APTs = Ameaças Persistentes Avançadas – O que São e como se Prevenir
- Time do TheWebGuardian
- 10 de out. de 2024
- 4 min de leitura
O que é a sigla APT?
APT significa Advanced Persistent Threats - em português seria Ameaças Persistentes Avançadas. O que isso representa?
São ataques de infiltração planejados e deliberados - feitos com minúcia, planejamento e ações contínuas, e que não são “percebidos” pela vítima (alvo) durante um longo período de tempo.
No nosso artigo especial “Ataques Cibernéticos: Entenda Como São Feitos”, descrevemos as principais etapas desse ataque complexo e de múltiplas fases.
No âmbito da CyberSegurança, normalmente são praticados por cybercriminosos “financiados” – pelo Governo ou por outras organizações com dinheiro para investir em CyberWarfare e CyberEspionagem.
São grupos coesos de cybercriminosos, que usam as mais diversas táticas para obter acesso (não-autorizado) a redes e sistemas, conhecendo assim a topologia da rede.
Isso permite com que se movam livre e lateralmente, de forma lenta, mas metódica.
São uma ameaça cibernética que causa grandes danos, e difícil de ser detectada e contida, por causa de sua natureza furtiva.
Principais Objetivos e Diferenciais de um Ataque tipo APT
Permanecer “invisível” e despercebido por um longo período de tempo, evitando sua detecção
Os atacantes têm habilidades técnicas e os recursos necessários para fazerem uso de malwares avançados e exploits
Pode ser usado para os seguintes propósitos: espionagem, sabotagem, terrorismo e atividades que gerem caos, pânico ou corte/interrupção no fornecimento de serviços essenciais
Os APTs geralmente querem roubar propriedades intelectuais que podem ajudar num objetivo político
É considerado que os ataques APT têm o maior nível de capacidade técnica (da parte dos atacantes)
Os APTs visam comprometer, em primeira instância, a confidencialidade de dados sensíveis
Ataques APT e os Grupos que os Perpetraram
- Lazarus: Um dos grupos que mais causaram danos. Opera sob diferentes nomes, como Hidden Cobra. Lançaram numerosos ataques à instituições governamentais e financeiras na Coréia do Sul e Ásia
- CozyBear (APT29): Grupo de cybercrime russo que lançou um dos mais massivos ataques APT à Solar Winds, focando na cadeia de fornecedores (Supply Chain) da empresa
- Stone Panda (APT10): O mais conhecido ataque perpetrado por este grupo chinês é o Mirai, que se aproveitou de vulnerabilidades em dispositivos IoT – usando-os como uma rede de bots, lançando uma série de ataques DDoS por um longo período de tempo
Outros Grupos Conhecidos: DarkSide / REvil
O que está por trás de um Ataque APT
Um relatório sobre o ataque Mandiant APT1 nos dá alguns insights de como funciona este ataque:
APTs são riscos reais e representam um perigo enorme para as organizações
APTs são muito bem organizados, financeiramente bem patrocinados, e atuam com perspectivas a longo-prazo
APTs geralmente visam grandes empresas e indústrias, por um longo período de tempo
APTs “roubam” dados de forma vagarosa e gradual, usando canais criptografados – para assim evadir sistemas de detecção
Os atacantes que usam APTs podem reutilizar ferramentas, infra-estrutura e táticas em diversos ataques. Desse modo, tiram de si a culpabilidade ou o rastreamento do ataque
APTs foram criados para manter uma presença persistente na rede de uma organização, a fim de conduzir futuras operações
Os atacantes que usam essa técnica conhecem métodos de evasão de detecção – usando técnicas de “stealth”, e customizando suas técnicas de acordo com o alvo
Usam uma combinação de técnicas e táticas de Engenharia Social para comprometer a segurança das organizações
O que os Cybercriminosos fazem com os Dados?
Uma vez que os dados estão nas mãos dos atacantes, não há limites para o quê podem fazer com eles. Podem simplesmente usá-los para saber o que você (empresa/organização) está fazendo.
Outras vezes, são usados para ajudar o governo para o qual estão trabalhando a conseguir construir programas similares (sem muito esforço).
Há muitos casos onde o CyberWarfare e o Cybercrime poupou milhões de dólares às organizações e governos – tomando vantagem das pesquisas e desenvolvimentos que outros países demoraram anos para construir.
Alvos Preferidos dos APTs
Sistemas de Informação
Setores Aeronáutico e Marítimo
Lasers e Sistemas Ópticos
Sensores
GPS (posição, navegação e registros de tempo)
Setores Eletrônico e Tecnológico
Tecnologias Militares Críticas
Materiais relacionados à Fornecimento de Energia e Armamentos
Materiais, Processos e Logística
Como se Proteger de Ameaças APT
Usar uma solução avançada de detecção de malware, como o software da Cisco (Advanced Malware Protection AMP Threat Grid)
Monitorar continuamente o tráfego nas redes
Criar estratégias para mitigação de riscos
Priorizar a apliação dos conceitos de Defesa em Profundidade
Realizar auditorias regulares das redes, sistemas e atividades dos usuários
Outros Recursos para Mitigação de Riscos APT
Framework do MITRE ATT&CK
Basicamente, são diretrizes para descrever e classificar ataques cibernéticos e invasões.
Esse recurso auxilia na compreensão das ameaças, na melhoria da segurança cibernética e no desenvolvimento de estratégias de detecção e resposta a incidentes.
O framework do MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK) é uma matriz/repositório de informações.
Abrange as táticas, técnicas e procedimentos (TTPs = Tactics, Techniques and Procedures) usadas pelos atacantes / criminosos cibernéticos.
Foi desenvolvida para auxiliar Threat Hunters e Membros dos Times Azul e Vermelho (Red Team e Blue Team) a classificarem ataques, suas atribuições e objetivos, bem como identificar os riscos.
Empresas e organizações usam esse framework para detectar brechas e falhas de segurança, ajudando a estabelecer as prioridades de mitigação, baseando-se nos riscos encontrados.
NOS VEMOS NOS PRÓXIMOS POSTS!
