¿Qué son las amenazas persistentes avanzadas? (APT)

¿Cuáles son las características de las amenazas persistentes avanzadas (APT)?

Las APT son bastante diferentes de los ataques oportunistas como el phishing de amplio espectro, que tienden a basarse en tácticas de explotación masiva y pueden ser llevados a cabo incluso por ciberdelincuentes no cualificados. Algunos de los rasgos definitorios de las APT son:

• Altamente dirigidas: las APT se diseñan cuidadosamente para atacar organizaciones, sectores, individuos o gobiernos específicos. Sus objetivos suelen poseer datos valiosos o confidenciales que los atacantes pueden manipular, destruir o vender.
• Presencia a largo plazo: las APT están diseñadas para permanecer inadvertidas dentro de una red durante meses o incluso años. Esto permite a los atacantes analizar cuidadosamente su objetivo y aumentar el valor y el volumen de su ataque.
• Sigilo y evasión: las APT utilizan técnicas que las medidas de seguridad básicas pasan por alto. Algunas de las estrategias más comunes son el cifrado, la suplantación de código o aplicaciones legítimas (suplantación de identidad) y la autoescritura (polimorfismo).
• Respaldo de estados nacionales o del crimen organizado: las APT suelen estar patrocinadas por gobiernos o entidades del hampa que buscan agendas políticas, ventajas competitivas o lucro. Los ciberdelincuentes pueden usar estos recursos para acceder a herramientas y exploits especializados.

Cómo funcionan las amenazas persistentes avanzadas

Las APT siguen un ciclo de vida por etapas para infiltrarse en un objetivo, establecer el control y evitar la detección. Las etapas claves son:

1. Reconocimiento: los atacantes recopilan información sobre su objetivo para determinar el ángulo de ataque ideal. Esto puede incluir detalles sobre la red, las aplicaciones, los usuarios (p. ej., nombres, credenciales de inicio de sesión), los socios, etc.
2. Compromiso inicial: los atacantes obtienen acceso a la red objetivo, a menudo a través de ingeniería social (por ejemplo, correos electrónicos de phishing selectivo, compromiso de correo electrónico comercial), exploits de día cero o ataques de abrevadero.
3. Establecimiento de un punto de apoyo: los atacantes implementan malware como troyanos de acceso remoto (RAT) o puertas traseras, lo que les permite recuperar el acceso si se cierra su punto de entrada original.
4. Escalada de privilegios: los atacantes utilizan credenciales de inicio de sesión robadas o explotan fallos de seguridad internos (por ejemplo, políticas de acceso laxas, configuraciones erróneas) para obtener permisos de alto nivel o acceso de administrador.
5. Movimiento lateral: los atacantes utilizan sus nuevos privilegios para moverse a través de la red y permanecer sin ser detectados, fortaleciendo aún más su posición mientras navegan por el entorno.
6. Exfiltración de datos: Los atacantes transfieren datos valiosos (p. ej., propiedad intelectual, registros financieros, información de clientes) a una ubicación externa que controlan. A menudo, cifran los datos o los integran en tráfico legítimo para evitar ser detectados.
7. Cubriendo pistas: para mantener el acceso a la red y continuar evadiendo la detección, los atacantes pueden cambiar o eliminar registros, cambiar marcas de tiempo, etc.
    

Tácticas, técnicas y procedimientos (TTP) emergentes de APT

Además de las mencionadas anteriormente, los grupos APT continúan innovando nuevas técnicas para eludir los métodos de seguridad APT establecidos.

Abuso de los servicios de nube

Los grupos APT están abusando cada vez más de servicios de nube legítimos como GitHub y Dropbox para realizar ataques sigilosos. Estos servicios cuentan con cifrado nativo, lo que facilita que las APT permanezcan ocultas mientras emplean tácticas como:

• Abuso de API, explotación de integraciones de software confiables para eludir los controles de seguridad
• Abuso de webhooks, explotando las comunicaciones automatizadas de aplicación a aplicación para ocultar su ubicación
• Resolvedores de punto muerto, que explotan el almacenamiento en la nube para proteger la ubicación de su infraestructura maliciosa
• Alojamiento de carga útil, almacenamiento de cargas útiles maliciosas en plataformas que utilizan herramientas de seguridad de confianza.

Abuso de las redes sociales

Los autores de APT también están usando las redes sociales como cobertura para sofisticadas técnicas de ingeniería social, puntos de entrega ocultos y más. Al hacerse pasar por reclutadores e investigadores de seguridad en plataformas como LinkedIn y X (Twitter), pueden llevar a cabo una parte de sus ataques a plena vista.

Obtenga más información en el Informe de ataques cifrados de ThreatLabz.

¿Quién lanza amenazas persistentes avanzadas?

Los atacantes APT se dividen en gran medida en una de las siguientes categorías:

• Miembros de estados-nación
• Grupos hacktivistas
• Organizaciones cibercriminales
• Personas de la propia ganización con motivación externa

Los ciberdelincuentes que están detrás de las APT son hackers altamente capacitados, generalmente con amplios recursos y respaldo financiero que les dan acceso a métodos y herramientas avanzados. Sus patrocinadores pueden ser empresas criminales organizadas con fines de lucro, pero son principalmente grupos de Estados nacionales involucrados en el espionaje cibernético.on Grupos con sede en China, Irán, Corea del Norte y Rusia están regularmente vinculados a campañas APT de alto perfil.

Ejemplos reales de ataques APT

Las APT representan una amenaza activa y creciente. Algunos incidentes recientes incluyen:

• Trabajadores remotos norcoreanos en occidente: los autores de amenazas norcoreanos han estado utilizando ingeniería social, IA generativa y datos robados (incluido código fuente, datos personales y billeteras de criptomonedas) para asegurar oportunidades de trabajo remoto en países occidentales.
• Kimsuky (APT43): este grupo de amenazas respaldado por la RPDC utiliza varias técnicas, incluidas extensiones maliciosas de Chrome, para robar credenciales de inicio de sesión, datos de seguimiento y más de centros de investigación, agencias gubernamentales y escuelas de Corea del Sur.
• Earth Baku (APT41): este autor de amenazas con sede en China utiliza el cargador sigiloso DodgeBox para distribuir malware de puerta trasera MoonWalk. Originalmente conocido por atacar a organizaciones del sudeste asiático, el grupo ha expandido sus actividades también a la región EMEA.

Mientras tanto, otros ataques APT menos recientes han dejado legados notorios:

• Ataque a SolarWinds (2020): ciberdelincuentes del estado-nación ruso implementaron actualizaciones troyanizadas del software SolarWinds Orion, lo que les permitió instalar malware en los sistemas de aproximadamente 18 000 clientes de SolarWinds, incluidas agencias del gobierno de EE. UU.
• Stuxnet (2010): supuestamente parte de una operación encubierta de sabotaje cibernético, este gusano malware interrumpió procesos industriales en instalaciones nucleares iraníes, dañando gravemente aproximadamente 1000 centrifugadoras nucleares.
• Operación Aurora (2009): agentes de amenazas respaldados por China utilizaron un exploit de día cero en el navegador web Internet Explorer para robar datos de docenas de grandes empresas, como Adobe, Google y Yahoo. El incidente provocó que Google interrumpiera sus operaciones en China.

Impactos de estas campañas

Los ataques APT pueden tener repercusiones importantes y las infracciones de datos son sólo el comienzo. Como consecuencia de una vulneración de datos, las víctimas pueden sufrir pérdidas financieras, así como consecuencias legales, regulatorias y de reputación, y en ocasiones es necesario trazar un largo camino hacia la recuperación.

Si una APT altera operaciones o sistemas críticos, puede provocar interrupciones en las cadenas de suministro, la fabricación o los servicios públicos esenciales, o incluso causar una agitación política o económica más amplia. Los ataques a la Operación Aurora y a Stuxnet, en particular, muestran cómo las APT pueden contribuir a tensiones sociopolíticas y geopolíticas a largo plazo.

Cómo detectar y defenderse de las APT

Los grupos APT diseñan expertamente sus ataques para que sean difíciles de detectar, pero no es imposible. La defensa contra las APT requiere una arquitectura de seguridad sólida y proactiva que ofrezca:

• Visibilidad completa: la supervisión continua elimina los puntos ciegos en los terminales, las redes y las nubes para detectar actividad sospechosa.
• Detección de anomalías: las herramientas impulsadas por IA pueden identificar patrones inusuales, como flujos de tráfico anormales o intentos disfrazados de exfiltrar datos.
• Inteligencia de amenazas integrada: la inteligencia de amenazas en tiempo real vincula datos externos con la actividad interna, lo que permite una identificación más rápida de tácticas específicas de APT.
• Búsqueda proactiva de amenazas: los cazadores de amenazas expertos pueden buscar actividades como la escalada de privilegios o el movimiento lateral antes de que se activen alertas automatizadas.
• Herramientas de detección avanzadas: herramientas como la detección y respuesta de terminales (EDR), los sistemas de detección de intrusiones (IDS) y los entornos sandbox pueden descubrir señales de comportamiento APT que las herramientas tradicionales pasan por alto.
• Arquitectura de zero trust: los controles de acceso con privilegios mínimos y la verificación continua de identidades y dispositivos minimizan los riesgos de movimiento lateral o escalada.
   

Cómo Zscaler aborda las APT

Zscaler une capacidades esenciales con una arquitectura de zero trust nativa de la nube y análisis avanzados para una seguridad APT integral. Nuestro enfoque combina:

• Inspección completa del tráfico en línea: nuestra arquitectura de proxy nativa de la nube inspecciona todo el tráfico entrante y saliente, incluido tráfico encriptado por TLS/SSL, con escala infinita.
• Análisis de sandbox en la nube en línea: nuestro entorno sandbox impulsado por IA ofrece inspección ilimitada y sin latencia y veredictos en tiempo real para bloquear las amenazas antes de que lleguen a los terminales.
• Inteligencia experta sobre amenazas: nuestro equipo de investigación de amenazas ThreatLabz rastrea activamente a los grupos APT más sofisticados del mundo para comprender las tendencias y tácticas emergentes.