Los ataques APT más conocidos

  • Reportajes

Llevar a cabo una APT no es fácil, y por eso, los actores que suelen estar detrás de este tipo de amenazas difieren de otro tipo de ciberdelincuentes. Que sean capaces de dirigirse a una organización o entidad específica y perpetrar una campaña sostenida hasta alcanzar sus objetivos les colocan más allá de otros ciberdelincuentes que amenazas menos organizadas y oportunistas.

Hacer frente a una APT pasa por monitorizar todo, desde dónde están tus datos a quién accede a ellos o quién está haciendo cambios en la configuración del firewall. Hay que tener un control completo de lo que está ocurriendo con los datos y en la red para poder reaccionar ante un ataque. También se aconseja aplicar analítica de seguridad de datos, como el comparar la actividad de los archivos y los usuarios con los comportamientos de referencia, para saber qué es normal y qué es sospechoso; rastrear y analizar las posibles vulnerabilidades de seguridad y las actividades sospechosas para poder detener una amenaza antes de que sea demasiado tarde y crear un plan de acción para gestionar las amenazas a medida que se generan las alertas. Y por supuesto no hay que olvidarse de proteger todos los puntos de la red porque cualquier endpoint puede ser la puerta de entrada de una APT, desde un servidor no parcheado a un router WiFi abierto, un firewall inseguro, etc.

Este conenido fue publicado en el número de Febrero de la revista IT Digital Security, disponible desde este enlace.

RECOMENDADOS:

Tecnologías que dan al dato el protagonismo que merece (WEBINAR) 

Cinco retos de la innovación en cloud

Informe IT Trends 2019: La realidad digital de la empresa española

Mejores prácticas para implementar una plataforma ágil

Robo de credenciales: prioriza la seguridad de tus apps

Instalación de Redes WiFi y LAN en Hoteles

Entre los ataques APT más conocidos pueden mencionarse los siguientes.

. Operación Aurora

En 2009 se detectó la que fuera bautizada como Operación Aurora, una serie de ciberataques que utilizaban un exploit de Día Cero para instalar el troyano Hydrag, destinado a robar información. Google fue la primera empresa, en 2010, en reconocer que había sido atacada, asegurando que había al menos otras veinte afectadas, entre las que estarían Adobe Systems, Juniper Networks o Rackspace. Otras muchas, desde bancos, empresas de seguridad, compañías energéticas… prefirieron mantenerse en el anonimato.

Investigaciones de McAfee pusieron de manifiesto que el objetivo inicial del ataque era ganar acceso y modificar el código fuente de los repositorios de las víctimas.

. RSA

En 2011 la compañía RSA, que es la división de seguridad de EMC, anunció que había sido víctima de un APT. Se determinó que el ataque no había sido excesivamente complicado, pero sí muy efectivo; se inició con una campaña de phishing que explotaba una vulnerabilidad en Adobe Flash incrustada en una hoja de cálculo adjunta. La intrusión resultó en el robo de información confidencial, incluidos los datos relacionados con la tecnología de autenticación SecurID más vendida de RSA, que actuó con celeridad para contener el daño informando a los clientes. Tiempo después EMC informó que el ataque le había costado 66 millones de dólares.

. Stuxnet

Stuxnet es el primer ejemplo de malware diseñado para espiar y subvertir los sistemas de procesos industriales. Fue identificado por primera vez por la comunidad Infosec en 2010, pero se cree que su desarrollo comenzó en 2005. A pesar de su inigualable tasa de infección y su capacidad para propagarse, Stuxnet no afecta a los ordenadores que no participan en el enriquecimiento de uranio; su objetivo es alterar la programación de los controladores lógicos programables (PLC)  que controlan la maquinaria industrial para no funcionen de manera adecuada. Diferentes investigaciones afirman que Stuxnet fue creado por agencias de inteligencia de Estados Unidos e Israel para atacar las instalaciones nucleares de Irán. Otra característica de este malware es que se programó para borrarse en una fecha específica: junio de 2012.

. Duqu

Considerado por mucho como el sucesor de Stuxnet, Duqu fue descubierto en 2011. Su código fue encontrado en un número limitado de empresas, incluidas en las relacionadas con la fabricación de sistemas de control industrial.

Duqu explotaba vulnerabilidades zero-day y se propagaba en la red a través de la instalación de paquetes MSI (Microsoft Software Installer), que son los archivos que los administradores de sistemas utilizan habitualmente para instalar software en equipos Windows en remoto.

Investigadores en Kaspersky Lab señalaron que, a diferencia de muchos otros malware, el código comparte similitudes con el software comercial producido profesionalmente, lo que sugiere que fue desarrollado por profesionales del software en lugar de piratas informáticos.

. Flame

Si Stuxnet y Duqu tuvieron un gran impacto en los ciberataques de se libraron en Oriente Medio, Flame llevó el escenario a su máximo exponente. Fue descubierto en 2012 y utilizado para organizar sofisticados ataques de ciber espionaje en ministerios gubernamentales, instituciones educativas e individuos en países de Oriente Medio, infectando alrededor de 1.000 máquinas en Irán, Israel, Sudán, Siria, Líbano Arabia Saudita y Egipto.

Kaspersky se refirió a Flame como “una de las amenazas más complejas jamás descubiertas”, asegurando que era increíblemente sofisticado y que redefinía bastante bien “la noción de ciberguerra y ciberespionaje”.

El Washington Post aseguró que Flame había sido desarrollado conjuntamente por la Agencia Nacional de Seguridad de Estados Unidos, la CIA y el ejército de Israel al menos cinco años antes de que fuera descubierto.

. Red October

En octubre de 2012, el equipo de expertos de Kaspersky Lab inició una investigación tras una serie de ataques contra redes informáticas dirigidas a agencias de servicios diplomáticos internacionales. Detectó una red a gran escala de ciberespionaje a la que bautizó como RedOctober, una campaña sostenida que se remontaba a 2007 y que tuvo por objetivo agencias diplomáticas y gubernamentales de varios países de todo el mundo, además de instituciones de investigación, grupos nucleares y de energía, y objetivos comerciales y aeroespaciales.

Los atacantes de Red October diseñaron su propio malware, identificado como "Rocra", con una arquitectura modular única que consta de más de 30 categorías diferentes de módulos, cada uno diseñado para llevar a cabo una tarea específica, como identificar el entorno de software, infectar máquinas, instalar puertas traseras, buscar archivos, capturar información, robar credenciales, grabar pulsaciones de teclas o cargar archivos recopilados.

Hay opiniones contradictorias entre los expertos en cuanto a la fuente, que sigue siendo desconocida. El análisis del malware indicó que era diferente del código encontrado en Stuxnet, Duqu y Flame, lo que sugiere que fue creado por una fuente diferente.