¿Qué son las amenazas persistentes avanzadas (APT)?

¿Cuáles son las características de las amenazas persistentes avanzadas (APT)?

Las APT son bastante diferentes de los ataques oportunistas como el phishing de amplio espectro, que tienden a basarse en tácticas de explotación masiva y pueden ser llevados a cabo incluso por actores no calificados. Algunos de los rasgos definitorios de las APT son:

• Altamente dirigidas: las APT se diseñan cuidadosamente para atacar organizaciones, industrias, individuos o gobiernos específicos. Sus objetivos suelen poseer datos valiosos o confidenciales que los atacantes pueden manipular, destruir o vender.
• Presencia a largo plazo: las APT están diseñadas para permanecer inadvertidas dentro de una red durante meses o incluso años. Esto permite a los atacantes analizar cuidadosamente su objetivo y aumentar el valor y el volumen de su ataque.
• Sigilo y evasión: las APT utilizan técnicas que las medidas de seguridad básicas pasan por alto. Algunas de las estrategias más comunes son el cifrado, la suplantación de código o aplicaciones legítimas (suplantación de identidad) y la autoreescritura (polimorfismo).
• Respaldo del Estados-nación o del crimen organizado: las APT suelen estar patrocinadas por entidades gubernamentales o de la delincuencia organizada que persiguen agendas políticas, ventajas competitivas o beneficios. Los malintencionados pueden utilizar estos recursos para acceder a herramientas y exploits especializados.

Cómo funcionan las amenazas persistentes avanzadas

Las APT siguen un ciclo de vida por etapas para infiltrarse en un objetivo, establecer el control y evitar la detección. Las etapas claves son:

1. Reconocimiento: los atacantes recopilan información sobre su objetivo para determinar el ángulo de ataque ideal. Esto puede incluir detalles sobre la red, las aplicaciones, los usuarios (ej., nombres, credenciales de inicio de sesión), socios, etc.
2. Compromiso inicial: los atacantes obtienen acceso a la red objetivo, a menudo a través de ingeniería social (por ejemplo, correos electrónicos de phishing selectivo, compromiso de correo electrónico comercial), exploits de día cero o ataques a sitios frecuentados por la víctima.
3. Establecer un punto de apoyo: los atacantes implementan malware como troyanos de acceso remoto (RAT) o puertas traseras, lo que les permite recuperar el acceso si se cierra su punto de entrada original.
4. Escalada de privilegios: los atacantes utilizan credenciales de inicio de sesión robadas o explotan fallas de seguridad internas (por ejemplo, políticas de acceso laxas, configuraciones erróneas) para obtener permisos de alto nivel o acceso de administrador.
5. Movimiento lateral: los atacantes utilizan sus nuevos privilegios para trasladarse a través de la red y permanecer allí sin ser detectados, fortaleciendo aún más su posición mientras navegan por el entorno.
6. Exfiltración de datos: los atacantes transfieren datos valiosos (ej., propiedad intelectual, registros financieros, información de clientes) a una ubicación externa que controlan. A menudo, cifran los datos o los integran en tráfico legítimo para evitar ser detectados.
7. Ocultar las huellas: para mantener el acceso a la red y continuar evadiendo la detección, los atacantes pueden cambiar o borrar los registros, cambiar las marcas de tiempo, etc.
    

Tácticas, técnicas y procedimientos (TTP) emergentes de APT

Además de las mencionadas, los grupos APT siguen innovando con nuevas técnicas para burlar los métodos de seguridad establecidos.

Abuso de los servicios en la nube

Los grupos APT están explotando cada vez más de servicios de nube legítimos como GitHub y Dropbox para realizar ataques sigilosos. Estos servicios cuentan con cifrado nativo, lo que facilita que las APT permanezcan ocultas mientras emplean tácticas como:

• Abuso de API, que explotan las integraciones de software confiables para eludir los controles de seguridad
• Abuso de webhooks, que explotan las comunicaciones automatizadas de aplicación a aplicación para ocultar su ubicación
• Resolutores de dead drops, que explotan el almacenamiento en la nube para ocultar la ubicación de su infraestructura maliciosa
• Alojamiento de cargas útiles, que almacenan cargas útiles maliciosas en plataformas en las que confían los usuarios y las herramientas de seguridad

Abuso de las redes sociales

Los actores de APT también están utilizando las redes sociales como fachada para sofisticadas técnicas de ingeniería social, dead drops y mucho más. Al hacerse pasar por reclutadores e investigadores de seguridad en plataformas como LinkedIn y X (Twitter), pueden llevar a cabo partes de sus ataques a plena vista.

Obtenga más información en el informe de ataques cifrados de ThreatLabz.

¿Quién lanza amenazas persistentes avanzadas?

Los atacantes de APT pertenecen en gran medida a una de unas pocas categorías:

• Actores de Estado-nación
• Grupos hacktivistas
• Organizaciones cibercriminales
• Personas con motivación externa

Los actores detrás de las APT son hackers altamente capacitados, generalmente con amplios recursos y respaldo financiero que les dan acceso a métodos y herramientas avanzados. Sus patrocinadores pueden ser empresas criminales organizadas con ánimo de lucro, pero principalmente son grupos de Estados-nación implicados en el ciberespionaje. Grupos con sede en China, Irán, Corea del Norte y Rusia están regularmente vinculados a campañase APT de alto perfil.

Ejemplos reales de ataques de APT

Las APT representan una amenaza activa y creciente. Algunos incidentes recientes incluyen:

• Trabajadores remotos norcoreanos en Occidente: los actores de amenazas norcoreanos han estado utilizando ingeniería social, GenAI y datos robados (incluido código fuente, datos personales y billeteras de criptomonedas) para asegurar oportunidades de trabajo remoto en países occidentales.
• Kimsuky (APT43): este grupo de amenazas respaldado por la RPDC utiliza diversas técnicas, incluidas extensiones maliciosas de Chrome, para robar credenciales de inicio de sesión, datos de seguimiento y otros datos de grupos de reflexión, agencias gubernamentales y escuelas de Corea del Sur.
• Earth Baku (APT41): este actor de amenazas con sede en China utiliza el cargador sigiloso DodgeBox para distribuir malware de puerta trasera MoonWalk. Originalmente conocido por atacar a organizaciones del Sudeste Asiático, el grupo ha expandido sus actividades también a la región EMEA.

Mientras tanto, otros ataques APT menos recientes han dejado legados notorios:

• Ataque a SolarWinds (2020): los actores del estado-nación ruso implementaron actualizaciones troyanizadas del software SolarWinds Orion, lo que les permitió instalar malware en los sistemas de unos 18,000 clientes de SolarWinds, incluidas agencias del gobierno estadounidense.
• Stuxnet (2010): supuestamente parte de una operación encubierta de cibersabotaje, este gusano malware interrumpió procesos industriales en instalaciones nucleares iraníes, dañando críticamente aproximadamente 1000 centrifugadoras nucleares.
• Operación Aurora (2009): actores de amenazas respaldados por China utilizaron un exploit de día cero en el navegador web Internet Explorer para robar datos de docenas de grandes empresas, como Adobe, Google y Yahoo. El incidente provocó que Google interrumpiera sus operaciones en China.

Impactos de estas campañas

Los ataques de APT pueden tener repercusiones importantes y las violaciones de datos son solo el comienzo. Tras una violación, las víctimas pueden enfrentarse a pérdidas financieras, así como a consecuencias legales, normativas y de reputación, lo que a veces supone un largo camino hacia la recuperación.

Si una APT altera operaciones o sistemas críticos, puede provocar interrupciones en las cadenas de suministro, la fabricación o los servicios públicos esenciales, o incluso causar una agitación política o económica más amplia. Los ataques de la Operación Aurora y a Stuxnet, en particular, muestran cómo las APT pueden contribuir a tensiones sociopolíticas y geopolíticas a largo plazo.

Cómo detectar y defenderse de las APT

Los grupos de APT diseñan detalladamente sus ataques para que sean difíciles de detectar, pero no es imposible. La defensa contra las APT requiere una arquitectura de seguridad sólida y proactiva que ofrezca:

• Visibilidad completa: la supervisión continua elimina los puntos ciegos en los puntos finales, las redes y las nubes para detectar actividad sospechosa.
• Detección de anomalías: las herramientas impulsadas por la IA pueden identificar patrones inusuales, como flujos de tráfico anormales o intentos disfrazados de exfiltrar datos.
• Inteligencia de amenazas integrada: la inteligencia de amenazas en tiempo real vincula datos externos con la actividad interna, lo que permite una identificación más rápida de tácticas específicas de APT.
• Búsqueda proactiva de amenazas: los cazadores de amenazas expertos pueden buscar actividades como la escalada de privilegios o el movimiento lateral antes de que se activen alertas automatizadas.
• Herramientas de detección avanzadas: herramientas como la detección y respuesta de puntos finales (EDR), los sistemas de detección de intrusiones (IDS) y los entornos aislados pueden dejar señales de comportamiento APT que las herramientas tradicionales pasan por alto.
• Arquitectura Zero Trust: los controles de acceso con privilegios mínimos y la verificación continua de identidades y dispositivos minimizan los riesgos de movimiento lateral o escalada.
   

Cómo Zscaler aborda las APT

Zscaler une capacidades esenciales con una arquitectura Zero Trust nativa de la nube y análisis avanzados para una seguridad APT integral. Nuestro enfoque combina:

• Inspección completa del tráfico en línea: nuestra arquitectura proxy nativa de la nube inspecciona todo el tráfico entrante y saliente, incluido el cifrado TLS/SSL, con escala infinita.
• Análisis de sandbox en la nube en línea: análisis en línea del entorno de pruebas en la nube: Nuestro entorno aislado impulsado por la IA ofrece una inspección ilimitada y sin latencia y veredictos en tiempo real para bloquear las amenazas antes de que lleguen a los puntos finales.
• Inteligencia experta sobre amenazas: nuestro equipo de investigación de amenazas ThreatLabz rastrea activamente a los grupos APT más sofisticados del mundo para comprender las tendencias y tácticas emergentes.