HomeBlogAmeaça Persistente Avançada (APT)

APT - Advanced Persistent Threat

Introdução
Ameaça Persistente Avançada

Os novos métodos de invasão de sistemas são conhecidos como APT. A APT é um acrônimo em inglês para Advanced Persistent Threat, que sua tradução na língua portuguesa ficou conhecido como Ameaça Persistente Avançada, um método altamente eficaz pelo qual hackers sofisticados podem entrar em sistemas sem a possibilidade de serem capturados, permitindo a extração de dados sem limites por um longo período.

As Ameaças Persistentes Avançadas (APTs) representam um dos maiores desafios de segurança cibernética nos dias de hoje. Este artigo oferece uma visão aprofundada sobre o que são as APTs, como operam, seus objetivos, exemplos reais, características distintivas e estratégias de detecção. Compreender essas ameaças é fundamental para proteger organizações contra-ataques cibernéticos sofisticados.

De onde vem o termo APT?

Esse termo APT foi criado no ano de 2006 por analistas da Força Aérea dos Estados Unidos (USAF) para facilitar a discussão de atividades de intrusão com seus civis, desta maneira, as equipes militares poderiam discutir as características do ataque ainda sem revelar suas identidades classificadas.

  • Avançado significa que o adversário é capaz de criar explorações personalizadas e está familiarizado com ferramentas e técnicas de intrusão de computador.
  • Persistente indica que o adversário está tentando realizar um objetivo. Eles recebem orientação e trabalham para atingir metas específicas.
  • Ameaça indica que o oponente está preparado, financiado e motivado.

Quais são os objetivos da APT?

Podemos ver vários objetivos potenciais olhando para a lista de alvos. [Bejtlich, 2010]

Muito provável, a APT fornece suporte:

  • Objetivos políticos que incluem continuar a reprimir sua própria população em nome da "estabilidade";
  • Objetivos financeiros baseados no roubo de propriedade intelectual das vítimas. Essa PI (Propriedade Intelectual) pode ser replicada e vendida, estudada e subvalorizada em negociações competitivas, ou fundida com pesquisa local para produzir novos produtos e serviços a preços mais baixos do que os que foram afetados;
  • Objetivos técnicos que promovem sua capacidade de cumprir sua missão. Isso inclui obter acesso ao código-fonte para fazer explorações mais tarde ou aprender como as defesas funcionam para evitar ou interrompê-las;
  • Objetivos militares que incluam a identificação de fraquezas onde permitam que forças militares inferiores derrotem forças militares superiores com a possibilidade de fazer mudanças para melhorar a sua posição.

Exemplos notórios incluem o ataque APT29 (Cozy Bear), que visou o Comitê Nacional Democrata em 2016, e o APT28 (Fancy Bear), que também tem laços com a Rússia e foi associado a várias campanhas de espionagem cibernética, entre tantos outros APT's que podemos observar no MITRE ATT&CK.

Características e atuação de APT's

As características típicas incluem sigilo, persistência, personalização, evasão de detecção, uso de malware exclusivo, múltiplos vetores de ataque e monitoramento constante da vítima.

Como ameaças persistentes avançadas atuam?

Atualmente as ameaças persistentes avançadas apresentam frequentemente certas características que refletem o elevado grau de condução e coordenação necessários para violar alvos. A maioria das APT's são realizadas em múltiplas fases, refletindo a mesma sequência básica de obtenção de acesso, manutenção e expansão do acesso e tentativa de permanecer indetectável na rede da vítima até que os objetivos do ataque sejam alcançados, sabendo disso, descreveremos a anatomia dos ataques desde estabelecer alvos passando pelas demais fases em reconhecimento, armamento, entrega, exploração, comando e controle, exfiltração.

  1. Estabelecer alvos

    2. (Engage Target)

    Nesta fase, os atacantes selecionam os alvos que desejam comprometer. Nas APTs, a escolha dos alvos é cuidadosamente planejada e frequentemente envolve organizações de alto valor, como empresas de defesa, governo e grandes corporações. Os atacantes podem identificar vulnerabilidades específicas nos sistemas de suas vítimas e planejar ataques direcionados.

  2. Reconhecimento

    3. (Reconnaissance)

    O reconhecimento é a etapa em que os atacantes coletam informações sobre os alvos selecionados. Isso pode incluir pesquisa sobre sistemas, redes, funcionários e outras informações que ajudam os atacantes a planejar ataques eficazes. A coleta de informações pode ser realizada por meio de fontes abertas, engenharia social e varreduras de rede.

  3. Armamento

    4. (Weaponization)

    Nesta fase, os atacantes preparam as ferramentas e recursos necessários para executar o ataque. Isso pode envolver o desenvolvimento ou aquisição de malware personalizado, exploits e outras ferramentas que serão usadas para comprometer os sistemas das vítimas.

  4. Entrega

    5. (Delivery)

    A entrega é o processo de entrega do malware ou dos exploits aos sistemas de destino. Isso pode ser feito por meio de e-mails de phishing, sites maliciosos, dispositivos USB infectados e outras técnicas de entrega.

  5. Exploração

    6. (Exploitation)

    Após a entrega, os atacantes exploram as vulnerabilidades identificadas nos sistemas das vítimas. Isso pode envolver a exploração de brechas de segurança, como vulnerabilidades de software ou fraquezas de configuração, para obter acesso aos sistemas-alvo.

  6. Comando e Controle(C2)

    7. (Command & Control (C2))

    Nesta fase, os atacantes estabelecem um canal de comunicação com os sistemas comprometidos. Isso permite que eles controlem os sistemas remotamente, executem comandos, instalem mais malware e realizem outras atividades maliciosas sem serem detectados.

  7. Exfiltração

    8. (Exfiltration)

    Após obter acesso aos sistemas das vítimas, os atacantes buscam exfiltrar dados sensíveis. Isso pode incluir informações confidenciais, propriedade intelectual, dados financeiros e muito mais. A exfiltração de dados é uma etapa crítica para atingir os objetivos da APT.

No contexto de uma APT, essas fases podem se estender ao longo de meses ou anos, com os atacantes trabalhando silenciosamente para evitar detecção e manter o acesso aos sistemas comprometidos. Detectar e responder a uma APT é um desafio significativo, e a prevenção proativa e a segurança cibernética robusta são essenciais para mitigar essas ameaças avançadas.

Táticas, Técnicas e Procedimentos (TTP's)

Algumas instituições e frameworks tem como objetivo mapear riscos e ameaças das mais diversas categorias, para exemplificar a complexidade de atuação de uma ameaça persistente avançada, usaremos o MITRE ATT&CK Framework, onde apresentaremos a atuação das APT's 28 e 29 mencionadas anteriormente.

MITRE ATT&CK ® é uma base de conhecimento acessível que ajuda na modelagem global de táticas e técnicas adversárias cibernéticas baseadas em observações do mundo real.

O MITRE descreve diversos tipos de ameaças em 14 Táticas, 201 Técnicas e 424 Subtécnicas onde representam os porquês de uma técnica ou subtécnica seja de possível interesse de uma APT em todo o seu ciclo de ataque.

APT28 - Fancy Bear

  1. Tática - TA0043 Reconhecimento (Reconnaissance)
    • 10 Técnicas
      • 04 Subtécnicas
  2. Tática - TA0042 Desenvolvimento de Recursos (Resource Development)
    • 08 Técnicas
      • 04 Subtécnicas
  3. Tática - TA0001 Acesso Inicial (Initial Access)
    • 10 Técnicas
      • 09 Subtécnicas
  4. Tática -TA0002 Execução (Execution)
    • 14 Técnicas
      • 06 Subtécnicas
  5. Tática - TA0003 Persistência (Persistence)
    • 20 Técnicas
      • 10 Subtécnicas
  6. Tática - TA0004 Escalação de privilégios (Privilege Escalation)
    • 14 Técnicas
      • 08 Subtécnicas
  7. Tática - TA0005 Evasão de Defesa (Defense Evasion)
    • 43 Técnicas
      • 19 Subtécnicas
  8. Tática - TA0006 Acesso a credenciais (Credential Access)
    • 17 Técnicas
      • 09 Subtécnicas
  9. Tática - TA0007 Descoberta (Discovery)
    • 32 Técnicas
      • 06 Subtécnicas
  10. Tática - TA0008 Movimento lateral (Lateral Movement)
    • 09 Técnicas
      • 05 Subtécnicas
  11. Tática - TA0009 Coleção (Collection)
    • 17 Técnicas
      • 13 Subtécnicas
  12. Tática - TA0011 Comando e controle (Command and Control)
    • 17 Técnicas
      • 09 Subtécnicas
  13. Tática - TA0010 Exfiltração (Exfiltration)
    • 09 Técnicas
      • 03 Subtécnicas
  14. Tática - TA0040 Impacto (Impact)
    • 14 Técnicas
      • 01 Subtécnica

APT29 - Cozy Bear

  1. Tática - TA0043 Reconhecimento (Reconnaissance)
    • 10 Técnicas
      • 02 Subtécnicas
  2. Tática - TA0042 Desenvolvimento de Recursos (Resource Development)
    • 08 Técnicas
      • 13 Subtécnicas
  3. Tática - TA0001 Acesso Inicial (Initial Access)
    • 10 Técnicas
      • 07 Subtécnicas
  4. Tática -TA0002 Execução (Execution)
    • 14 Técnicas
      • 11 Subtécnicas
  5. Tática - TA0003 Persistência (Persistence)
    • 20 Técnicas
      • 18 Subtécnicas
  6. Tática - TA0004 Escalação de privilégios (Privilege Escalation)
    • 14 Técnicas
      • 14 Subtécnicas
  7. Tática - TA0005 Evasão de Defesa (Defense Evasion)
    • 43 Técnicas
      • 25 Subtécnicas
  8. Tática - TA0006 Acesso a credenciais (Credential Access)
    • 17 Técnicas
      • 18 Subtécnicas
  9. Tática - TA0007 Descoberta (Discovery)
    • 32 Técnicas
      • 05 Subtécnicas
  10. Tática - TA0008 Movimento lateral (Lateral Movement)
    • 09 Técnicas
      • 09 Subtécnicas
  11. Tática - TA0009 Coleção (Collection)
    • 17 Técnicas
      • 07 Subtécnicas
  12. Tática - TA0011 Comando e Controle (Command and Control)
    • 17 Técnicas
      • 09 Subtécnicas
        • 06 Subtécnicas
  13. Tática - TA0010 Exfiltração (Exfiltration)
    • 09 Técnicas
      • 01 Subtécnica
  14. Tática - TA0040 Impacto (Impact)
    • 14 Técnicas
      • -- Subtécnica

Sobre as APT's 28 e 29 apresentamos em quantidades de TTP's a complexidade de um ataque investido contra as corporações, os detalhes mais profundos de cada técnica e subtécnica utilizada pelo APT correspondente e mencionado anteriormente, podem ser visualizados diretamente no mapa do MITRE ou nas referências ao final deste artigo.

Como detectar APT's?

A detecção de APT's é um desafio, mas é possível por meio de monitoramento contínuo, análise de tráfego de rede, comportamento anômalo de sistemas e autenticação multifatorial. A colaboração com fornecedores de segurança cibernética e a implementação de políticas de segurança rigorosas também são cruciais.

Detectando ameaças persistentes avançadas (APT's)

Para detectar APT's, as organizações podem recorrer a ferramentas de segurança avançadas, como sistemas de detecção de intrusões, firewalls de próxima geração, antivírus avançados, XDR (Extend Detection and Response), SIEM (Security Information and Event Management)análise de comportamento de endpoint (EDR), análise de tráfego de rede e soluções de segurança baseadas em inteligência artificial.

Ameaças persistentes avançadas apresentam certos sinais que merecem atenção pela organização que deseja iniciar uma possível detecção no ambiente, apesar de muitos fatores levarem à uma enorme dificuldade de detectação.

Ao trilhar um caminho estratégico e lógico, as organizações concentram seus esforços em qualquer meio de prevenção, onde uma APT, poderá ser confundida facilmente com o tráfego normal de rede, desta maneira, sugerimos alguns pontos de atenção como:

  • Visibilidade e controle do ambiente;
  • Elaborar ou revisar uma estratégia adequada de segurança da informação;
  • Revisar constantemente a gestão de riscos cibernéticos junto ao negócio;
  • Sanitizar contas de usuários com frequência;
  • Monitoramento constante em atividades incomuns em contas de usuários;
  • Monitorar qualquer possível uso extensivo de malwares, trojans, backdoor's,pois este é um método onde permite que APT's mantenham o acesso no ambiente comprometido;
  • Monitorar atividades de banco de dados estranhas ou atípicas, como um possível aumento repentino nas operações de banco de dados envolvendo grandes quantidades de dados;
  • Verificar constantemente a presença de quaisquer arquivos de dados incomuns no sistema ou ambiente, o que poderia indicar dados que foram agrupados em arquivos para auxiliar no processo de exfiltração;
  • Detectar possíveis anomalias nos dados de saída, onde talvez seja melhor maneira para os profissionais de segurança cibernética determinarem se uma rede foi alvo de um ataque APT.

Observando cuidadosamente os pontos de atenção mencionados anteriormente, temos outras soluções que podem ser utilizadas nas organizações para simulações de violações e ataques adversários, contudo essas soluções possuem um custo elevado, e será necessário outro artigo para exemplificar suas qualidades, prós e contras no contexto de APT's.

Conclusão

Conforme descrito no decorrer deste artigo onde buscamos fornecer uma visão abrangente das APT's (Advanced Persistent Threats) - Ameaças Persistentes Avançadas, apresentando o desafio constante das organizações destacando a importância da conscientização e preparação para enfrentar essas ameaças cada vez mais sofisticadas no cenário cibernético atual, com isso, nós da Inteligência Brasil estamos sempre dispostos à auxiliar sua organização nos desafios de segurança da informação ou cibernética necessários para continuidade de negócios e atividades contínuas.


 

Referências

Como montar uma estratégia em Segurança da Informação, Cyber Security MITRE ATT&CK, MITRE ATT&CK APT28, MITRE ATT&CK APT29, CSA - Russian GRU 85th GTsSS Deploys Previously Undisclosed Drovorub Malware, A Practical Study on Advanced Persistent Threats, A systematic literature review for APT detection and Effective Cyber Situational Awareness (ECSA) conceptual model,  APT29 - Cozy Bear,  NYT Cozy Bear, APT28 - Fancy Bear,  NBC NEWS Cozy Bear Explained,  MITRE ATT&CK - APT Groups,  CSRC NIST,  The Practice of Network Security Monitoring, SANS - Beth E. Binde, Russ McRee, Terrence J. O’Connor.

Copyright © 2024  Inteligência Brasil