Advanced Persistent Threat

Hay un refrán que dice “el que la sigue la consigue”, es decir, hay personas que hacen todo lo que esté a su alcance para lograr un objetivo y hasta que no alcanzan el objetivo, no se detienen. Existe cierta similitud entre el refrán y la técnica de ataque APT, ya que los ataques persistentes avanzados (APT) consisten en marcarse un objetivo concreto y esperar a que la víctima tenga un descuido para poder adentrarse en sus sistemas de manera sigilosa, obteniendo la información deseada o realizando las acciones oportunas marcadas en el objetivo inicial.

Por tanto un APT es una amenaza persistente avanzada. Amenaza porque hay un conjunto de personas entrenadas para cumplir un objetivo específico, con amplios conocimientos sobre la infraestructura a atacar y con una gran motivación, posiblemente por una recompensa monetaria. Persistente porque los atacantes tienen un objetivo específico que consiste en monitorizar la infraestructura de la víctima, aprovechar un descuido para vulnerar la seguridad de la víctima y permanecer dentro de su infraestructura el mayor tiempo posible con sigilo y cautela. Y Avanzada porque los atacantes tienen los conocimientos y las herramientas necesarias para desarrollar sus propio malware y dirigirlo contra la infraestructura de la víctima, independientemente de si la infraestructura es de propósito general o específico, como sistemas SCADA.

El uso habitual de los ataques APT es robar información sensible a grandes corporaciones, es decir, nada de gastar recursos en infectar PCs de usuarios para crear botnets, normalmente se infectan PCs pero de directivos y presidentes de la compañía a la que se va a atacar. Algunos ejemplos de ataques APT, bastante destacados, son los siguientes:

• Stuxnet: Con un objetivo bastante claro, que era el programa nuclear Iraní, concretamente los sistemas SCADA de la central nuclear. Los atacantes consiguieron modificar los sensores de las turbinas de la central nuclear retrasando su puesta en marcha. Como posibles sospechosos están los servicios secretos estadounidenses e israelíes.
• Flame: El objetivo era el ciber espionaje en el Medio Oriente ya que es capaz de grabar conversaciones de Skype, controlar el audio y micrófonos, realizar capturas de pantalla y de teclado e incluso controlar el bluetooth. Como posibles sospechosos están el gobierno de EEUU, China e Israel.
• Gauss: Al igual que los dos anteriores, su objetivo eran los países de Medio Oriente, y concretamente las instituciones financieras y las cuentas bancarias de sus ciudadanos. Su desarrollo es muy similar al malware Flame, por lo que los autores podrían ser los mismos que los desarrolladores de Flame.

Estos ataques al ser desarrollados con un objetivo específico son difíciles de detectar. Las herramientas de defensa, los procedimientos y los controles de seguridad comunes, no son suficientes para detectar y defenderse de un APT. Así que la mejor manera de descubrirlos es estableciendo líneas base del comportamiento de los equipos, monitorizando el comportamiento de los sistemas mediante herramientas SIEM que nos permitan conocer en todo momento el estado de los equipos, además de medir la reputación de cada uno de los sistemas.

Como habréis intuido, estos ataques no se desarrollan y realizan por una sola persona desde su casa, sino que se necesita mucho conocimiento y dinero para realizar un ataque APT, porque no todo el mundo tiene acceso a sistemas PLC y sistemas SCADA para realizar las pruebas de desarrollo malware, así que ya podréis imaginaros quienes están detrás de estos ataques causando una posible CiberGuerra.