¿Qué es una APT?

APT significa “Advance Persistent Threat”, o en español: Amenaza Avanzada Persistente. El término se volvió famoso debido a una nota del New York Times en donde se detallaba la campaña

APT significa “Advance Persistent Threat”, o en español: Amenaza Avanzada Persistente. El término se volvió famoso debido a una nota del New York Times en donde se detallaba la campaña de un ataque de un mes, en donde una unidad militar de China, conocida ahora como “APT 1”, logró penetrar las redes de organización de los medios de comunicación con una serie de correos electrónicos de phishing y un diluvio de muestras de malware personalizadas.

apt_title

Hay dos maneras de ver esto: APT como una cosa y APT como una persona. Por un lado, una Amenaza Avanzada Persistente (APT) se refiere a una especie de ciberataque muy preciso. Por otro lado, las APT pueden referirse también a grupos, a menudo apoyados o financiados de otras formas, que son responsables del lanzamiento de dichos ataques de precisión.

Las verdaderas APT son contrarias a la intuición. Cuando piensas en la mayoría de los cibercriminales y en otros propagadores de malware, piensas que su objetivo es el de infectar la mayor cantidad de computadoras posibles con sus credenciales de hurto, construcciones de botnet, u otros software maliciosos. Cuanto más amplia sea la red, más oportunidades tendrán de robar dinero, recursos de computación, o cualquier objetivo que tengan. Los actores en las APT están interesados en infectar las máquinas de ciertas personas en particular.

El objetivo final de un ataque del estilo de las APT es el de comprometer una máquina en donde haya algún tipo de información valiosa. Sería un éxito obvio si el atacante lograra cargar un keylogger o instalar una “puerta trasera” en la máquina del ejecutivo en jefe o del oficial de información de una compañía prominente, pero debes detener este tipo de atacantes a tiempo. Son listos. Tienen equipos de seguridad y herramientas buscándolos. En otras palabras, podría ser muy difícil hackear con éxito a estos individuos empresariales.

Entonces, en lugar de enfocarse en los CEO de las grandes empresas, los grupos de APT eligen a los empleados de menor rango, como algún copywriter o diseñador gráfico, que podría no tener la información en su máquina, pero en la misma red de trabajo se podría encontrar data valiosa que podría ser utilizada para llegar a las máquinas realmente valiosas. Para resumir: comprometer la máquina del copywriter y usar su dirección de mail para propagar el ataque hasta el CEO.

Los hackers de APT ahora parecen elegir objetivos más oscuros en un intento de encadenar acciones que, a la larga, lleven a los datos valiosos.

El punto es: no tienes que ser el CEO de una compañía para ser la potencial víctima de una APT. Casi cualquier persona con una conexión de internet es un potencial blanco.

La semana pasada, los analistas de Kaspersky descubrieron una campaña de espionaje del estilo de las APT llamada “NetTraveler” que ha perseguido a diplomáticos, contratistas militares y agencias gubernamentales en 40 países, durante una década.

Este ataque, como muchos otros ataques de APTs, comenzó con un simple mail de phishing que logró explotar algunas conocidas vulnerabilidades de Microsoft. Eventualmente, los atacantes desarrollaron una herramienta capaz de extraer información del sistema, dejando a su paso malware, robando documentos de Office (Word, Excel, PowerPoint), y modificando las configuraciones para robar diseños de Corel Draw, archivos de AutoCAD y otro tipo de archivos utilizados para manufacturar y defender círculos. Este ataque debería ser considerado como una APT porque parece haber tenido víctimas de todo tipo, no sólo los individuos comunes, sino también las computadoras de organizaciones en donde se guardaban datos valiosos y secretos. Como mencioné en un principio, APT puede referirse a un hacker o a un grupo de ataques. En este caso, el grupo de ataques es muy prolífico.  Tal vez no tan prolífico como el reconocido Comment Crew (alias APT 1), pero los investigadores de Kaspersky Lab dicen que quien sea que haya creado el NetTraveler, podría ser responsable también de los ataques de “Titan Rain” y “GhostNet”.

Consejos