APT, la amenaza continúa

El término APT se define con las siguientes propiedades del ataque; “Avanzado” porque es capaz superar los sistemas de detección de intrusión y mantener un acceso constante a la red de destino segura; “Persistente” porque la naturaleza encubierta de la amenaza hace intentos persistentes de establecer acceso a información confidencial de la organización. Otras propiedades de este tipo de ataques es que son realizados principalmente por grupos, sobre todo porque a nivel de individuo no se posee la capacidad de atacar los sistemas altamente seguros en las organizaciones objetivo. Por cierto, que las APT se ven impulsadas por varias técnicas, como pueden ser ataques de inyección de SQL, malware, spyware, phishing de spam, etc.

Este conenido fue publicado en el número de Febrero de la revista IT Digital Security, disponible desde este enlace.

RECOMENDADOS: Tecnologías que dan al dato el protagonismo que merece (WEBINAR)  Cinco retos de la innovación en cloud Informe IT Trends 2019: La realidad digital de la empresa española Mejores prácticas para implementar una plataforma ágil Robo de credenciales: prioriza la seguridad de tus apps Instalación de Redes WiFi y LAN en Hoteles

Quizá lo que más preocupa es la capacidad que tienen las APTs de permanecer indetectables. Por ejemplo, una organización criminal conocida como GhostNet fue capaz de atacar con éxito organizaciones gubernamentales de 103 países durante un periodo de dos años y sin ser detectados dentro de las redes de sus víctimas por periodos de más de 660 días.

Otra de las características de las APT es su coste. Aseguran los expertos que las amenazas persistentes avanzadas pueden costar entre miles y millones de dólares en desarrollo personalizado. Son el producto de equipos altamente inteligentes y hábiles de ciberdelincuentes. La preparación de un ataque puede llevar meses de esfuerzo, lo que las convierte en la forma de crimen más intensiva en recursos desde el punto de vista de un hacker.

En muy difícil, por no decir imposible, detectar una APT sin visibilidad, con la complicación añadida de que una vez que están dentro del perímetro, pueden parecerse a cualquier otro usuario remoto, lo que dificulta la detección cuando roban datos o dañan sus sistemas.

Hacer frente a una APT pasa por monitorizar todo, desde dónde están tus datos a quién accede a ellos o quién está haciendo cambios en la configuración del firewall. Hay que tener un control completo de lo que está ocurriendo con los datos y en la red para poder reaccionar ante un ataque. También se aconseja aplicar analítica de seguridad de datos, como el comparar la actividad de los archivos y los usuarios con los comportamientos de referencia, para saber qué es normal y qué es sospechoso; rastrear y analizar las posibles vulnerabilidades de seguridad y las actividades sospechosas para poder detener una amenaza antes de que sea demasiado tarde y crear un plan de acción para gestionar las amenazas a medida que se generan las alertas. Y por supuesto no hay que olvidarse de proteger todos los puntos de la red porque cualquier endpoint puede ser la puerta de entrada de una APT, desde un servidor no parcheado a un router WiFi abierto, un firewall inseguro, etc.

Ciclo de vida de una APT

La propia naturaleza de las APTs, que sean tan dirigidas, hace que cada una tenga características que le hacen única. Sin embargo, se pueden establecer una serie de características comunes, un ciclo de vida con varias etapas bien definidas:

. Establecer el objetivo y reconocerlo hasta detectar una debilidad o vulnerabilidad que les permita acceder a la red.

. Herramientas: Desarrollar o adquirir las aplicaciones o herramientas necesarias para llevar a cabo el trabajo.

. Identificar a la víctima. Descubrir quién tiene acceso a la información que se quiere conseguir y el software que está utilizando para establecer la mejor manera de atacarle.

. Entrada. A través de inyecciones SQL, de ataques de phishing o pantallas de humo que escondan sus acciones consiguen entrar en la red. Una vez dentro, los ciberdelincuentes establecen una puerta trasera, o backdoor, a través de la cual pueden cargar malware y entrar en la red cuando les convenga.

. Detección. Una vez dentro y antes de lanzar el ataque, los ciberdelincuentes toman una serie de medidas para evitar la detección. Para ellos mapean toda la infraestructura de la red y lanzan otros ataques al sistema que les permite adentrarse en las cuentas de los usuarios. Cuanto más alto escalen en la jerarquía, mejores posibilidades de acceder a información sensible.

. Recolección. Las medidas anteriores permiten a los ciberdelincuentes permanecer en la red sin ser detectados, recogiendo datos durante un periodo de tiempo.

. Exfiltración de datos. Identificados los datos sensibles, los ciberdelincuentes proceden a su extracción. También tienen que ser cuidadosos, por lo que en ocasiones crean ruido, lanzan cortinas de humo, que escondan sus acciones y que mantengan los puntos de entrada y salida a salvo para volver a utilizarlos. 

. Cubrir las pistas y permanecer sin ser detectado. El éxito de una APT depende de la capacidad para permanecer oculto en la red.

¿Quién está detrás de una APT?

Llevar a cabo una APT no es fácil, y por eso, los actores que suelen estar detrás de este tipo de amenazas difieren de otro tipo de ciberdelincuentes. Que sean capaces de dirigirse a una organización o entidad específica y perpetrar una campaña sostenida hasta alcanzar sus objetivos les colocan más allá de otros ciberdelincuentes que amenazas menos organizadas y oportunistas.

Suele hablarse no sólo de naciones estados, sino de cibercrimen organizado, de espionaje corporativo e incluso de ciber terroristas. Lo habitual es que trabajen en equipo, y cuando esto es así se reparten las tareas y se organizan de manera interna como lo haría cualquier empresa.  Se establecen grupos en base a una serie de indicadores técnicos, como similitudes en el código, infraestructura de C&C compartida o cadenas de ejecución de malware

Algunos ejemplos de grupos APT conocidos son APT 28 (o Fancy Bear), Deep Panda, Equation u OilRig. La firma de seguridad FireEye tiene identificados casi una veintena a los que diferencia por una numeración: APT38, APT29, APT28, etc.

A finales del año pasado se descubrió la existencia de un malware bautizado como GreyEnergy que guardaba muchas similitudes con BlackEnergy, otro malware que se había identificado en ataques contra la industria energética de Ucrania en diciembre de 2015. El nombre del nuevo malware bautizó al grupo que lo utilizaba, GreyEnergy Group. Entre sus actividades, centradas casi exclusivamente en atacar compañías energéticas y otras infraestructuras críticas de Europa Central y del Este, se descubrió la creación de un gusano similar a NotPetya en diciembre de 2016.

GreyEnergy utiliza principalmente dos vectores de infección. Uno es poner en peligro los servidores web públicos conectados a una red interna y el otro es enviar correos electrónicos de phishing con archivos adjuntos maliciosos. GreyEnergy utiliza técnicas más modernas que su antecesor, BlackEnergy, como haber creado el malware como un marco modular que puede ajustarse a diferentes infraestructuras de destino. Cada módulo, incluido el módulo principal de GreyEnergy, acepta comandos de texto con varios parámetros. Los autores han creado varios módulos de ataque casi completamente dedicados al reconocimiento y la recopilación de información.

En todo caso, como tendencias de seguridad de este año se advierte que grupos APT procedentes de Rusia y China incrementarán su presión contra las organizaciones de Europa Occidental.

APT28, lo último en ciber espionaje ruso

También conocido como Pawn Storn, Tsar Team, Sednit, Fancy Bear, APT28, Sofacy y Strontium, este ambicioso grupo ruso ha estado muy activo en los últimos años. Sus actividades muestran que el espionaje y la influencia geopolítica son sus motivaciones principales, con objetivos que incluyen las fuerzas armadas, la industria de la defensa, los medios de comunicación y los políticos.

Investigaciones de FireEye indican que este grupo recopila muestras de malware con configuraciones de idioma ruso durante las horas de trabajo (de 8 a.m. a 6 p.m.), de acuerdo con la zona horaria de las principales ciudades de Rusia, incluidas Moscú y San Petersburgo, “lo que sugiere que APT28 recibe recursos financieros directos de una organización bien establecida, probablemente el gobierno ruso”.

Aunque lleva años operando -las primera actividades datan de 2004, la relevancia de APT28 se ha ganado en los últimos dos años. Y es que, si en sus comienzos las actividades se limitaron al espionaje político, militar y doméstico, a partir de 2016 añadió el intentar influenciar en la opinión pública, influir en las elecciones y en los medios de comunicación con datos robados.

Concretamente en 2016 el grupo no sólo atacó la Convención Nacional Demócrata (DNC), sino que también atacó al partido político alemán Unión Demócrata Cristiana (CDU), el parlamento turco, el parlamento en Montenegro y la Agencia Mundial de Dopaje (WADA). Los datos robados de DNC y WADA se publicaron en partes (modificados o no) y se lanzaron en el momento oportuno para dañar a los objetivos; en algunos casos, la información se filtró más de un año después de haber sido robada.

Uno de los objetivos recurrentes de Tsar Team es Ucrania, que ha denunciado diversos ataques contra su Comisión Electoral Central, desde intrusiones a destrucción de información, ataques DDoS, inyección SQL contra su web o destrucción de información.

Hablan los expertos

Sobre las Amenazas persistentes avanzadas hablamos con Borja Pérez, director general de Stormshield para el mercado de Iberia e Iván Mateos, Ingeniero Preventa de Sophos, para quien “las APTs siguen siendo avanzadas y siguen siendo persistentes”. Explica que los que hacen es permanecer latentes en el puesto de trabajo hasta el momento de dispararlas, razón por la cual “hacen falta soluciones que tengan una visibilidad completa”.

Coincide Borja Pérez en que seguimos viendo amenazas persistente que utilizan múltiples vectores de ataque y que reutilizan ataques antiguos. “Quizá el ransomware es un ataque más vistoso, pero los ataques persistente son los realmente peligrosos para las organizaciones, por lo que se tardan en detectar y por el daño que pueden causar hasta que son detectados”, dice el directivo.

Preguntamos si tantos años después de conocerse su existencia, de recibir un nombre propio, siguen siendo tan indetectables. La pregunta no es fácil. Explica Borja Pérez que las APTs utilizan una serie de técnicas -un número limitada de ellas, a bajo nivel “que podemos ser capaces de detectar y bloquear”. En todo caso, apunta el directivo de Stormshield, hay otra serie de soluciones, como el Threat Hunting, que se dedican a la búsqueda de movimientos laterales o comportamientos anómalos de puestos que trabajo y que, junto con el firewall, pueden detectar las amenazas más rápido.

Apunta Iván Mateos que herramientas como los EDR (Endpoint Detection and Response), que dan esa visibilidad forense de qué está pasando en una infección, consiguen controlar las APT, “incluso consiguen diferenciar entre equipos infectados y equipos afectados, porque no es lo mismo”. Explica el ejecutivo de Sophos que un EDR te pude índice que un equipo que se infectó puede no ser el foco de la amenazas, sino que desde ahí es desde donde se lanzó esa amenaza persistente, “de forma que, si se tiene una vista del conjunto, sí que se pueden dar muchos pasos en contra de las APTs”.

En realidad, cuando se habla de ciberamenazas cada vez más sofisticadas, ¿no se podrían considerar todos los ataques como APTs? No, dice Borja Pérez, recordando que el Spear Phishing “no es persistente, aunque sí dirigido”, o que los ataques de denegación de servicio distribuido, DDoS, “que sí que son persistentes en cuanto a tiempo de ataque, no se quedan latentes”. Y al hilo de los EDR “sí que vemos una confluencia entre soluciones de endpoint avanzadas y EDR: los desarrolladores de soluciones de protección endpoint vamos añadiendo funcionalidades de EDR y los fabricantes de EDR, que son soluciones más forenses van incorporando medidas de protección. Vemos que ese es el camino”.