O que são ameaças persistentes avançadas?

Equipes de cibercriminosos patrocinadas pelo estado geralmente executam ataques de APT para acessar informações confidenciais de outros estados ou nações ou a propriedade intelectual de grandes organizações. Embora inicialmente possam utilizar técnicas tradicionais de engenharia social, esses agentes de ameaças são conhecidos por personalizar ferramentas e métodos avançados para explorar vulnerabilidades exclusivas de organizações específicas. Um ataque de APT bem-sucedido pode durar meses ou até anos.

Grupos de APT muitas vezes ganham acesso inicial à sua rede alvo por meio de engenharia social e spear phishing. Com informações coletadas de fontes dentro e fora de uma organização, os invasores da APT criarão e-mails sofisticados de spear phishing que convencem executivos ou líderes seniores a clicar em um link malicioso.

Os invasores também podem buscar outros pontos de entrada e superfícies de ataque para penetrar na rede. Por exemplo, podem iniciar um ataque de dia zero em uma vulnerabilidade não corrigida em uma aplicação da web ou incorporar malware em um site público que os funcionários conhecem para visitar.

Após a invasão inicial, os grupos de APT exploram e mapeiam a rede para determinar as próximas etapas mais adequadas para o movimento lateral em toda a organização. Instalando uma série de backdoors, que possibilitam que acessem a rede a partir de vários pontos de entrada, podem continuar fazendo o reconhecimento e instalar malware oculto.

Podem também tentar decifrar senhas e obter direitos administrativos em áreas seguras onde residem dados confidenciais. E o mais importante, os invasores criarão uma conexão com um servidor externo de comando e controle para o gerenciamento remoto dos sistemas hackeados.

Para se preparar para a primeira instância de roubo de dados, os grupos de APT moverão as informações coletadas ao longo do tempo para um local centralizado e seguro dentro da rede. Eles também podem criptografar e compactar os dados para facilitar a exfiltração.

Em seguida, para distrair o pessoal da segurança e desviar recursos, podem encenar um evento de "ruído branco", como um ataque de distributed denial-of-service (DDoS). Nesse ponto, podem transferir os dados roubados para um servidor externo sem serem detectados.

Os grupos de APT podem permanecer dentro de uma rede violada por um período prolongado ou indefinidamente, enquanto aguardam novas oportunidades para realizar um ataque. Durante esse tempo, podem manter sua presença oculta reescrevendo o código para ocultar malware e instalando rootkits que fornecem acesso a sistemas confidenciais sem detecção. Às vezes, elas podem remover evidências do ataque e deixar totalmente a rede depois de atingirem seus objetivos.

Utilizando e-mails de phishing amplamente distribuídos, e-mails de phishing altamente personalizados ou outras táticas de manipulação social, os grupos de APT convencem os usuários a clicar em links maliciosos ou revelar informações que concedam acesso a sistemas protegidos.

Com a implantação de shellcode malicioso que verifica as redes em busca de vulnerabilidades de software não corrigidas, os grupos de APT conseguem explorar áreas fracas antes de os administradores de TI poderem reagir.

Os grupos de APT podem ter como alvo os parceiros confiáveis de negócios, tecnologia ou fornecedores de uma organização para conseguir acesso não autorizado por meio de cadeias de suprimentos de software ou hardware compartilhadas.

Com a capacidade de conceder o acesso oculto e backdoor a sistemas protegidos, os rootkits são uma ferramenta valiosa para ajudar os grupos de APT a ocultar e gerenciar operações remotas.

Depois que os grupos de APT conseguem se estabelecer em uma rede violada, estabelecem uma conexão com seus próprios servidores externos para gerenciar remotamente o ataque e exfiltrar dados confidenciais.

Os grupos de APT podem usar uma série de outras ferramentas para expandir e ocultar sua presença em uma rede, como worms, keylogging, bots, quebra de senhas, spyware e ocultação de código.

Conhecida por seus e-mails de spear phishing notavelmente convincentes e bem pesquisados, o Helix Kitten supostamente opera sob a supervisão do governo do Irã. O grupo tem como alvo principalmente empresas do Oriente Médio em diversos setores, como aeroespacial, telecomunicações, serviços financeiros, energia, produtos químicos e hotelaria. Os analistas acreditam que esses ataques têm o objetivo de beneficiar interesses econômicos, militares e políticos do Irã.

Wicked Panda é um notório e prolífico grupo de APT com sede na China, com supostas ligações com o Ministério de Segurança do Estado chinês e o Partido Comunista Chinês. Além de realizar espionagem cibernética, os membros desse grupo também são conhecidos por atacar empresas para obter ganhos financeiros. Acredita-se que sejam responsáveis por invadir cadeias de abastecimento de saúde, roubar dados confidenciais de empresas de biotecnologia e roubar pagamentos de ajuda humanitária da COVID-19 nos Estados Unidos.

O Stuxnet é um worm de computador utilizado para interromper o programa nuclear do Irã, atacando sistemas de controle de supervisão e aquisição de dados (SCADA). Embora não esteja mais ativo hoje, foi considerado uma ameaça extremamente eficaz quando foi descoberto em 2010, causando danos significativos ao seu alvo. Analistas acreditam que o Stuxnet foi desenvolvido em conjunto pelos Estados Unidos e Israel, embora nenhuma das nações tenha admitido abertamente a responsabilidade.

O Lazarus Group é um grupo de APT baseado na Coreia do Norte que acredita ser responsável pelo roubo de centenas de milhões de dólares em moeda virtual. De acordo com o Departamento de Justiça dos EUA, os crimes fazem parte de uma estratégia para prejudicar a cibersegurança global e gerar receita para o governo norte-coreano. Em 2023, o FBI dos EUA acusou o Grupo Lazarus de roubar USD 41 milhões em moeda virtual de um cassino online.

Como os ataques de APT são projetados para imitar operações normais de rede, podem ser difíceis de detectar. Os especialistas recomendam várias perguntas que as equipes de segurança devem fazer caso suspeitem que foram alvos.

Existem medidas de segurança que as organizações podem adotar para reduzir o risco de hackers da APT obterem acesso não autorizado a seus sistemas. Como os grupos de APT adaptam continuamente novos métodos para cada vetor de ataque, os especialistas recomendam uma abordagem ampla que combine várias soluções e estratégias de segurança, inclusive:

• Patching de software para proteger vulnerabilidades de rede e sistema operacional contra explorações de dia zero.
• Monitoramento do tráfego de rede em tempo real para detectar atividades maliciosas, como a instalação de backdoors ou a exfiltração de dados roubados.
• Usar firewalls de aplicações da web em pontos de extremidade da rede que filtram o tráfego entre aplicações da web e a Internet para evitar ataques de entrada.
• Implementar controles de acesso rigorosos que impeçam usuários não autorizados de acessar sistemas e dados confidenciais ou de alto nível.
• Realizar testes de penetração para identificar áreas de fraqueza e vulnerabilidades que os grupos de APT podem explorar durante um ataque.
• Aproveitar a inteligência de ameaças para entender melhor o ciclo de vida de um ataque da APT e planejar uma resposta eficaz a incidentes, caso pareça estar em andamento.