Tudo sobre Cibersegurança, Segurança da Informação e Proteção Digital.
Vulnerabilidades

APT: a persistência e estratégia do cibercrime!

by Mirian Fernandes 6 min read

Ciberataques podem ser muito assustadores e perigosos, mas imagine você descobrir que está sendo vítima de um grupo de cibercriminosos, há 10 anos consecutivos, sem nunca ter desconfiado?

O ModifiedElephant é o responsável por esse ato, e é apenas um de muitos grupos de Ameaças Persistentes Avançadas, ou APT, que atua há muitos anos roubando dados e informações sigilosas de suas vítimas sem que sejam descobertos.

Em 2018 aconteceu algo muito parecido, quando o Slingshot foi descoberto, um malware que se escondia em diversos roteadores e máquinas por seis anos, sem que ninguém descobrisse absolutamente nada.

Fato é que os ataques APT (Advanced Persistent Threat) podem ir muito além, chegando a envolver guerra entre nações, como aconteceu no dia 6 de setembro de 2022, onde o site do governo eletrônico do Japão sofreu um ciberataque que o derrubou. O ataque veio de um grupo especialista em ataques APT, o Killnet, defensores do governo russo.

Vamos entender neste artigo tudo sobre os perigos e técnicas utilizadas nos ataques de Ameaça Persistente Avançada.

O que é uma Ameaça Persistente Avançada?

É um tipo de ataque cibernético que utiliza técnicas avançadas de invasão para evitar que o mesmo seja detectado, conseguindo ter acesso à rede da vítima por muito tempo até que alcance o seu objetivo.

Fazendo jus ao nome dado pela Força Aérea dos EUA em 2006, as principais características desse tipo de ataque são as técnicas avançadas que são utilizadas - que detalharemos mais para frente - e a persistência, pois ele pode ter acesso à máquina e sistema da vítima por muitos anos.

Diferente da maioria dos ciberataques, o APT não tem como objetivo causar danos à rede, ele simplesmente deseja se instalar e coletar dados pelo maior período de tempo que conseguir.

Quem é o alvo das APTs?

O que é uma ameaça persistente avançada?

Como são ciberataques mais complexos de serem realizados, normalmente os cibercriminosos redirecionam os APT para vítimas de grande valor, como estados-nações e grandes corporações.

O principal objetivo dele é atingir propriedades intelectuais (envolvendo patentes, projetos, processos), dados confidenciais e credenciais de acesso.

Mas isso não significa que as PMEs não precisem ficar atentas, principalmente se forem fornecedoras de grandes empresas, pois podem ser uma porta de entrada para elas.

Por que o ataque APT é difícil de ser descoberto?

Por que o ataque APT é difícil de ser descoberto?

Além de sofisticadas técnicas para efetuar o ataque, os criminosos reescrevem continuamente o código malicioso evitando a detecção do mesmo. Alguns APTs podem ter uma complexidade tão grande que dependem de administradores o tempo todo para manter os sistemas e softwares comprometidos.

Como o cibercriminoso atua para realizar um ataque APT?

Cada atacante usa de uma estratégia diferente, por exemplo, o ModifiedElephant, que citamos no início, operava através do uso de trojans de acesso remoto e spear phishing com documentos maliciosos para entregar malware através de e-mail, invadindo e infectando o sistema da vítima.

Já o slingshot está entre as plataformas de ataques mais avançados já descobertos, pois unia várias estratégias para fornecer uma plataforma de espionagem cibernética muito detalhada.

Algumas das estratégias mais usadas para implementar um ataque APS são:

Spear phishing

Uma estratégia de phishing, porém mais complexa. O cibercriminoso direciona o ataque a uma vítima específica pré-definida, com o objetivo de roubar os dados dessa vítima e realizar o ataque através de e-mail ou outra forma de comunicação eletrônica.

As tentativas de spear phishing também podem envolver malware e keylogger.

Zero day

Ou dia zero, é uma vulnerabilidade desconhecida, pronta para ser usada como porta de entrada para um cibercrime. Geralmente, ela é um bug ou exploração de software que não foi corrigido, por exemplo, a simples desatualização de um aplicativo que não foi notado.

Rootkits

É um tipo de malware muito perigoso, usado para permitir o acesso de forma privilegiada e contínua a um computador, sem que ninguém descubra, que são, precisamente, as duas características mais presentes no ataque APT, ataque contínuo e totalmente secreto.

Além das estratégias e ferramentas citadas acima, para que uma ameaça APT se concretize, podem ser usadas inúmeras outras estratégias, como encapsulamento de DNS, downloads infectados e muitos outros.

Por ser um ataque longo, os APTs possuem um ciclo de vida complexo:

  1. Definição do alvo e objetivo com o ataque: de acordo com a motivação do cracker, ele decide quem será o alvo, por exemplo, um grupo pode ter como motivação o lucro, sendo pago para roubar objetos confidenciais de um concorrente.
  2. Coleta de informações e análise: o cibercriminoso começa a estudar a vítima, recolhendo o máximo de informações possível de todos os envolvidos, buscando possíveis vulnerabilidades; nesta etapa pode ser usada a estratégia de engenharia social.
  3. Escolha das armas: assim como em uma guerra, após analisar sua vítima, o criminoso desenvolve o código malicioso e o método de invasão que será perfeito para cumprir sua missão. As ameaças APTs possuem fortes incentivos para que possam obter sucesso, como apoio técnico, financeiro e humano, conseguindo criar ações mais complexas.
  4. Em direção ao alvo: nesta etapa, é comum utilizar o spear phishing, enquanto o simples phishing envia e-mails maliciosos sem uma vítima específica; como explicamos anteriormente, o spear phishing envia para um alvo direcionado, criando um e-mail personalizado, altamente persuasivo para obter sucesso em sua missão.
  5. Canal de comunicação: após a vítima cair na estratégia de spear phishing, o malware é instalado, criando um canal oculto de comunicação entre a máquina infectada e o cibercriminoso. Por meio desse canal, as demais etapas serão realizadas com tranquilidade!
  6. Aprofundamento: já instalado e com tudo pronto, o atacante utilizará estratégias para se infiltrar cada vez mais no computador da vítima, buscando novas credenciais, obtendo privilégios avançados de acesso, infectando outros sistemas de servidores e banco de dados sem ser notado.Missão cumprida: após explorar sem limites a rede da vítima, o cibercriminoso alcança seu objetivo inicial, acessando informações valiosas e confidenciais. Os próximos passos serão definidos pelo próprio invasor, com a estratégia que ele tiver em mente, porém, tudo sempre será feito com profunda restrição e cuidado para não ser descoberto.

Quem está por trás de uma APT?

Quem está por trás de uma APT?

São grupos que formam organizações ou operadores, que possuem o objetivo de liderar ataques APT, comumente muito engajados e comprometidos com sua missão.

Hoje existe o MITRE ATT & CK, uma base que possui 94 grupos diferentes registrados como operações de APT, alguns financiados por governos e outros autônomos.

Dentre tais grupos  estão  o Lazarus Group, vinculado à Coréia do Norte, que tem como objetivo atacar a Coreia do Sul e os Estados Unidos. Outros são o Equation Group e o Fancy Bear, que também possuem relação com objetivos de Estado.

Outro tipo de grupo é o Machete, de provável origem venezuelana, que utiliza de táticas de phishing para obter acesso às redes, a fim de coletar informações e dados confidenciais.

Como detectar uma APT?

Antivírus e firewall não conseguem identificar um ataque APT, porém, existem quatro estratégias que podem te ajudar nessa missão:

  1. Fique atento ao que acontece na sua rede, servidores e dispositivos IOT;
  2. Utilize ferramentas de análise de tráfego, assim você conseguirá monitorar todo o tráfego que passa pela rede, enquanto a ameaça estiver se movendo de um dispositivo para outro, sendo possível detectá-la;
  3. Responda de forma rápida e adequada aos incidentes sempre que detectados;
  4. Identifique atividades de banco de dados que forem atípicas, como um aumento incomum nas operações.

Como se proteger das APTs?

Como se proteger das APTs?

Apesar de serem formas de identificar um ataque APT, as estratégias de monitoramento citadas anteriormente podem te ajudar a identificar um ataque ainda no início,  auxiliando também em prejuízos maiores, que podem ser gerados a longo prazo.

Para se proteger, a melhor estratégia é evitar e cuidar de qualquer porta de entrada/vulnerabilidade que possa existir. Servidores sem correção, portas de servidores destravadas, firewall inseguro, sistemas desatualizados, roteadores WI-FI abertos e muito mais.

Seja cauteloso!

banner-parceria-1

As ameaças APT compõem a artilharia mais pesada e, por vezes, desconhecida do cibercrime. Os prejuízos causados por essas ameaças podem desafiar a perspectiva dos analistas.

Assim como os ataques APTs, existem outros riscos difíceis de serem identificados, também chamados de ataques ocultos. Confira mais sobre eles em nosso artigo Cibercrime: desvendando os caminhos e ataques ocultos.

Acompanhe-nos nas redes sociais para se aprofundar mais em conteúdos sobre o universo da cibersegurança:

Read more posts by this author

Mirian Fernandes

Redatora da Starti

The link has been copied!