fbpx
Wikipedia

Amenaza persistente avanzada

Agosto 04, 2021

Una amenaza persistente avanzada, también conocida por sus siglas en inglés, APT (por Advanced Persistent Threat), es un conjunto de procesos informáticos sigilosos orquestados por un tercero (organización, grupo delictivo, una empresa, un estado,...) con la intención y la capacidad de atacar de forma avanzada (a través de múltiples vectores de ataque) y continuada en el tiempo, un objetivo determinado (empresa competidora, estado,...). Este malware es instalado usando exploits que aprovechan vulnerabilidades de la máquina objetivo. Para realizar la infección es habitual aprovechar vulnerabilidades de día cero y/o ataques de abrevadero[1][2]

Desde la terminología militar podría decir que las APT están basadas en capacidades SIGINT en las que la adquisición es activa mediante ataque al objetivo (capacidades CNA de CNO) para modificar el comportamiento y funcionalidad para que proporcione los datos que queremos adquirir. Por ejemplo podríamos instalar malware o elementos hardware (implantes).[1]

Características

Las APT se caracterizan por:[1]

  • Ser orquestadas por grupos organizados con grandes recursos (capacidad avanzada de ataque) y con mucho interés en el objetivo del ataque y en su información. Ejemplos típicos de estas organizaciones son servicios de información, mafias organizadas, ejércitos, grupos terroristas o activistas. El uso en la denominación del término ‘amenaza’ indica la participación humana para orquestar el ataque.[3]​ Por su propia naturaleza puede ser difícil distinguir que equipo concreto está detrás de cada APT. Se han identificado más de 150 grupos, donde cabe destacar la especial importancia de grupos procedentes de China, Rusia e Irán. [4][5]​Los grupos organizadores de APT más conocidos son los que, al menos de manera presunta, son apoyados directamente por los gobiernos más activos en el ámbito de la ciberserguridad:[1]
  • TAO. Su existencia fue revelada por los papeles de Snowden y está supuestamente apoyado por Estados Unidos de América.
  • Los grupos vinculados con el estado ruso son numerosos. Cada uno con sus propios objetivo y características al operar. Algunas veces cooperan entre ellos pero, en general, cada uno usa sus propias herramientas. De esta forma el descubrimiento de las actividades de unos no revelen las de los otros. La complejidad de grupos es tal que incluso se ha desarrollado un mapa interactivo que facilita su entendimiento. [6]​ Entre los grupos más importantes hay que destacar APT28 (objetivo sector militar, farmacéutico, el financiero, el tecnológico, ONGs e incluso en organizaciones delincuenciales) y APT29 (objetivo sector aeroespacial, defensa, energía, administraciones públicas y medios de comunicación), DragonFly (objetivo sector energético) Dragonfly 2.0 (objetivo sector energético) y Sandworm Team (objetivo entidades ucranianas asociadas a la energía, la industria, el gobierno, SCADA y los medios de comunición[7][8][9][10][4]
Por otro lado hay numerosos grupos ciberdelincuentes que operan desde Rusia (ej. Wizard Spider, Lunar Spider, Venom Spider, DarkSide) aprovechándose de la inacción del gobierno ruso.[11]​ En algunos casos el gobierno ruso les apoya e incluso se asocia con ellos para llevar a cabo ataques en su nombre.[11]​ A cambio es frecuente que estos ciberdelincuentes excluyan de sus ataques a Rusia y países asociados, excluyendo equipos en los que detecta el uso del idioma ruso o el uso de IP's asignadas a esos países.[11]​ El 10 de mayo de 2021, después de que la empresa responsable de un oleaducto pagara 3,6 millones de euros a los hackers responsables del ataque, el presidente de Estados Unidos, Biden, pese a que no había pruebas de participación directa del Gobierno ruso en el ataque, señaló que Moscú (Rusia) tenía la responsabilidad de lidiar con los criminales que vivían dentro de sus propias fronteras.[11]
  • APT1. Su existencia fue rebelada por la empresa de seguridad Mandiant (posteriormente comprada por FireEye) y están supuestamente apoyados por China.[12]
  • Irán, desde el ataque sufrido en 2010 en sus instalaciones nucleares usando Stuxnet, ha desarrollado sus capacidades APT y ha lanzado sus propios ataques sobre las infraestructuras, incluyendo las eléctricas, de USA y sus enemigos en oriente medio. Se le vincula con distintos grupos que se dedican a la implementación de ataques APT. Los grupos más importantes son APT33 (ataques sobre USA, Corea del Sur, Arabia Saudí y especialmente en sectores aeroespacial, defensa y petroquímico), APT34 (ataques contra infraestructuras nacionales críticas, como aeropuertos, agencias de seguridad, proveedores de energía e instituciones gubernamentales, de numerosos países incluyendo Emiratos Árabes Unidos, Jordania y Baréin), APT39 (dedicado al robo de información en sectores de las telecomunicaciones y viajes, especialmente en compañías de USA, Turquía, España, Egipto, Iraq, Emiratos Árabes Unidos y Arabia Saudí), APT35 (dedicado al robo de información de individuos vinculados a agencias gubernamentales y compañías del sector de la tecnología, militar y diplomático, especialmente en objetivos de USA, Israel y Reino Unido), Cleaver, (Centrado en los sectores de las organizaciones, militares, compañías aeroespaciales y gigantes de la industria energética de 16 incluyendo USA, Israel, China, Indica, Francia, Reino Unido y Arabia Saudí), CopyKittens (dedicado al acceso a sistemas y robo de datos especialmente en sectores de instuciones gubernamentales y académicas y en compañías de defensa y tecnologías de la información, especialmente USA, Jordania, Turquía, Israel, Arabia Saudí y Alemania), Leafminer (actividades de ciberespionaje principalmente de instituciones gubernamentales e industrias del sector petroquímico, telecomunicaciones, financiero, naviero y aerolíneas especialmente de Arabia Saudí, Líbano, Israel y Kuwait), MuddyWater (dedicado al ciberespionaje enfocado inicialmente en Oriente Medio, en particular Arabia Saudí, Líbano y Oman, y luego se expandió a organizaciones de países de Europa y Norte América.[13]
  • El atacante persigue mantener el control de la infraestructura de la víctima de forma continuada. Típicamente varios años. Para que no sea detectado durante tanto tiempo el software malicioso tiene que:
    • Estar instalado en varias máquinas para mantener la persistencia en caso de sustitución, formateo o rotura de la máquinas. Estas máquinas es bueno que no tengan reputación negativa o que tengan muchas vulnerabilidades de esta forma evitaremos que esté en listas negras. El número de máquinas no tiene que ser suficientemente bajo como para no llamar la atención o evitar ser descubierto de forma casual.
    • Ser lo más sigiloso posible. Con la aparición de las Amenazas persistente avanzadas se ha dado un paso cualitativo en la complejidad de las técnicas de ocultación del software malicioso y de sus actividades. A esta nuevas técnicas avanzadas se las ha llamado Técnicas de evasión avanzadas o AET (del inglés Advanced Evasion Techniques)
    • Diseñado para evitar que sea localizado. Es habitual que el software disponga de capacidades automáticas que ante la más mínima duda de detección o intervención asociada a sus actividades se suelen borrándose rápidamente y volviéndose a reorganizar en servidores alternativos.
    • Diseñado de forma que si es localizado su análisis revele la mínima información sobre el ataque y el atacante. Es decir, se dificulte cualquier análisis TECHINT. Por ejemplo usar código cifrado u ofuscado, borrar la información comunicada, no usar comentarios, estar en idioma inglés, estilo de programación aséptico,que los identificadores no revelen ningún tipo de información.
El uso en la denominación del término ‘persistente’ indica que existe un control y monitorización externos para la extracción de datos de un objetivo específico de forma continua.[3]
  • El atacante usa varios vectores de ataque y persistencia para obtener y mantener el acceso a la red de la organización. El uso en la denominación del término 'avanzado' indica el uso de sofisticadas técnicas que utilizan software malicioso para explotar vulnerabilidades en los sistemas.

Objetivos

Una APT puede tener diferentes objetivos:[1]

  • Robo de información (ciberespionaje) tanto de estado como industrial. La mayoría de APT tienen este tipo de objetivo. Ejemplos de APT centradas en este objetivo son Duqu (buscaba información sobre el programa nuclear iraní), Flame (buscaba robo de información general sobre Oriente Medio), Shady RAT (buscaba información en diferentes sectores, en especial gobierno y defensa estadounidense), Red October (buscaba información diplomática, en especial en Europa del Este, antiguas repúblicas soviéticas y Asia Central), Net Traveler (buscaba información mediante ataque de phising personalizado a personas relevantes), Careto (buscaba información especialmente sobre Marruecos), Uroburos (buscaba información sensible de grandes empresas, estados y servicios de inteligencia de Europa y Estados Unidos) y Titan Rain (buscaba información de defensa de los Estados Unidos de América).
  • Provocación de daños o terror. Con esta motivación son típicos las campañas APT contra sistemas de control industrial (ICS) de industrias de distintos sectores. Ejemplos de este tipo de campañas son las realizadas con el (software malicioso Stuxnet (orientado al sabotaje del programa nuclear iraní), las campañas usando las distintas versiones de Shamoon (orientado a la destrucción de los datos del sector energético de países de Oriente Medio enemigos de Irán[14]​) o las campañas de grupos vinculados a Rusia (Dragonfly, Dragonfly 2.0 y Sandworm) con objetivo la industria energética y con capacidad de controlar y provocar cortes de suministros en los sistemas de plantas eléctricas, de la red de energía y de algunos oleoductos.[15][16][17]
  • Beneficio económico. El fin último de algunas APT es obtener un beneficio económico ya sea, por ejemplo, vendiendo la información obtenida, comprando acciones de empresas basándose en información privilegiada, comprando acciones de empresas que se van a beneficiar del sabotaje que se va a realizar a otras, o simplemente alquilando sus servicios con un determinado fin (espionaje, sabotaje,...). Se han detectado grupos APT, como Cozy Bear o Fancy Bear, que alquilan sus servicios.[18]​ otros, como Desert Falcon, desarrollan operaciones mercenarias de ciberespionaje seleccionando sus víctimas cuidadosamente y buscando archivos con datos sobre ciertos temas.[19][20]

Servidores externos involucrados

En una amenaza persistente avanzada es habitual que varios servidores externos a la red comprometida, colaboren para la consecuención del objetivo. Lo más frecuente es que estos servidores sean a su vez servidores comprometidos que la APT usa sin el conocimiento de sus propietarios. Ejemplos de servidores que es frecuente que intervenga a una APT son:[1]

  • Servidor externo para la descarga inicial del malware que compromete a la víctima. La descarga típicamente es introducida en la organización de la víctima a través de un correo eslectrónico, un phising personalizado o es descargado a través de un servidor web comprometido. A veces el software malicioso se descarga directamente, pero lo más frecuente es que se descargue primero un programa dropper que no contiene código dañino pero que se ejecuta con el objetivo de descargarse el malware.
  • Servidor de control y mando. Es el responsable de enviar órdenes a los equipos comprometidos y recibir informaciones indicando el estado o el resultado de la ejecución de una orden. Estos servidores permiten a atacante el control remoto del malware y alterar su comportamiento cambiando su configuración. Por ejemplo puede poner el malware en estado latente, indicarle que se autodestruya o que infecte otro dispositivo.
  • Servidor de exfiltración. Es el servidor que reciba la información robada para que el atacante pueda acceder a ella. Normalmente se transmite usando algún tipo de protección. Por ejemplo usando cifrado preferiblemente asimétrico (necesita clave privada para descifrar), usando esteganografía, usando fichero portadores (ejemplo imagen JPEG con datos ubicado después de la marca de fin imagen 0xFFD9) o transmitiendo la información a trozos

Para dificultar la localización del origen del ataque, los servidores se suelen establecer en cadenas de N saltos con un número N elevado. Por ejemplo, una cadena de servidores de exfiltración donde el primer servidor de la cadena obtiene la información desde el malware y se la pasa al segundo servidor de la cadena. El segundo de la cadena se la pasa al siguiente y así sucesivamente. A veces en lugar de usar una cadena se usa una botnets (redes de equipos zombis controlados por un atacante y que le permiten automáticamente transferir información robada por medio mundo hasta llegar a su destino real).

Notas y referencias

  1. Amenazas persistente avanzadas. Antonio Villalón Huerta. Ed. Nau Llibres 2016
  2. Watering Hole Attack: Método de espionaje contra las empresas. Cristian Borghello. MUG 2013.
  3. «Advanced Persistent Threat - APT» (en inglés). Consultado el 18 de octubre de 2014. 
  4. THREAT GROUP CARDS: A THREAT ACTOR ENCYCLOPEDIA. ThaiCERT. 19 de junio de 2019.
  5. APT Groups. MITRE
  6. El mapa ruso de APT revela 22.000 conexiones entre 2000 muestras de malware. ciberseguridadlatam.com. 25 de septiembre de 2019
  7. La CCI rusa (IX): grupos APT. Antonio Villalón. securityartwork.es. Enero 2017.
  8. APT28. A WINDOW INTO RUSSIA’S CYBER ESPIONAGE OPERATIONS?. FireEye 2014.
  9. APT28. AT THE CENTER OF THE STORM. RUSSIA STRATEGICALLY EVOLVES ITS CYBER OPERATIONS. FireEye. Enero de 2017
  10. HAMMERTOSS. Stealthy Tactics Define a Russian Cyber Threat Group. FireEye 2015
  11. La gravedad del ransomware sigue creciendo ante la inacción de Rusia. Patrick Howell O'Neill. 1 de junio de 2021
  12. APT1. Exposing One of China’s Cyber Espionage Units. Mandiant. 2013
  13. Iran APT groups: An overview of the country’s key cyber warfare actors. Lucy Ingham. Verdict. 7 de enero de 2020
  14. Evolución de Shamoon – Parte 1. Salvador Sánchiz. securityartwork.es. 14 de febrero de 2019
  15. APT "dragonfly" en Sistemas de Control Industrial. INCIBE-CERT 2014
  16. Dragonfly: Symantec descubre la versión rusa de Stuxnet. Mateo Santos. 2014
  17. Un grupo de hackers se ha infiltrado en las infraestructuras eléctricas de Europa y EE.UU. Eduardo Medina. muyseguridad.net 2017
  18. Los ataques de los grupos de la APT - un paso hacia la economía. Serhii Puzyrko. advantio.com. 30 de enero de 2019
  19. Descubren grupo cibermercenarios árabes muy activo que roba archivos privados. EFE. eldiario.es. 17 de febrero de 2015
  20. Desert Falcons. kaspersky.es

Véase también

  •   Datos: Q4686357

Agosto 04, 2021
amenaza, persistente, avanzada, amenaza, persistente, avanzada, también, conocida, siglas, inglés, advanced, persistent, threat, conjunto, procesos, informáticos, sigilosos, orquestados, tercero, organización, grupo, delictivo, empresa, estado, intención, capa. Una amenaza persistente avanzada tambien conocida por sus siglas en ingles APT por Advanced Persistent Threat es un conjunto de procesos informaticos sigilosos orquestados por un tercero organizacion grupo delictivo una empresa un estado con la intencion y la capacidad de atacar de forma avanzada a traves de multiples vectores de ataque y continuada en el tiempo un objetivo determinado empresa competidora estado Este malware es instalado usando exploits que aprovechan vulnerabilidades de la maquina objetivo Para realizar la infeccion es habitual aprovechar vulnerabilidades de dia cero y o ataques de abrevadero 1 2 Desde la terminologia militar podria decir que las APT estan basadas en capacidades SIGINT en las que la adquisicion es activa mediante ataque al objetivo capacidades CNA de CNO para modificar el comportamiento y funcionalidad para que proporcione los datos que queremos adquirir Por ejemplo podriamos instalar malware o elementos hardware implantes 1 Indice 1 Caracteristicas 2 Objetivos 3 Servidores externos involucrados 4 Notas y referencias 5 Vease tambienCaracteristicas EditarLas APT se caracterizan por 1 Ser orquestadas por grupos organizados con grandes recursos capacidad avanzada de ataque y con mucho interes en el objetivo del ataque y en su informacion Ejemplos tipicos de estas organizaciones son servicios de informacion mafias organizadas ejercitos grupos terroristas o activistas El uso en la denominacion del termino amenaza indica la participacion humana para orquestar el ataque 3 Por su propia naturaleza puede ser dificil distinguir que equipo concreto esta detras de cada APT Se han identificado mas de 150 grupos donde cabe destacar la especial importancia de grupos procedentes de China Rusia e Iran 4 5 Los grupos organizadores de APT mas conocidos son los que al menos de manera presunta son apoyados directamente por los gobiernos mas activos en el ambito de la ciberserguridad 1 TAO Su existencia fue revelada por los papeles de Snowden y esta supuestamente apoyado por Estados Unidos de America Los grupos vinculados con el estado ruso son numerosos Cada uno con sus propios objetivo y caracteristicas al operar Algunas veces cooperan entre ellos pero en general cada uno usa sus propias herramientas De esta forma el descubrimiento de las actividades de unos no revelen las de los otros La complejidad de grupos es tal que incluso se ha desarrollado un mapa interactivo que facilita su entendimiento 6 Entre los grupos mas importantes hay que destacar APT28 objetivo sector militar farmaceutico el financiero el tecnologico ONGs e incluso en organizaciones delincuenciales y APT29 objetivo sector aeroespacial defensa energia administraciones publicas y medios de comunicacion DragonFly objetivo sector energetico Dragonfly 2 0 objetivo sector energetico y Sandworm Team objetivo entidades ucranianas asociadas a la energia la industria el gobierno SCADA y los medios de comunicion 7 8 9 10 4 Por otro lado hay numerosos grupos ciberdelincuentes que operan desde Rusia ej Wizard Spider Lunar Spider Venom Spider DarkSide aprovechandose de la inaccion del gobierno ruso 11 En algunos casos el gobierno ruso les apoya e incluso se asocia con ellos para llevar a cabo ataques en su nombre 11 A cambio es frecuente que estos ciberdelincuentes excluyan de sus ataques a Rusia y paises asociados excluyendo equipos en los que detecta el uso del idioma ruso o el uso de IP s asignadas a esos paises 11 El 10 de mayo de 2021 despues de que la empresa responsable de un oleaducto pagara 3 6 millones de euros a los hackers responsables del ataque el presidente de Estados Unidos Biden pese a que no habia pruebas de participacion directa del Gobierno ruso en el ataque senalo que Moscu Rusia tenia la responsabilidad de lidiar con los criminales que vivian dentro de sus propias fronteras 11 APT1 Su existencia fue rebelada por la empresa de seguridad Mandiant posteriormente comprada por FireEye y estan supuestamente apoyados por China 12 Iran desde el ataque sufrido en 2010 en sus instalaciones nucleares usando Stuxnet ha desarrollado sus capacidades APT y ha lanzado sus propios ataques sobre las infraestructuras incluyendo las electricas de USA y sus enemigos en oriente medio Se le vincula con distintos grupos que se dedican a la implementacion de ataques APT Los grupos mas importantes son APT33 ataques sobre USA Corea del Sur Arabia Saudi y especialmente en sectores aeroespacial defensa y petroquimico APT34 ataques contra infraestructuras nacionales criticas como aeropuertos agencias de seguridad proveedores de energia e instituciones gubernamentales de numerosos paises incluyendo Emiratos Arabes Unidos Jordania y Barein APT39 dedicado al robo de informacion en sectores de las telecomunicaciones y viajes especialmente en companias de USA Turquia Espana Egipto Iraq Emiratos Arabes Unidos y Arabia Saudi APT35 dedicado al robo de informacion de individuos vinculados a agencias gubernamentales y companias del sector de la tecnologia militar y diplomatico especialmente en objetivos de USA Israel y Reino Unido Cleaver Centrado en los sectores de las organizaciones militares companias aeroespaciales y gigantes de la industria energetica de 16 incluyendo USA Israel China Indica Francia Reino Unido y Arabia Saudi CopyKittens dedicado al acceso a sistemas y robo de datos especialmente en sectores de instuciones gubernamentales y academicas y en companias de defensa y tecnologias de la informacion especialmente USA Jordania Turquia Israel Arabia Saudi y Alemania Leafminer actividades de ciberespionaje principalmente de instituciones gubernamentales e industrias del sector petroquimico telecomunicaciones financiero naviero y aerolineas especialmente de Arabia Saudi Libano Israel y Kuwait MuddyWater dedicado al ciberespionaje enfocado inicialmente en Oriente Medio en particular Arabia Saudi Libano y Oman y luego se expandio a organizaciones de paises de Europa y Norte America 13 dd El atacante persigue mantener el control de la infraestructura de la victima de forma continuada Tipicamente varios anos Para que no sea detectado durante tanto tiempo el software malicioso tiene que Estar instalado en varias maquinas para mantener la persistencia en caso de sustitucion formateo o rotura de la maquinas Estas maquinas es bueno que no tengan reputacion negativa o que tengan muchas vulnerabilidades de esta forma evitaremos que este en listas negras El numero de maquinas no tiene que ser suficientemente bajo como para no llamar la atencion o evitar ser descubierto de forma casual Ser lo mas sigiloso posible Con la aparicion de las Amenazas persistente avanzadas se ha dado un paso cualitativo en la complejidad de las tecnicas de ocultacion del software malicioso y de sus actividades A esta nuevas tecnicas avanzadas se las ha llamado Tecnicas de evasion avanzadas o AET del ingles Advanced Evasion Techniques Disenado para evitar que sea localizado Es habitual que el software disponga de capacidades automaticas que ante la mas minima duda de deteccion o intervencion asociada a sus actividades se suelen borrandose rapidamente y volviendose a reorganizar en servidores alternativos Disenado de forma que si es localizado su analisis revele la minima informacion sobre el ataque y el atacante Es decir se dificulte cualquier analisis TECHINT Por ejemplo usar codigo cifrado u ofuscado borrar la informacion comunicada no usar comentarios estar en idioma ingles estilo de programacion aseptico que los identificadores no revelen ningun tipo de informacion El uso en la denominacion del termino persistente indica que existe un control y monitorizacion externos para la extraccion de datos de un objetivo especifico de forma continua 3 El atacante usa varios vectores de ataque y persistencia para obtener y mantener el acceso a la red de la organizacion El uso en la denominacion del termino avanzado indica el uso de sofisticadas tecnicas que utilizan software malicioso para explotar vulnerabilidades en los sistemas Objetivos EditarUna APT puede tener diferentes objetivos 1 Robo de informacion ciberespionaje tanto de estado como industrial La mayoria de APT tienen este tipo de objetivo Ejemplos de APT centradas en este objetivo son Duqu buscaba informacion sobre el programa nuclear irani Flame buscaba robo de informacion general sobre Oriente Medio Shady RAT buscaba informacion en diferentes sectores en especial gobierno y defensa estadounidense Red October buscaba informacion diplomatica en especial en Europa del Este antiguas republicas sovieticas y Asia Central Net Traveler buscaba informacion mediante ataque de phising personalizado a personas relevantes Careto buscaba informacion especialmente sobre Marruecos Uroburos buscaba informacion sensible de grandes empresas estados y servicios de inteligencia de Europa y Estados Unidos y Titan Rain buscaba informacion de defensa de los Estados Unidos de America Provocacion de danos o terror Con esta motivacion son tipicos las campanas APT contra sistemas de control industrial ICS de industrias de distintos sectores Ejemplos de este tipo de campanas son las realizadas con el software malicioso Stuxnet orientado al sabotaje del programa nuclear irani las campanas usando las distintas versiones de Shamoon orientado a la destruccion de los datos del sector energetico de paises de Oriente Medio enemigos de Iran 14 o las campanas de grupos vinculados a Rusia Dragonfly Dragonfly 2 0 y Sandworm con objetivo la industria energetica y con capacidad de controlar y provocar cortes de suministros en los sistemas de plantas electricas de la red de energia y de algunos oleoductos 15 16 17 Beneficio economico El fin ultimo de algunas APT es obtener un beneficio economico ya sea por ejemplo vendiendo la informacion obtenida comprando acciones de empresas basandose en informacion privilegiada comprando acciones de empresas que se van a beneficiar del sabotaje que se va a realizar a otras o simplemente alquilando sus servicios con un determinado fin espionaje sabotaje Se han detectado grupos APT como Cozy Bear o Fancy Bear que alquilan sus servicios 18 otros como Desert Falcon desarrollan operaciones mercenarias de ciberespionaje seleccionando sus victimas cuidadosamente y buscando archivos con datos sobre ciertos temas 19 20 Servidores externos involucrados EditarEn una amenaza persistente avanzada es habitual que varios servidores externos a la red comprometida colaboren para la consecuencion del objetivo Lo mas frecuente es que estos servidores sean a su vez servidores comprometidos que la APT usa sin el conocimiento de sus propietarios Ejemplos de servidores que es frecuente que intervenga a una APT son 1 Servidor externo para la descarga inicial del malware que compromete a la victima La descarga tipicamente es introducida en la organizacion de la victima a traves de un correo eslectronico un phising personalizado o es descargado a traves de un servidor web comprometido A veces el software malicioso se descarga directamente pero lo mas frecuente es que se descargue primero un programa dropper que no contiene codigo danino pero que se ejecuta con el objetivo de descargarse el malware Servidor de control y mando Es el responsable de enviar ordenes a los equipos comprometidos y recibir informaciones indicando el estado o el resultado de la ejecucion de una orden Estos servidores permiten a atacante el control remoto del malware y alterar su comportamiento cambiando su configuracion Por ejemplo puede poner el malware en estado latente indicarle que se autodestruya o que infecte otro dispositivo Servidor de exfiltracion Es el servidor que reciba la informacion robada para que el atacante pueda acceder a ella Normalmente se transmite usando algun tipo de proteccion Por ejemplo usando cifrado preferiblemente asimetrico necesita clave privada para descifrar usando esteganografia usando fichero portadores ejemplo imagen JPEG con datos ubicado despues de la marca de fin imagen 0xFFD9 o transmitiendo la informacion a trozosPara dificultar la localizacion del origen del ataque los servidores se suelen establecer en cadenas de N saltos con un numero N elevado Por ejemplo una cadena de servidores de exfiltracion donde el primer servidor de la cadena obtiene la informacion desde el malware y se la pasa al segundo servidor de la cadena El segundo de la cadena se la pasa al siguiente y asi sucesivamente A veces en lugar de usar una cadena se usa una botnets redes de equipos zombis controlados por un atacante y que le permiten automaticamente transferir informacion robada por medio mundo hasta llegar a su destino real Notas y referencias Editar a b c d e f Amenazas persistente avanzadas Antonio Villalon Huerta Ed Nau Llibres 2016 Watering Hole Attack Metodo de espionaje contra las empresas Cristian Borghello MUG 2013 a b Advanced Persistent Threat APT en ingles Consultado el 18 de octubre de 2014 a b THREAT GROUP CARDS A THREAT ACTOR ENCYCLOPEDIA ThaiCERT 19 de junio de 2019 APT Groups MITRE El mapa ruso de APT revela 22 000 conexiones entre 2000 muestras de malware ciberseguridadlatam com 25 de septiembre de 2019 La CCI rusa IX grupos APT Antonio Villalon securityartwork es Enero 2017 APT28 A WINDOW INTO RUSSIA S CYBER ESPIONAGE OPERATIONS FireEye 2014 APT28 AT THE CENTER OF THE STORM RUSSIA STRATEGICALLY EVOLVES ITS CYBER OPERATIONS FireEye Enero de 2017 HAMMERTOSS Stealthy Tactics Define a Russian Cyber Threat Group FireEye 2015 a b c d La gravedad del ransomware sigue creciendo ante la inaccion de Rusia Patrick Howell O Neill 1 de junio de 2021 APT1 Exposing One of China s Cyber Espionage Units Mandiant 2013 Iran APT groups An overview of the country s key cyber warfare actors Lucy Ingham Verdict 7 de enero de 2020 Evolucion de Shamoon Parte 1 Salvador Sanchiz securityartwork es 14 de febrero de 2019 APT dragonfly en Sistemas de Control Industrial INCIBE CERT 2014 Dragonfly Symantec descubre la version rusa de Stuxnet Mateo Santos 2014 Un grupo de hackers se ha infiltrado en las infraestructuras electricas de Europa y EE UU Eduardo Medina muyseguridad net 2017 Los ataques de los grupos de la APT un paso hacia la economia Serhii Puzyrko advantio com 30 de enero de 2019 Descubren grupo cibermercenarios arabes muy activo que roba archivos privados EFE eldiario es 17 de febrero de 2015 Desert Falcons kaspersky esVease tambien EditarBlackEnergy Malware Hacker Internet Datos Q4686357Obtenido de https es wikipedia org w index php title Amenaza persistente avanzada amp oldid 137427389, wikipedia, wiki, leyendo, leer, libro, biblioteca,

español

, española, descargar, gratis, descargar gratis, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, imagen, música, canción, película, libro, juego, juegos