Explicando a Ameaça Persistente Avançada (APT)

Em março de 2018, relatório detalhando a ameaça Slingshot revelou que o malware se escondeu em roteadores e computadores por aproximadamente seis anos antes de ser descoberto. O Slingshot é um exemplo perfeito de malware projetado para ataques APT.

O que é uma Ameaça Persistente Avançada (APT)?

Ameaças Persistentes Avançadas são operações de longo prazo projetadas para infiltrar e/ou exfiltrar o máximo possível de dados sem serem descobertas. Ainda não é possível estimar exatamente a quantidade de dados que foram afetados pelo Slingshot, mas relatório da Kaspersky mostra que o Slingshot afetou aproximadamente 100 pessoas na África e Oriente Médio, com maioria dos alvos no Iêmen e no Quênia.

Como vimos no Stuxnet, o Slingshot parece ter se originado internamente em órgão de defesa de algum governo e, como uma APT, isso não melhora em nada após seis anos sem ser detectado.

O Stuxnet, por exemplo, liderou um ataque estratégico a um alvo de alto valor: programadores escreveram o código para atacar um painel de controle específico de um determinado fabricante que o Irã utilizava para enriquecer urânio. O código foi escrito de tal maneira que seria muito difícil de ser encontrado, então o ataque tinha um tempo para causar o máximo de danos possíveis. O ciclo de vida de um APT é muito mais longo e complexo que outros tipos de ataque.

1. Defina o alvo: determine quem será seu alvo, o que espera realizar e por quê
2. Encontre e organize parceiros: selecione os integrantes da equipe, identifique as habilidades necessárias e busque acesso privilegiado
3. Crie ou adquira ferramentas: encontre ferramentas que estejam disponíveis ou crie novos aplicativos para obter as ferramentas certas para o trabalho
4. Objetivo da pesquisa: descubra quem tem o acesso que você precisa, qual hardware e software o alvo usa e planeje o ataque da melhor forma
5. Teste de detecção: implante uma pequena versão de reconhecimento do software, teste as comunicações, identifique os pontos fracos
6. Implantação: e o show começa agora, implante o pacote completo e inicie a infiltração
7. Intrusão inicial: quando estiver dentro da rede, descubra aonde ir e encontre seu alvo
8. Conexão de saída iniciada: alvo encontrado, solicitando evacuação. Crie um túnel para começar a enviar os dados
9. Expanda o acesso e obtenha credenciais: crie uma “rede fantasma” sob seu controle dentro da rede de destino, aproveite o acesso para ganhar mais espaço
10. Reforce a presença: explore outras vulnerabilidades para criar mais zumbis ou ampliar seu acesso a outros locais importantes
11. Exfiltre dados: assim que encontrar o que estava procurando, retorne à base
12. Cubra seus traços e permaneça sem ser detectado: toda operação depende da sua capacidade de permanecer oculto na rede. Continue apostando alto na invisibilidade e certifique-se de limpar o caminho assim que sair.

Caixa de ferramentas: Ameaça Persistente Avançada

As operações de APT, com muitos passos e pessoas envolvidas, requerem uma enorme coordenação. Existem algumas táticas testadas e funcionais que reaparecem em diferentes operações:

• Engenharia social: o mais antigo e bem-sucedido método de infiltração é a velha engenharia social. É muito mais fácil convencer alguém a fornecer o acesso que você precisa que roubá-lo ou cria-lo por conta própria. A maioria dos ataques APT tem um componente de engenharia social, seja no início, durante a fase de pesquisa de alvo, ou no final, para cobrir seu rastro.
• Spear phishing: o Spear phising é uma tentativa direcionada de roubar credenciais de uma pessoa especifica. O individuo é observado durante a pesquisa do alvo e identificado como um possível recurso para infiltração. Como o ataque de phishing shotgun, as tentativas de spear phishing também usam malware, keylogger, ou e-mail para fazer com que o alvo forneça as credenciais.
• Rootkits: como os rootkits vivem próximos à raiz dos sistemas de computadores, são muito difíceis de serem identificados. Os rootkits fazem um bom trabalho de se esconder e de conceder acesso ao sistema infectado. Uma vez instalados, os operadores podem acessar a empresa-alvo por meio do rootkit. Também podem continuar a se infiltrar em outros sistemas quando estiverem na rede, dificultando ainda mais o trabalho das equipes de segurança da informação.
• Explorações: um alvo fácil para APTs são os bugs de dia zero ou outras falhas de segurança conhecidas. Uma falha de segurança não corrigida permitiu que uma operação de APT na Equifax durasse vários meses sem ser detectada.
• Outras ferramentas: embora o que falamos acima seja o mais comum. Há uma quantidade aparentemente infinita de ferramentas disponíveis para uma operação APT: downloads infectados, encapsulamento de DNS, WI-FI nocivo entre muitos outros. E quem sabe qual será a próxima geração de hackers?

Quem está por trás das Ameaças Persistentes Avançadas (APT)?

Os operadores que lideram ataques APT tendem a ser motivados e comprometidos. Eles têm um objetivo em mente e são organizados, capazes e com a intenção de realizar determinado objetivo. Algumas dessas operações vivem sob uma organização maior, como um país ou corporação.

Esses grupos estão engajados em espionagem com o único propósito de reunir inteligência ou minar as capacidades de seus alvos.

Alguns exemplos de grupos APT conhecidos incluem:

• APT28 (ou Fancy Bear)
• Deep Panda
• Equation
• OilRig

Empresas engajadas em espionagem industrial e os hacktivistas usarão APTs para roubar informações incriminatórias sobre seus alvos. Alguns APTs de nível inferior são projetados apenas para roubar dinheiro.

Esses são, de longe, os mais predominantes, mas seus criadores não são tão sofisticados ou capazes quanto os patrocinados por países. Os motivos típicos para APTs são: espionagem, para ganhar vantagem financeira ou competitiva sobre um rival ou simplesmente roubo e exploração.

Quais são os destinos comuns para Ameaças Persistentes Avançadas (APT)?

Em geral, os APTs têm como finalidade alvos de maior valor, como outros países ou corporações rivais. No entanto, qualquer pessoa pode estar na mira de um APT.

Duas características reveladoras de um ataque APT são um período prolongado e tentativas consistentes de ocultação do ataque.

Quaisquer (e todos) dados confidenciais são um alvo para um APT, assim como dinheiro ou equivalentes, como dados de contas bancárias ou chaves de carteira de bitcoin. Os alvos potenciais incluem:

• Propriedade intelectual (por exemplo: invenções, segredos comerciais, patentes, projetos, processos)
• Dados confidenciais
• Dados de infraestrutura (dados de reconhecimento)
• Credenciais de acesso
• Comunicados sensíveis ou incriminatórios (por exemplo: Sony)

Como gerenciar Ameaças Persistentes Avançadas (APT)

Para se proteger dos APTs é preciso uma abordagem de segurança em camadas:

• Monitore tudo: reúna tudo o que puder sobre seus dados. Onde seus dados estão armazenados? Quem tem acesso a eles? Quem faz alterações no firewall? Quem faz alterações nas credenciais? Quem está acessando dados confidenciais? Quem está acessando nossa rede e de onde vêm? Você deve saber tudo o que acontece na sua rede e nos seus dados. Os arquivos em si são os alvos. Se souber o que está acontecendo com seus arquivos, poderá reagir e impedir que os APTs prejudiquem sua empresa.
• Aplique a análise de segurança de dados: compare o arquivo e a atividade do usuário ao comportamento de outros usuários. Assim é possível saber o que é normal e o que é suspeito. Rastreie e analise possíveis vulnerabilidades de segurança e atividades suspeitas para interromper uma ameaça antes que seja tarde demais. Crie um plano de ação para gerenciar ameaças à medida que recebe os alertas. Diferentes ameaças exigirão um plano de resposta diferente: suas equipes precisam saber como proceder e investigar cada ameaça e incidente de segurança.
• Proteja o perímetro: limite e controle o acesso ao firewall e ao espaço físico.  Quaisquer pontos de acesso são possíveis portas de entrada em um ataque APT: servidores não corrigidos, roteadores WI-FI abertos, portas da sala de servidores destravadas e firewall inseguro permitem a infiltração. Apesar de não poder ignorar o perímetro, se tivéssemos que fazer a segurança dos dados novamente, faríamos o monitoramento de dados primeiro.

Ataques APT podem ser difíceis (ou impossíveis) de detectar sem o monitoramento. Os atacantes estão ativamente trabalhando contra você e para permanecerem sem serem detectados, mas de forma não prejudiquem a operação. Quando eles estiverem dentro do perímetro, poderão se parecer com qualquer outro usuário remoto, o que dificulta a detecção de roubo de dados e danos aos sistemas.

A Varonis Data Security Platform fornece os recursos de monitoramento e análise que você precisa para detectar e impedir APTS em sua empresa – mesmo quando já estiverem dentro.