APT son las siglas del término inglés Advanced Persistent Threat (Amenaza Avanzada Persistente), concepto que saltó a la fama tras la divulgación, por parte de The New York Times, del ataque realizado por una unidad militar china (conocida como APT1) contra las redes de diferentes medios mediante una campaña de spear phishing y malware.
Las APT tienen dos caras: el concepto y las personas. Por una parte, esta amenaza es un tipo sofisticado de ciberataque. En cambio, también puede referirse a aquellos grupos, normalmente patrocinados por los estados, que son los responsables del lanzamiento de dichas campañas maliciosas.
Cuando pensamos en la mayoría de cibercriminales y sus ataques, creemos que su objetivo es infectar tantos equipos como sea posible a través de un software malicioso, una red de botnets o el robo de credenciales. Cuanto mayor es la Red, más oportunidades existen para robar dinero, recursos informáticos, etc. En cambio, las ATP no atacan de forma aleatoria, sino que tienen un objetivo específico.
Así, su fin es comprometer un equipo en concreto, el cual contiene información de valor. Sería todo un éxito si un atacante lograra cargar un keylogger o instalar un backdoor en el ordenador de un alto directivo de una compañía importante. Pero, afortunadamente, no es tan sencillo. Existen muchos profesionales que trabajan para que esto no ocurra. En otras palabras, es realmente difícil hackear a este tipo de individuos.
Así que, en vez de dirigir sus ataques contra un CEO, los grupos APT suelen escoger otros objetivos más sencillos, como empleados de menor rango, los cuales no almacenan tanta información valiosa en sus equipos pero utilizan la misma red y pueden convertirse en el trampolín que les haga llegar a los ordenadores que desean. Es decir, los ataques se dirigen a empleados corrientes para llegar al equipo del gran jefe.
Esta táctica también resulta complicada porque las compañías siguen invirtiendo recursos en productos de seguridad informática y en la educación de sus empleados. Los hackers APT cada vez eligen objetivos más oscuros para sincronizar una cadena compleja de infecciones que les abra camino hasta la información de valor. Por ejemplo, si eres un ingeniero que trabaja para una compañía que diseña piezas para el modelo Boeing; serás el objetivo inicial de los grupos APT para hacerse con el secreto mejor guardado.
¿Cuál es la conclusión? No es necesario ser un CEO para convertirse en el objetivo de una APT; cualquiera puede ser la conexión perfecta en un ataque dirigido.
La semana pasada, nuestros amigos de Securelist descubrieron una campaña de ciberespionaje, estilo APT, llamada “NetTraveler“. Entre sus objetivos se encontraban diplomáticos, subcontratas militares y agencias gubernamentales procedentes de 40 países. Este ataque, como otros muchos APT, comenzó con una campaña de spear phishing que explotaba un par de vulnerabilidades de Microsoft. Al final, los atacantes utilizaron una herramienta capaz de extraer la información del sistema mediante un malware de keylogging robando documentos Word, Excel y Power Point y modificando las configuraciones para adueñarse de diseños Corel Draw, archivos AutoCAD y otro tipo de documentos usados en los círculos de defensa. Se debería considerar este ataque una amenaza avanzada persistente porque no solo se dirigía a individuos específicos sino a organizaciones cuyos equipos contenían secretos valiosos. Los investigadores de Kaspersky Lab han afirmado que quien haya lanzado el ataque NetTraveler puede ser el responsable, también, de los ataques Titan Rain y GhostNet.