Índice:
- O que é um APT?
- Como os APTs são diferentes?
- Alguns exemplos de APTs
- Para onde os APTs?
- Ameaças de segurança do século XXI
Um ataque a uma rede de computadores não é mais uma notícia importante, mas há um tipo diferente de ataque que leva as preocupações de segurança cibernética para o próximo nível. Esses ataques são chamados de ameaças persistentes avançadas (APT). Descubra como elas diferem das ameaças cotidianas e por que elas podem causar tanto dano em nossa análise de alguns casos de alto nível que ocorreram nos últimos anos. (Para leitura em segundo plano, confira As 5 ameaças mais assustadoras da tecnologia.)
O que é um APT?
O termo ameaça persistente avançada (APT) pode se referir a um invasor com meios, organização e motivação substanciais para realizar um ataque cibernético sustentado contra um alvo.
Um APT, sem surpresa, é avançado, persistente e ameaçador. É avançado porque emprega métodos furtivos e de ataque múltiplo para comprometer um alvo, geralmente um recurso corporativo ou governamental de alto valor. Esse tipo de ataque também é difícil de detectar, remover e atribuir a um invasor específico. Pior ainda, quando um alvo é violado, as backdoors geralmente são criadas para fornecer ao invasor acesso contínuo ao sistema comprometido.
Os APTs são considerados persistentes no sentido de que o invasor pode passar meses reunindo informações sobre o alvo e usá-las para iniciar vários ataques por um longo período de tempo. É ameaçador, porque os agressores geralmente buscam informações altamente sensíveis, como o layout de usinas nucleares ou códigos para invadir empresas de defesa dos EUA.
Um ataque do APT geralmente possui três objetivos principais:
- Roubo de informações confidenciais do alvo
- Vigilância do alvo
- Sabotagem do alvo
Os autores de APTs geralmente usam conexões confiáveis para obter acesso a redes e sistemas. Essas conexões podem ser encontradas, por exemplo, através de um funcionário simpático ou de um funcionário inconsciente que é vítima de um ataque de phishing.
Como os APTs são diferentes?
Os APTs são diferentes de outros ataques cibernéticos de várias maneiras. Primeiro, os APTs geralmente usam ferramentas e técnicas de intrusão personalizadas - como explorações de vulnerabilidades, vírus, worms e rootkits - projetadas especificamente para penetrar na organização de destino. Além disso, os APTs costumam lançar vários ataques simultaneamente para violar seus alvos e garantir acesso contínuo aos sistemas de destino, algumas vezes incluindo um chamariz para induzir o alvo a pensar que o ataque foi repelido com sucesso.
Segundo, os ataques do APT ocorrem por longos períodos de tempo, durante os quais os atacantes se movem lenta e silenciosamente para evitar a detecção. Em contraste com as táticas rápidas de muitos ataques lançados por cibercriminosos típicos, o objetivo do APT é não ser detectado, movendo-se "baixo e devagar" com monitoramento e interação contínuos até que os invasores atinjam seus objetivos definidos.
Terceiro, os APTs são projetados para atender aos requisitos de espionagem e / ou sabotagem, geralmente envolvendo atores estatais secretos. O objetivo de um APT inclui coleta de informações militares, políticas ou econômicas, dados confidenciais ou ameaça de segredo comercial, interrupção das operações ou até destruição de equipamentos.
Quarto, os APTs visam uma gama limitada de alvos de grande valor. Os ataques do APT foram lançados contra agências e instalações governamentais, empreiteiros de defesa e fabricantes de produtos de alta tecnologia. Organizações e empresas que mantêm e operam infraestrutura nacional também são alvos prováveis.
Alguns exemplos de APTs
A operação Aurora foi um dos primeiros APTs amplamente divulgados; a série de ataques contra empresas americanas era sofisticada, direcionada, furtiva e projetada para manipular alvos.Os ataques, realizados em meados de 2009, exploraram uma vulnerabilidade no navegador Internet Explorer, permitindo que os invasores tivessem acesso aos sistemas de computadores e baixassem malwares para esses sistemas. Os sistemas de computadores estavam conectados a um servidor remoto e a propriedade intelectual foi roubada das empresas, incluindo Google, Northrop Grumman e Dow Chemical. (Leia sobre outros ataques prejudiciais no software malicioso: Worms, Trojans e Bots, Oh My!)
O Stuxnet foi o primeiro APT que usou um ataque cibernético para interromper a infraestrutura física. Pensa-se que tenha sido desenvolvido pelos Estados Unidos e Israel, o worm Stuxnet visava os sistemas de controle industrial de uma usina nuclear iraniana.
Embora o Stuxnet pareça ter sido desenvolvido para atacar instalações nucleares iranianas, ele se espalhou muito além do objetivo pretendido e também pode ser usado contra instalações industriais em países ocidentais, incluindo os Estados Unidos.
Um dos exemplos mais importantes de um APT foi a violação da RSA, uma empresa de segurança de computadores e redes. Em março de 2011, a RSA causou um vazamento quando foi penetrada por um ataque de spear phishing que prendeu um de seus funcionários e resultou em uma enorme captura para os ciberataques.
Em uma carta aberta à RSA publicada pelos clientes no site da empresa em março de 2011, o presidente executivo Art Coviello disse que um ataque sofisticado do APT extraiu informações valiosas relacionadas ao seu produto de autenticação de dois fatores SecurID usado por trabalhadores remotos para acessar com segurança a rede da empresa. .
"Embora, neste momento, tenhamos certeza de que as informações extraídas não permitam um ataque direto bem-sucedido a nenhum de nossos clientes RSA SecurID, essas informações podem ser potencialmente usadas para reduzir a eficácia de uma implementação de autenticação de dois fatores atual como parte de uma ampla ataque ", disse Coviello.
Mas Coviello estava errado quanto a isso, pois vários clientes de tokens RSA SecurID, incluindo o gigante da defesa norte-americano Lockheed Martin, relataram ataques resultantes da violação do RSA. Em um esforço para limitar os danos, a RSA concordou em substituir os tokens para seus principais clientes.
Para onde os APTs?
Uma coisa é certa: os APTs continuarão. Enquanto houver informações sigilosas a serem roubadas, grupos organizados irão atrás dela. E enquanto existirem nações, haverá espionagem e sabotagem - física ou cibernética.
Já existe um acompanhamento do worm Stuxnet, apelidado de Duqu, que foi descoberto no outono de 2011. Como um agente adormecido, Duqu rapidamente se incorporou nos principais sistemas industriais e está coletando informações e aguardando seu tempo. Tenha certeza de que está estudando documentos de design para encontrar pontos fracos para ataques futuros.
Ameaças de segurança do século XXI
Certamente, Stuxnet, Duqu e seus herdeiros afetarão cada vez mais governos, operadores críticos de infraestrutura e profissionais de segurança da informação. É hora de levar essas ameaças tão a sério quanto os problemas mundanos de segurança da informação da vida cotidiana no século XXI.
