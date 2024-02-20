Publicado: 8 de abril de 2024
Colaboradores: Gregg Lindemulder, Amber Forrest
Ameaças persistentes avançadas (APT) são ciberataques não detectados, projetados para roubar dados confidenciais, realizar espionagem cibernética ou sabotar sistemas críticos ao longo de um longo período. Ao contrário de outras ameaças cibernéticas, como ransomware, o objetivo de um grupo de ataques APT é permanecer oculto, pois se infiltra e expande sua presença em uma rede de destino.
Equipes de cibercriminosos patrocinadas pelo estado geralmente executam ataques APT para acessar informações confidenciais de outros estados ou nações ou a propriedade intelectual de grandes organizações. Embora inicialmente possam utilizar técnicas tradicionais de engenharia social, esses agentes de ameaças são conhecidos por personalizar ferramentas e métodos avançados para explorar vulnerabilidades exclusivas de organizações específicas. Um ataque APT bem-sucedido pode durar meses ou até anos.
Grupos de APT muitas vezes ganham acesso inicial à sua rede alvo por meio de engenharia social e spear phishing. Com informações coletadas de fontes dentro e fora de uma organização, os invasores da APT criarão e-mails sofisticados de phishing que convencem executivos ou líderes seniores a clicar em um link malicioso. Os invasores também podem buscar outros pontos de entrada e superfícies de ataque para penetrar na rede. Por exemplo, podem iniciar um ataque de dia zero em uma vulnerabilidade não corrigida em um aplicativo da web ou incorporar malware em um site público que os funcionários conhecem para visitar.
Após a invasão inicial, os grupos de APT exploram e mapeiam a rede para determinar as próximas etapas mais adequadas para o movimento lateral em toda a organização. Instalando uma série de backdoors, que possibilitam que acessem a rede a partir de vários pontos de entrada, podem continuar fazendo o reconhecimento e instalar malware oculto. Podem também tentar decifrar senhas e obter direitos administrativos em áreas seguras onde residem dados confidenciais. E o mais importante, os invasores criarão uma conexão com um servidor externo de comando e controle para o gerenciamento remoto dos sistemas hackeados.
Para se preparar para a primeira instância de roubo de dados, os grupos de APT moverão as informações coletadas ao longo do tempo para um local centralizado e seguro dentro da rede. Eles também podem criptografar e compactar os dados para facilitar a exfiltração. Em seguida, para distrair o pessoal da segurança e desviar recursos, podem encenar um evento de "ruído branco", como um ataque de negação de serviço distribuído (DDoS). Nesse ponto, podem transferir os dados roubados para um servidor externo sem serem detectados.
Os grupos de APT podem permanecer dentro de uma rede violada por um período prolongado ou indefinidamente, enquanto aguardam novas oportunidades para realizar um ataque. Durante esse tempo, podem manter sua presença oculta reescrevendo o código para ocultar malware e instalando rootkits que fornecem acesso a sistemas confidenciais sem detecção. Em alguns casos, podem remover evidências do ataque e deixar totalmente a rede depois de atingirem seus objetivos.
Utilizando e-mails de phishing amplamente distribuídos, e-mails de phishing altamente personalizados ou outras táticas de manipulação social, os grupos de APT convencem os usuários a clicar em links maliciosos ou revelar informações que concedam acesso a sistemas protegidos.
Com a implantação de shellcode malicioso que verifica as redes em busca de vulnerabilidades de software não corrigidas, os grupos de APT conseguem explorar áreas fracas antes de os administradores de TI poderem reagir.
Os grupos de APT podem ter como alvo os parceiros confiáveis de negócios, tecnologia ou fornecedores de uma organização para conseguir acesso não autorizado por meio de cadeias de suprimentos de software ou hardware compartilhadas.
Com a capacidade de conceder o acesso oculto e backdoor a sistemas protegidos, os rootkits são uma ferramenta valiosa para ajudar os grupos de APT a ocultar e gerenciar operações remotas.
Depois que os grupos de APT conseguem se estabelecer em uma rede violada, estabelecem uma conexão com seus próprios servidores externos para gerenciar remotamente o ataque e exfiltrar dados confidenciais.
Os grupos de APT podem usar uma série de outras ferramentas para expandir e ocultar sua presença em uma rede, como worms, keylogging, bots, quebra de senhas, spyware e ocultação de código.
Conhecida por seus e-mails de phishing notavelmente convincentes e bem pesquisados, Helix Kitten supostamente opera sob a supervisão do governo do Irã. O grupo tem como alvo principalmente empresas do Oriente Médio em diversos setores, como aeroespacial, telecomunicações, serviços financeiros, energia, produtos químicos e hotelaria. Os analistas acreditam que esses ataques têm o objetivo de beneficiar interesses econômicos, militares e políticos do Irã.
Wicked Panda é um notório e prolífico grupo de APT com sede na China, com supostas ligações com o Ministério de Segurança do Estado chinês e o Partido Comunista Chinês. Além de realizar espionagem cibernética, os membros desse grupo também são conhecidos por atacar empresas para obter ganhos financeiros. Acredita-se que sejam responsáveis por invadir cadeias de abastecimento de saúde, roubar dados confidenciais de empresas de biotecnologia e roubar pagamentos de ajuda humanitária da COVID-19 nos Estados Unidos.
O Stuxnet é um worm de computador utilizado para interromper o programa nuclear do Irã, atacando sistemas de controle de supervisão e aquisição de dados (SCADA). Embora não esteja mais ativo hoje, foi considerado uma ameaça extremamente eficaz quando foi descoberto em 2010, causando danos significativos ao seu alvo. Analistas acreditam que o Stuxnet foi desenvolvido em conjunto pelos Estados Unidos e Israel, embora nenhuma das nações tenha admitido abertamente a responsabilidade.
O Grupo Lazarus é um grupo de APT baseado na Coreia do Norte que acredita ser responsável pelo roubo de centenas de milhões de dólares em moeda virtual. De acordo com o Departamento de Justiça dos EUA, os crimes fazem parte de uma estratégia para prejudicar a cibersegurança global e gerar receita para o governo norte-coreano. Em 2023, o FBI dos EUA acusou o Grupo Lazarus de roubar USD 41 milhões em moeda virtual de um cassino online.
Como os ataques de APT são projetados para imitar operações normais de rede, podem ser difíceis de detectar. Os especialistas recomendam várias perguntas que as equipes de segurança devem fazer caso suspeitem que foram alvos.
Os agentes de ameaças APT têm como alvo contas de usuário de alto valor com acesso privilegiado a informações confidenciais. Essas contas podem apresentar volumes excepcionalmente altos de logons durante um ataque. E como os grupos de APT geralmente operam em fusos horários diferentes, esses logons podem ocorrer tarde da noite. As organizações podem usar ferramentas como detecção e resposta de endpoints (EDR) ou análise de comportamento de usuários e entidades (UEBA) para analisar e identificar atividades incomuns ou suspeitas em contas de usuários.
A maioria dos ambientes de TI experimenta Trojans secretos, mas durante um ataque de APT, sua presença pode se tornar generalizada. Os grupos de APT contam com Trojans secretos como backup para a reentrada nos sistemas comprometidos após terem sido violados.
Um desvio considerável da linha de base normal da atividade de transferência de dados pode sugerir um ataque de APT. Isso pode incluir um aumento abrupto nas operações de banco de dados e a transferência interna ou externa de grandes quantidades de informações. Ferramentas que monitoram e analisam logs de eventos de fontes de dados, como informações de segurança e gerenciamento de eventos (SIEM) ou detecção e resposta de rede (NDR), podem ser úteis para sinalizar esses incidentes.
Os grupos de APT geralmente acumulam grandes quantidades de dados de uma rede e movem essas informações para um local central antes da exfiltração. Grandes pacotes de dados em um local estranho, especialmente se estiver em um formato compactado, podem indicar um ataque APT.
Ataques de spear phishing que visam um pequeno número de líderes de alto nível são uma tática comum entre os grupos de APT. Esses e-mails geralmente contêm informações confidenciais e usam formatos de documento como Microsoft Word ou Adobe Acrobat PDF para iniciar software malicioso. As ferramentas de monitoramento de integridade de arquivos (FIM) podem ajudar as organizações a detectar se ativos críticos de TI foram adulterados devido a malware incorporado em e-mails de spear phishing.
Existem medidas de segurança que as organizações podem adotar para reduzir o risco de hackers da APT obterem acesso não autorizado a seus sistemas. Como os grupos de APT adaptam continuamente novos métodos para cada vetor de ataque, os especialistas recomendam uma abordagem ampla que combine várias soluções e estratégias de segurança, inclusive:
Os serviços de cibersegurança da IBM oferecem consultoria, integração e serviços de segurança gerenciados, além de recursos ofensivos e defensivos. Combinamos uma equipe global de especialistas com tecnologia proprietária e de parceiros para cocriar programas de segurança personalizados que gerenciam riscos.