O que são ameaças persistentes avançadas (APTs)?

Quais são as características das ameaças persistentes avançadas (APTs)?

As APTs são bem diferentes de ataques oportunistas como phishing de amplo espectro, que tendem a depender de táticas de exploração em massa e podem ser realizados até mesmo por agentes não qualificados. Algumas das características definidoras das APTs são:

• Natureza altamente direcionada: as APTs são cuidadosamente construídas para violar organizações, setores, indivíduos ou governos específicos. Seus alvos geralmente possuem dados valiosos ou sigilosos que os invasores podem manipular, destruir ou vender.
• Presença de longo prazo: as APTs são projetadas para permanecerem indetectáveis dentro de uma rede por meses ou até anos. Isso dá aos invasores tempo para analisar cuidadosamente seus alvos, além de aumentar o valor e o volume do ataque.
• Furtividade e evasão: as APTs utilizam técnicas que as medidas básicas de segurança ignoram. Algumas das estratégias mais comuns são criptografia, disfarce de código ou aplicativos legítimos (spoofing) e autorreescrita (polimorfismo).
• Apoio de governos ou do crime organizado: as APTs são frequentemente patrocinadas por governos ou entidades criminosas em busca de agendas políticas, vantagens competitivas ou lucro. Os criminosos podem usar esses recursos para acessar ferramentas e exploits especializados.

Como funcionam as ameaças persistentes avançadas

As APTs seguem um ciclo de vida em estágios para se infiltrar em um alvo, estabelecer controle e evitar a detecção. As etapas principais são:

1. Reconhecimento: os invasores coletam informações sobre o alvo para encontrar o ângulo ideal de ataque. Isso pode incluir detalhes sobre a rede, aplicativos, usuários (por exemplo, nomes, credenciais de login), parceiros, etc.
2. Comprometimento inicial: os invasores obtêm acesso à rede visada, geralmente por meio de engenharia social (por exemplo, e-mails de spear phishing, comprometimento de e-mail comercial), exploits de dia zero ou ataques de watering hole.
3. Estabelecimento de posição: os invasores implantam malware, como trojans de acesso remoto (RATs) ou backdoors, permitindo que eles recuperem o acesso caso seu ponto de entrada original seja fechado.
4. Escalonamento de privilégios: invasores usam credenciais de login roubadas ou exploram falhas de segurança interna (por exemplo, políticas de acesso inadequadas, configurações incorretas) para obter permissões de alto nível ou acesso de administrador.
5. Movimentação lateral: os invasores usam seus novos privilégios para se mover pela rede e permanecerem indetectáveis, fortalecendo ainda mais sua posição enquanto navegam pelo ambiente.
6. Exfiltração de dados: os invasores transferem dados valiosos (por exemplo, propriedade intelectual, registros financeiros, informações de clientes) para um local externo sob seu controle. Muitas vezes, eles criptografam os dados ou os incorporam em tráfego legítimo para evitar a detecção.
7. Cobrindo rastros: para manter o acesso à rede e continuar evitando a detecção, os invasores podem alterar ou excluir logs, alterar registros de data e hora e muito mais.
    

Táticas, técnicas e procedimentos emergentes de APT (TTPs)

Além das técnicas mencionadas acima, os grupos de APT continuam a implementar novas técnicas para contornar os métodos de segurança de APT estabelecidos.

Abuso de serviços na nuvem

Os grupos de APT estão cada vez mais abusando de serviços de nuvem legítimos, como GitHub e Dropbox, para realizar ataques furtivos. Esses serviços contam com criptografia nativa, o que facilita a ocultação dos APTs, que empregam táticas como:

• Abuso de API, exploração de integrações de software confiáveis para contornar controles de segurança
• Abuso de webhooks, explorando comunicações automatizadas de aplicativo para aplicativo para ocultar sua localização
• Resolvedores de dead drop, explorando o armazenamento na nuvem para proteger a localização de sua infraestrutura maliciosa
• Hospedagem de cargas, armazenamento de cargas maliciosas em plataformas que usam ferramentas de segurança confiáveis

Abuso de redes sociais

Os agentes de APT também estão usando as redes sociais como cobertura para técnicas sofisticadas de engenharia social, dead drops e mais. Ao se passarem por recrutadores e pesquisadores de segurança em plataformas como LinkedIn e X (Twitter), eles podem conduzir partes de seus ataques à vista de todos.

Saiba mais no Relatório de ataques criptografados da ThreatLabz.

Quem lança ameaças persistentes avançadas?

Os criminosos que utilizam APT se enquadram em algumas categorias:

• Agentes governamentais
• Grupos hacktivistas
• Organizações cibercriminosas
• Agentes internos com motivação externa

Os agentes por trás das APTs são hackers altamente qualificados, geralmente com amplos recursos e apoio financeiro que lhes dão acesso a métodos e ferramentas avançados. Seus patrocinadores podem ser empresas criminosas organizadas com fins lucrativos, mas são principalmente grupos a serviço de governos envolvidos em espionagem cibernética. Grupos sediados na China, Irã, Coreia do Norte e Rússia são frequentemente vinculados a campanhas de alto nível de APT.

Exemplos reais de ataques de APT

As APTs representam uma ameaça ativa e crescente. Alguns incidentes recentes incluem:

• Trabalhadores remotos norte-coreanos no ocidente: criminosos norte-coreanos têm usado engenharia social, GenAI e dados roubados (incluindo código-fonte, dados pessoais e carteiras de criptomoedas) para garantir oportunidades de trabalho remoto em países ocidentais.
• Kimsuky (APT43): esse grupo de ameaças apoiado pela RPDC usa várias técnicas, incluindo extensões maliciosas do Chrome, para roubar credenciais de login, dados de rastreamento e muito mais de think tanks, agências governamentais e escolas sul-coreanas.
• Earth Baku (APT41): esse grupo de ameaças baseado na China utiliza o loader furtivo DodgeBox para disseminar o malware de backdoor MoonWalk. Originalmente conhecido por atacar organizações no Sudeste Asiático, o grupo expandiu seus esforços também para a região da EMEA.

Enquanto isso, outros ataques de APT menos recentes deixaram legados notórios para trás:

• Ataque à SolarWinds (2020): agentes estatais russos implantaram atualizações trojanizadas no software SolarWinds Orion, permitindo que instalassem malware nos sistemas de aproximadamente 18.000 clientes da SolarWinds, incluindo agências do governo dos EUA.
• Stuxnet (2010): supostamente parte de uma operação secreta de sabotagem cibernética, esse malware worm interrompeu processos industriais em instalações nucleares iranianas, danificando gravemente cerca de 1.000 centrífugas nucleares.
• Operação Aurora (2009): criminosos apoiados pela China usaram um exploit de dia zero no navegador Internet Explorer para roubar dados de dezenas de grandes empresas, incluindo Adobe, Google e Yahoo. O incidente levou o Google a descontinuar suas operações na China.

Impactos dessas campanhas

Os ataques de APT podem ter grandes repercussões, e violações de dados são apenas o começo. Após uma violação, as vítimas podem enfrentar perdas financeiras, bem como consequências legais, regulatórias e de reputação, às vezes traçando um longo caminho para a recuperação.

Se uma APT prejudicar operações ou sistemas críticos, isso pode levar a interrupções nas cadeias de suprimentos, na manufatura ou em serviços essenciais, ou até mesmo causar turbulência política ou econômica mais ampla. Os ataques Operação Aurora e Stuxnet, em particular, mostram como os APTs podem contribuir para tensões sociopolíticas e geopolíticas de longo prazo.

Como detectar e se defender contra APTs

Os grupos de APT projetam habilmente seus ataques para que sejam difíceis de detectar; mas não é impossível. A defesa contra APTs requer uma arquitetura de segurança robusta e proativa que ofereça:

• Visibilidade completa: o monitoramento contínuo elimina pontos cegos em terminais, redes e nuvens para detectar atividades suspeitas.
• Detecção de anomalias: ferramentas com tecnologia de IA podem identificar padrões incomuns, como fluxos de tráfego anormais ou tentativas disfarçadas de exfiltração de dados.
• Inteligência sobre ameaças integrada: a inteligência sobre ameaças em tempo real vincula dados externos à atividade interna, permitindo a identificação mais rápida de táticas específicas de APT.
• Caça proativa de ameaças: caçadores de ameaças especialistas podem procurar atividades como escalonamento de privilégios ou movimentação lateral antes que elas acionem alertas automatizados.
• Ferramentas avançadas de detecção: ferramentas como detecção e resposta de terminais (EDR), sistemas de detecção de intrusão (IDS) e sandboxes podem descobrir sinais de comportamento de APT que as ferramentas tradicionais não detectam.
• Arquitetura zero trust: controles de acesso de privilégio mínimo e verificação contínua de identidades e dispositivos minimizam os riscos de movimentação lateral ou escalonamento.
   

Como a Zscaler aborda as APTs

A Zscaler une recursos essenciais com uma arquitetura zero trust nativa da nuvem e análises avançadas para oferecer segurança de APT abrangente. Nossa abordagem combina:

• Inspeção completa de tráfego em linha: nossa arquitetura de proxy nativa da nuvem inspeciona todo o tráfego de entrada e saída, incluindo tráfego critpografado em TLS/SSL, com dimensionamento infinito.
• Análise de sandbox de nuvem em linha: nossa sandbox com tecnologia de IA oferece inspeção ilimitada e sem latência, além de vereditos em tempo real para bloquear ameaças antes que elas cheguem aos terminais.
• Inteligência especializada em ameaças: a ThreatLabz, nossa equipe de pesquisa de ameaças, monitora ativamente os grupos de APT mais sofisticados do mundo para entender tendências e táticas emergentes.