APT (Advanced Persistent Threats)

Las Advanced Persistent Threats (APTs) son una categoría de malware que se encuentra totalmente orientado atacar objetivos empresariales o políticos. Todos los APTs tienen algunas características en común, pero sin dudas una de las mayores características es la capacidad de ocultamiento por parte de este tipo de amenazas. Al ser amenazas altamente sigilosas, estas logran perdurar dentro de la red afectada por largos periodos de tiempo sin ser detectadas. Sin embargo, en su nombre en ningún momento aparece la palabra “sigilosa” (en inglés Stealth), advanced persistent threat hace referencia a tres características muy importantes en este tipo de malware sin importar la diferencia que pudiera existir en todas las definiciones que podemos encontrar en Internet.

Se les llama avanzadas (en inglés Advanced), ya que este tipo de amenazas cuentan no con uno, sino con varios métodos de ataque, propagación u ocultamiento en el sistema. Así mismo, se conoce que este tipo de amenazas son generadas por grupos de profesionales, quienes tienen el tiempo, el conocimiento, la paciencia y los recursos para generar una pieza única, sin precedentes, generadas desde la nada misma, evitando herramientas de construcción de malware.
Por ejemplo, en el caso de Stuxnet se han logrado identificar al menos 20 tipos de codificación distinta, evitando la posibilidad de obtener un perfil de su programador. Se les llama persistentes (en inglés Persistent) ya que sus creadores toman muy en serio su objetivo. Quienes tienen la tarea de desarrollar una APT, no buscan un rédito inmediato, sino que esperan pacientemente dentro de su objetivo, monitoreando sigilosamente y con un perfil bajo. Por ejemplo, se supo que la botnet mariposa se encontró residiendo dentro de algunas empresas por más de un año. Se les llama amenazas (en inglés Threat) debido al nivel de coordinación humana involucrada en el ataque. A diferencia de otras piezas de código totalmente carentes de inteligencia y automáticas, los operadores de una APT cuentan con un objetivo claro, siendo quienes están detrás de este tipo de códigos, personas capacitadas, motivadas, organizadas y sobre todo, bien pagas.

¿Cómo ingresa una APT dentro de la empresa?

Las APTs logran ingresar dentro de las empresas a través de distintos vectores de infección, incluso en aquellos escenarios protegidos con buenas estrategias de seguridad. Al menos pueden distinguirse tres grandes grupos o vectores de introducción de una APT en una organización:

Infección de malware proveniente de Internet	Infección de malware por medios “físicos”	Infección por exploit externo
Downloaders Archivos adjuntos en correos electrónicos Archivos compartidos o redes P2P Software pirata o uso de Keygens Phishing Envenenamiento de DNS, etc.	Pendrives o Sticks USB CDs o DVDs Tarjetas de memoria Appliances Equipos de tecnología con backdoors	Hackers profesionales Vulnerabilidades Ingreso por Wifi Ataque a la nube

A pesar de contar de innumerables casos de APTs dentro de las tres categorias mostradas anteriormente, existen registros en donde el ingreso de la APT no corresponde con estas. Es necesario, cuando se habla de ATPs, contar cn la posibilidad de un “contacto interno” en la organización. Las “amenazas internas” o “conexión de confianza” son aquellos empleados de las organizaciones que sirven para “plantar” la APT de manera interna, sin necesidad de tener que quebrar la barrera perimetral de seguridad de la red. Este último factor, es un ingrediente clave en muchas APTs. Mientras que aquellas organizaciones que son objetivo de este tipo de amenazas emplean tecnologias sofisticadas en prevenir el acceso no autorizado, los responsables de las APTs utilizan credenciales de empleados o proveedores a través de oficinas remotas, menos seguras y logran de esta manera recolectar la informacion necesaria para lanzar el ataque.

Una parte vital de la APT es la capacidad de una APT de permanecer oculta dentro de la organización por mucho tiempo, ya que presentan un perfil de ataque lento y bajo, moviendose de manera sigilosa entre un host y otro. Sin embargo, a pesar de permanecer totalmente ocultas a nivel de host, las APTs necesitan comunicarse con su servidor de Command & Control, siendo este tipo de comunicación dentro del tráfico de red, el unico sintoma perceptible de su precencia.

Fuente: Techie Blog