Crédito da imagem: Getty Images
Confira as sessões sob demanda do Low-Code/No- Code Summit para aprender como inovar com sucesso e obter eficiência aprimorando e dimensionando desenvolvedores cidadãos. Assista agora
.
Uma ameaça persistente avançada (APT) é definida como um ataque cibernético sofisticado e em vários estágios pelo qual um intruso estabelece e mantém uma ameaça não detectada presença na rede de uma organização durante um longo período de tempo.
O alvo pode ser um governo ou uma organização privada e o objetivo pode ser extrair informações para roubo ou causar outros danos. Um APT pode ser lançado contra os sistemas de uma entidade para obter acesso a outro alvo de alto valor. Tanto criminosos privados quanto atores estatais são conhecidos por realizar APTs.
Os grupos de agentes de ameaças que apresentam essas APTs são cuidadosamente rastreados por várias organizações. A empresa de segurança CrowdStrike rastreia mais de 170 grupos APT e relata tendo observado um aumento de quase 45% em campanhas de invasão interativa de 2020 a 2021. Embora o crime eletrônico (financeiro) ainda seja o motivo mais comum identificado, as ações de espionagem de estado-nação estão crescendo mais rapidamente e agora ocupam um forte segundo lugar em frequência.
Um APT é composto por três a Principal estágios:
Evento
Cúpula de Segurança Inteligente
Registrar agora
A expansão da presença do atacanteA extração de dados acumulados (ou, em alguns casos, o lançamento de sabotagem dentro do sistema)
Porque a ameaça é projetada para evitar a detecção e atingir informações ou processos muito confidenciais; cada um desses estágios pode envolver várias etapas e ser conduzido pacientemente por um longo período de tempo. Violações bem-sucedidas podem operar sem serem detectadas ao longo de anos; mas algumas ações, como pular de um provedor terceirizado para o alvo final ou executar uma exfiltração financeira, podem ser feitas muito rapidamente.
APTs são conhecidos por usar o direcionamento incorreto para evitar atribuição correta e direta de seu trabalho. Para despistar os investigadores, um APT para um país pode incorporar o idioma de outro país em seu código. As empresas de investigação podem ter relações próximas com as agências de inteligência do governo, levando algumas a questionar a objetividade de suas descobertas. Mas, especialmente com ataques generalizados, o consenso pode ser encontrado.
Talvez o APT recente mais conhecido seja o ataque SolarWinds Sunburst que foi descoberto em 2020, mas problemático até 2021. Os EUA O Gabinete de Responsabilidade Governamental (GAO) fornece um
, acredita-se que esteja ativo desde pelo menos maio de 2020, realizando coleta de informações e espionagem industrial principalmente nos mercados de tecnologia e telecomunicações e no setor governamental.
O táticas, técnicas e procedimentos (TTPs) de APTs são atualizados regularmente em resposta a ambientes e contramedidas em constante evolução. O chefe de inteligência de ameaças da Trellix relata: “No ano passado, houve um aumento dramático nos ataques APT em infraestrutura crítica, como os setores de transporte e financeiro.”
Como o analista do Gartner Ruggero Contu tem observou, “A pandemia acelerou o trabalho híbrido e a mudança para a nuvem, desafiando o CISO a proteger uma empresa cada vez mais distribuída. O CISO moderno precisa se concentrar em uma superfície de ataque em expansão criada por iniciativas de transformação digital, como adoção de nuvem, convergência de TI/OT-IoT, trabalho remoto e integração de infraestrutura de terceiros.”
Atores de ameaças empregam técnicas de hacking contínuas e frequentemente complexas. Eles normalmente realizam uma análise completa de uma empresa, revisam sua equipe de liderança, traçam o perfil de seus usuários e obtêm outros detalhes detalhados sobre o que é necessário para administrar o negócio. Com base nessa avaliação, os invasores tentam instalar um ou mais backdoors para obter acesso a um ambiente sem serem detectados.
O ciclo de vida de uma ameaça persistente avançada
Lockheed Martin’s cadeia de assassinato cibernético
estrutura serve como uma referência útil para o ciclo de vida de ameaças persistentes avançadas. O processo consiste em sete etapas, começando com o reconhecimento.
As etapas básicas do modelo de cadeia de morte cibernética são as seguintes:
1. Reconhecimento
2. Armamento
3. Entrega
4. Exploração
5. Instalação
6. Comando e Controle
7. Ações no Objetivo
8. Monetização: Esta oitava etapa foi adicionada por alguns ao modelo original.
Os invasores analisarão a equipe de liderança, analisarão o tipo de negócio e entenderão exatamente qual tipo de alvo é. À medida que o ataque evolui de reconhecimento para armamento, os invasores determinarão o método mais eficiente para explorar vulnerabilidades.
O invasor pode explorar vulnerabilidades em sistemas e serviços em nuvem ou pode explorar funcionários por meio de ataques do tipo phishing. Tendo selecionado a abordagem ou abordagens que desejam adotar, eles entregarão malware ou explorarão vulnerabilidades que permitirão o acesso ao ambiente. Um invasor instalará um Trojan de acesso remoto ou um mecanismo de backdoor para manter o acesso persistente ao sistema.
É comum a instalação de um sistema de comando e controle onde o ambiente envia heartbeats para um servidor ou serviço externo para que o invasor execute ou baixe arquivos maliciosos para o ambiente ou exfiltrar dados para fora do ambiente.
Este é um modelo útil, mas os ciberataques se adaptaram a ele. Às vezes, eles pulam etapas ou combinam várias delas em uma ação para reduzir o tempo necessário para se infiltrar e infectar. Como parte do processo, os malfeitores desenvolverão ferramentas personalizadas (ou as adquirirão na dark web) para atacar uma organização ou tipo de organização específico.
Em alguns casos, os cibercriminosos se tornaram hábeis em encobrir seus rastros. Ao permanecerem indetectáveis, eles têm a oportunidade de usar backdoors repetidamente para ataques adicionais.
Além de haver um ciclo de vida para uma ameaça persistente avançada, também há o ciclo de vida dos atacantes a considerar. Carric Dooley, diretor administrativo de resposta a incidentes em Cerberus Sentinel
, observa que os grupos tendem a evoluir, bem como ir e vir ao longo do tempo.
Ele dá o exemplo de DarkSide, que se tornou DarkMatter, e agora se desmembrou no grupo criminoso BlackCat.
“Eles evoluem sua abordagem, [ suas] ferramentas, como eles definem e selecionam alvos e modelos de negócios baseados em ficar à frente dos mocinhos usando ‘o que funciona hoje’”, disse ele. “Alguns fazem uma pausa depois de ganhar muito dinheiro e alguns se aposentam ou deixam o calor da aplicação da lei diminuir.”
Assim, alguns grupos APT permanecem ativos a longo prazo. Outros, que ficaram inativos por muitos anos, de repente voltam aos negócios. Mas é difícil para as organizações ou nações defensoras categorizar com precisão quem ou o que as está atacando. Além das técnicas de ofuscação fornecidas por atores patrocinados por estados-nação, pode ser que os grupos APT percebidos como diferentes sejam na verdade uma entidade, mas os indivíduos que os compõem e suas ferramentas de malware estão mudando e evoluindo.
Lista das principais ameaças
Pela sua natureza, novas ameaças persistentes avançadas baseadas em novas técnicas normalmente operam sem ainda terem sido detectadas. Além disso, ataques especialmente desafiadores ainda podem ser perpetrados em organizações muito depois de terem sido inicialmente identificados (por exemplo, SolarWinds).
No entanto, novas tendências e padrões comuns são regularmente reconhecidos e replicados até que sejam encontrados meios para torná-los ineficazes. A Kaspersky, uma empresa russa de segurança na Internet, identificou o seguinte formar-se
tendências em APTs: O setor privado apoiando um influxo de novos jogadores APT: Produtos comercialmente disponíveis, como a empresa israelense NSO Grupo Espera-se que o software Pegasus da , que é comercializado para agências governamentais por seus recursos de vigilância com clique zero, encontre seu caminho para um número crescente de APTs. Dispositivos móveis expostos a ataques amplos e sofisticados: O novo modo de bloqueio da Apple para a atualização do software iOS 16 do iPhone destina-se a endereçar o
exploração do spyware do Grupo NSO que foi descoberto em 2021, mas seus telefones ainda junte-se ao Android e outros produtos móveis como alvos principais de APTs.
Continuação da exploração itation of work-from-home (WFH): Com o aumento dos acordos WFH desde 2020, os agentes de ameaças continuarão a explorar os sistemas remotos dos funcionários até que esses sistemas estejam suficientemente protegidos para desencorajar a exploração.Aumentar em Invasões APT na região do Oriente Médio, Turquia e África (META), especialmente na África: Com a deterioração da situação geopolítica global, a espionagem está aumentando onde sistemas e comunicações relevantes são mais vulneráveis.
- Explosão de ataques contra segurança em nuvem e serviços terceirizados: Com a tendência de usar uma brecha inicial por meio de um sistema de terceiros para atingir um objetivo final, os serviços de nuvem e terceirização estão sendo desafiados com mais frequência. O retorno do baixo -ataques de nível: Com o aumento do uso de Seguro Boot fechando opções mais diretas, os invasores estão voltando para rootkits como um caminho alternativo para os sistemas. Os estados esclarecem suas práticas aceitáveis de cibercrime: Com os governos nacionais cada vez mais sendo alvos e perpetradores de invasões cibernéticas, eles estão cada vez mais formalizando suas posições sobre o que consideram oficialmente aceitável.
10 exemplos de grupos avançados de ameaças persistentes
APTs não podem ser pensados da mesma forma que o último tipo de malware. Eles devem ser considerados grupos de ameaças que usam uma variedade de técnicas diferentes. Uma vez que um APT obtém sucesso, ele tende a operar por algum tempo. Aqui estão alguns exemplos do banco de dados do MITRE:
- APT29: Acredita-se que esteja conectado ao Serviço de Inteligência Estrangeira da Rússia (SVR). Ele existe desde pelo menos 2008. Os alvos incluem governos, partidos políticos, grupos de reflexão e entidades industriais/comerciais na Europa, América do Norte, Ásia e Oriente Médio. Às vezes chamado de Cozy Bear, CloudLook, Grizzly Steppe, Minidionis e Yttrium. APT38: Também conhecido como Grupo Lázaro, Apóstolos de Deus, Discípulos de Deus, Guardiões da Paz, ZINC, Equipe Whois e Cobra Oculta. Ele tende a ter como alvo as trocas de Bitcoin, criptomoeda e, mais famosa, a Sony Corp. Acredita-se que seja de origem norte-coreana.APT28: Também conhecido como Fancy Bear,
- Evil Corp: Também conhecido como Aranha Indirk. Este grupo é especializado nos setores financeiro, governamental e de saúde. O ransomware BitPaymer, por exemplo, paralisou sistemas de TI nos EUA. O grupo se originou na Rússia e tem sido alvo de investigação e sanções do Departamento de Justiça dos EUA.
- APT1: Também conhecido como Comment Crew, Byzantine Hades, Comment Panda e Shanghai Group. Operando fora da China, tem como alvo aeroespacial, químico, construção, educação, energia, engenharia, entretenimento, finanças e TI em todo o mundo.
APT12: Também conhecido como Numbered Panda, Calc Team e Crimson Iron. Ele visa principalmente alvos do Leste Asiático, mas obteve sucesso contra os meios de comunicação, incluindo o New York Times.
- APT33: Também conhecido como Elfin e Magnallium. Obtém apoio do governo do Irã e se concentra nos setores aeroespacial e de energia na Arábia Saudita, Coréia do Sul e EUA APT32: Também conhecido como OceanLotus, Ocean Buffalo e SeaLotus. Os alvos principais foram na Austrália e na Ásia, incluindo a violação da Toyota. O grupo é baseado no Vietnã. 10 melhores práticas para identificação avançada de ameaças persistentes e gestão
É inerentemente difícil identificar APTs. Eles são projetados para serem furtivos, facilitados pelo desenvolvimento e tráfego ilícito em explorações de dia zero. Por definição, exploits de dia zero não podem ser detectados diretamente. No entanto, os ataques tendem a seguir certos padrões, perseguindo alvos previsíveis, como credenciais administrativas e repositórios de dados privilegiados que representam ativos corporativos críticos. Aqui estão 10 dicas e práticas recomendadas para evitar e identificar a invasão de APT:
1. Modelagem e instrumentação de ameaças: “Modelagem de ameaças é uma prática útil que ajuda os defensores a entender sua postura de risco da perspectiva de um invasor, informando as decisões de arquitetura e design em relação aos controles de segurança”, de acordo com Igor Volovich, vice-presidente de conformidade da
Qmulo. “Instrumentar o ambiente com controles eficazes capazes de detectar atividades maliciosas com base na intenção em vez de uma técnica específica é uma direção estratégica que as empresas deve perseguir.”2. Fique atento: Preste atenção às postagens dos analistas de segurança e da comunidade de segurança que acompanham os grupos APT. Eles procuram por atividades relacionadas que indiquem as ações de grupos de ameaças, grupos de atividades e agentes de ameaças, bem como sinais de atividades como novos conjuntos de invasões e campanhas cibernéticas. As organizações podem obter informações dessas fontes e usá-las para analisar seus próprios ativos para ver se eles se sobrepõem a quaisquer motivações de grupo ou métodos de ataque conhecidos. Eles podem então tomar as medidas apropriadas para proteger suas organizações.
4. Use suas ferramentas: Pode ser possível identificar APTs usando ferramentas de segurança existentes, como proteção de endpoint, sistemas de prevenção de intrusão de rede, firewalls e proteções de e-mail. Além disso, o gerenciamento consistente de vulnerabilidades e o uso de ferramentas de observabilidade, juntamente com auditorias trimestrais, podem ser úteis para impedir uma ameaça persistente avançada. Com visibilidade total do log de várias camadas de tecnologia de segurança, pode ser possível isolar ações associadas ao tráfego malicioso conhecido.
- Ameaças persistentes avançadas são geralmente associadas a ataques cibernéticos patrocinados pelo estado. Mas as organizações dos setores público e privado também foram atingidas. As empresas financeiras e de tecnologia são consideradas de maior risco, mas hoje em dia ninguém deve presumir que nunca receberá tal ataque, mesmo as pequenas e médias empresas. “Qualquer organização que armazene ou transmita dados pessoais confidenciais pode ser um alvo”, diz Lou Fiorello, vice-presidente e gerente geral de produtos de segurança da Serviço agora. “Isso decorre, em parte, do aumento do malware de commodities: estamos vendo alguns grupos criminosos ganhando grandes quantidades de riqueza de suas atividades nefastas que lhes permitem comprar e explorar vulnerabilidades de dia zero.”
7. Foco na intenção: Volovich recomenda que as organizações adotem controles capazes de detectar atividades maliciosas com base na intenção em vez de uma técnica específica
como uma direção estratégica que as empresas devem perseguir em frustrar APTs. Isso pode ser visto como uma estratégia de gerenciamento de risco baseada em resultados que informa decisões táticas sobre portfólios de ferramentas e prioridades de investimento, bem como direção de arquitetura e design para aplicativos e fluxos de trabalho críticos.8. Conformidade: Como parte das iniciativas de conformidade em andamento, as organizações devem estabelecer uma base sólida de controles de segurança alinhados a uma estrutura comum, como NIST
800-53 ou ISO 27001. Mapeie os investimentos em tecnologia atuais e planejados para os objetivos de controle da estrutura escolhida para identificar quaisquer lacunas a serem preenchidas ou mitigadas.
9. Conheça suas ferramentas e frameworks: Algumas organizações fazem de tudo para cumprir todos os itens de linha em uma estrutura de segurança ou conformidade ou outro. No entanto, isso pode assumir a cor de alcançar a conformidade por si só (o que pode ser exigido em alguns setores). Várias estruturas de conformidade e segurança devem servir como guias úteis, bem como modelos para gerenciamento consistente de riscos, mas não são o objetivo final de um programa que interromperá as APTs em seus caminhos. Concentre-se em avaliar e melhorar a maturidade dos próprios controles e ferramentas e sua capacidade geral de gerenciamento de riscos.
Fornecedores e provedores de serviços encarregados de ajudar as organizações a responder a um incidente sabem disso muito bem: As vítimas muitas vezes são culpadas por nem mesmo cobrir a higiene do programa de segurança em um nível básico. Alguns têm pouca ou nenhuma capacidade de detecção e resposta, então eles perdem sinais óbvios de atividade APT. Isso se resume à implementação de padrões, estruturas e ferramentas superficiais lly. Essas organizações não tomaram medidas extras para garantir que o pessoal de TI e segurança se torne qualificado (e certificado) em seu uso.
“Ter uma ferramenta não é o mesmo que saber como usá-lo e alcançar o domínio”, observa Dooley. “Posso comprar uma serra de mesa, fresadora e torno, mas sem experiência, como você acha que meus móveis vão ficar?”
10. Fundamentos simples: Existem tantos sistemas de segurança por aí, e tantos novos aparecendo todos os meses, que é fácil perder a noção dos fundamentos. Apesar de toda a complexidade e sofisticação por trás do APT, os agentes mal-intencionados costumam fazer suas incursões iniciais usando os vetores de ataque mais simples. Eles usam todos os tipos de técnicas de phishing para induzir os usuários a instalar aplicativos ou deixá-los entrar nos sistemas. Duas ações que agora devem ser consideradas essenciais são o treinamento de conscientização de segurança de todos os funcionários para proteção contra engenharia social e autenticação de dois fatores.
“Um componente essencial para reduzir o risco é o treinamento seus usuários sobre como identificar e responder a tentativas de phishing”, oferece Brad Wolf, vice-presidente sênior de operações de TI da NeoSystems. “Uma senha por si só é insuficiente para se proteger contra o atual cenário de ameaças; ative a autenticação de dois fatores, caso ainda não o tenha feito.”
A missão da VentureBeat é ser uma praça da cidade digital para tomadores de decisões técnicas obterem conhecimento sobre tecnologia empresarial transformadora e transações. Conheça os nossos Briefings.
- APT27:
Também conhecido como Sodinokibi, Alvos Sodin, GandCrab, Oráculo e Jardins Dourados. Ele ganhou destaque alguns anos atrás por meio de ataques de ransomware REvil.