Advanced Persistent Thread você já ouviu falar?

APTs é como são conhecidas as Advanced Persistent Threads. APT é uma classe de ataques cibernéticos que, em geral, são executados por grupos de criminosos cibernéticos altamente organizados e sofisticados.

Os ataques por APTs tem como uma de suas características sua duração, normalmente são campanhas de longo prazo e com objetivos bem definidos. Entre os alvos das APTs estão as grandes corporações industriais, contudo há um razoável número de registros cujo os alvos eram infraestruturas críticas de estados nações, ou seja, governos também podem ser alvos de APTs, neste caso avançando para o domínio da guerra cibernética.

De uma forma geral os principais objetivos dos ataques por APTs, quando se trata  de ataques à corporações, é o roubo de informações industriais (projetos, segredos comerciais, etc.). Já quando o alvo é governo ou estado os objetivos podem ir do roubo de informações e segredos de estado até a paralisação de infraestruturas críticas, como as de telecomunicações e as de energia elétrica, por exemplo.

Como ocorre os ataques por APTs?

Como já falamos os ataques por APTs são ataques de longa duração, isso por que entre o seu início até sua descoberta e consequente resposta pode levar anos. Assim, é importante destacar que as APTs têm como principal característica a capacidade de se manterem ocultas por longos períodos, esperando para agir ou agindo de forma dissimulada.

Ataques por APTs são cuidadosamente planejados e são divididos em fases. Embora estes ataques sejam quase individualizados, ou seja, para cada alvo uma APT diferente é planejada, eles guardam em si o mesmo modus operandi, diferindo em pontos específicos.

O modus operandi de um ataque por APT, embora possa haver uma ligeira modificação, normalmente é dividido em sete fases, como apresentado LuhMarschalek, Schrittwieser e Janicke, na figura a seguir, publicada em Semantics-aware detection of targeted attacks: a survey, 2015.

Fases de um Advanced Persistent Thread

fonte:Luh,  Marschalek, Schrittwieser e Janicke, 2015

Como podemos observar na figura acima, uma APT possui uma segmentação bem definida e cada uma de suas fases são meticulosamente planejadas de forma a atender um determinado fim dentro do ataque, essa sequência metodológica apresentada no desenvolvimento de um ataque APT recebe o nome de Intrusion Kill Chain, pois é, recebe este nome por que alguns estudiosos de segurança cibernética acredita que sua estrutura lembra uma operação militar.

Fases de um ataque por APT

Reconnaissance: esta é a fase onde tudo começa. Nesta fase são reunidas o máximo de informação possível sobre o alvo, nela os atacantes reúne informação sobre a organização, sua infraestrutura de tecnologia, o estado psicossocial e técnico de seus colaboradores, seus controles de segurança física e lógico, organizações parceiras e sobre o negócio da organização alvo. Nesta fase normalmente são empregadas técnicas de Open Source Intelligence, Engenharia Social,  e qualquer outra técnica que possa produzir informação sobre o alvo de forma segura e discreta.

Weaponization: esta é a fase onde os atacantes vão desenvolver suas “armas”, é onde ocorre o desenvolvimento, teste e validação de exploits zero day, backdoors, payloads e outras técnicas de ataque.

Delivery: fase que tem como objetivo fazer com que as “armas” cibernéticas desenvolvidas cheguem efetivamente ao sistema alvo. Nesta fase pode ser empregado dois tipos de delivery, um chamado de direto, onde são usadas técnicas como Spear Phishining e Whaling Attack. E outro tipo de delivery chamado de indireto.  Nesta abordagem o delivery ocorre por meio do  comprometimento de infraestruturas de parceiros, como um provedor de internet que fornece serviço para o alvo, por exemplo ou pelo comprometimento de computador pessoal de colaboradores da organização alvo que acessam remotamente a infraestrutura da organização por meio do serviço de rede virtual privada (VPN) ou qualquer outro tipo de acesso. Em síntese, nesta abordagem os atacantes exploram, da forma que for possível, uma terceira parte que tenha relação confiável com a organização alvo a fim de fazer a entrega de seus artefatos maliciosos.

Exploitation: esta é a fase onde ocorre a exploração de vulnerabilidades existente na infraestrutura da organização alvo, em geral são executados códigos maliciosos na consolidação do ataque.

Installation: aqui ocorre a execução e instalação de agentes maliciosos (malwares) em toda a infraestrutura da organização alvo, é a fase que antecede o estabelecimento de um canal de comando e controle do ataque.

Command & Control: nesta fase a infraestrutura da organização já está completamente dominada e o canal de comando e controle do ataque é estabelecido, a APT está pronta para a execução de comandos do controlador do ataque.

Actions on Objective: a ação no objetivo é, efetivamente, o início das atividades para a qual a APT fora planejada, ou seja, se o plano era o roubo de informação, inicia-se a extração (exfiltração) da informação, se o plano era paralisar uma operação crítica, como um oleoduto, por exemplo, dispara-se o processo para interromper a operação. É nesta fase que efetivamente se concretiza os objetivos do ataque.

Ataques por APT já registrados

Caso de ataques por APT estão ocorrendo com razoável frequência, contudo não costumam ser noticiados,  muito em virtude da preservação da imagem das organizações afetadas. Contudo há uma gama enorme de registros de casos publicados e facilmente encontrados na internet. Abaixo são apresentados alguns exemplos:

APT34 – foi identificado em 2017 pelo time da FireEye. A suspeita é de que o APT34 seja um grupo de APT ligado ao Irã e tem como alvo infraestruturas financeira, elétrica, telecomunicações e governos no Oriente Médio.

GhostNet – um dos ataques mais sofisticados da história da internet, foi uma operação de espionagem. Descoberta em 2009, foi atribuído à China e comprometeu mais de 100 países tendo como principais alvos infraestruturas de governo. 

Stuxnet – este talvez seja o ataque por APT mais estudado da história. Foi desenvolvido para atacar o programa nuclear do Irã, foi detectado em 2010. Tinha como principal objetivo interromper o programa de desenvolvimento nuclear iraniano por meio de ataque aos  sistemas SCADA (supervisory control and data acquisition). Embora não haja informações oficiais este ataque foi atribuído aos Estados Unidos e a Israel. Do ponto de vista conceitual o Stuxnet se tornou referência de APT, por percorrer rigorosamente todas as fases de planejamento e execução do ataque.

RedCurl – grupo de APT especializado em espionagem industrial que atua desde 2018. Têm como principal objetivo o roubo de informações. Ao RedCurl é atribuído o roubo de  documentos corporativos confidenciais, como contratos, extratos financeiros e um série de outros documentos de empresas do ramo da construção civil, financeira e petroquímica de países como Alemanha, Canadá, Noruega, Reino Unido, Rússia e Ucrânia.

Há alguma forma de mitigar ou prevenir ataque por APT?

Pode parecer clichê mas não uma fórmula mágica para prevenção de ataques por APT. Como qualquer arquitetura de segurança cibernética essa prevenção está centrada em três pilares  básico:

– Política de segurança;

– Recursos humanos capacitados; e

– Tecnologia compatível com as ameaças atuais.

A manutenção de uma política de segurança eficiente reflete o nível de maturidade das organizações.

Ter um programa de treinamento ativo dentro da organização, mantém seus colaboradores capacitado levando a uma menor incidência de atitudes que levam a incidentes de segurança cuja origem seja o ambiente interno.

Por fim, ter uma política de segurança eficiente e um corpo de colaboradores bem treinados são passo importantes na prevenção de ataques por APT. Contudo em um ambiente em que a quantidade de conexões de internet ultrapassam facilmente a casa dos milhões por segundo, é fundamental ter ativos de segurança compatível com este cenário. Nessa ótica ativos munidos de inteligência artificial são bem vindos.

Sobre o prisma da mitigação são sempre bem vindos a rotina de análise de comportamento de rede, o monitoramento do tráfego de saída,  o monitoramento da incidência de erros de login, bem como o monitoramento da integridade dos sistemas operacionais utilizados no parque computacional.

Bem pessoal por hoje é isso… até a próxima.

Você pode ler a revista online aqui no site ou realizar o download. Para isto basta acessar o menu superior Edição Atual e Anteriores, escolher o ano, rolar a página para encontrar a edição desejada. Clicar no botão Ler Online ou Download.

Ew Sistemas TI.