio (ciberguerra)

Notas y referencias[editar]

  1. a b c d e Amenazas persistente avanzadas. Antonio Villalón Huerta. Ed. Nau Llibres 2016
  2. a b «Advanced Persistent Threat - APT» (en inglés). Consultado el 18 de octubre de 2014. 
  3. La CCI rusa (IX): grupos APT. Antonio Villalón. securityartwork.es. Enero 2017.
  4. APT28: A WINDOW INTO RUSSIA’S CYBER ESPIONAGE OPERATIONS?. FireEye 2014.
  5. [https://www2.fireeye.com/rs/848-DID-242/images/APT28-Center-of-Storm-2017.pdf APT28: AT THE CENTER OF THE STORM. RUSSIA STRATEGICALLY EVOLVES ITS CYBER OPERATIONS]. FireEye. Enero de 2017
  6. [https://www2.fireeye.com/rs/848-DID-242/images/rpt-apt29-hammertoss.pdf HAMMERTOSS: Stealthy Tactics Define a Russian Cyber Threat Group]. FireEye 2015
  7. APT1. Exposing One of China’s Cyber Espionage Units. Mandiant. 2013

Véase también[editar]