Uma APT (ameaça persistente avançada) é uma classe de ataque que visa uma organização específica, acedendo e escondendo-se no ambiente, sem ser detetada, exfiltrando dados ou aguardando o momento certo para lançar um ataque mais devastador. Esse tipo de ameaça é definido pelo seu direcionamento estratégico e persistência, bem como pelas táticas, técnicas e procedimentos avançados que utiliza.

 

O principal objetivo de um ataque APT é ganhar dinheiro. Às vezes, os invasores exfiltram os dados, enquanto em outras situações, eles esperam até que as condições sejam melhores para concluir o ciberataque. Normalmente, o objetivo final é tornar extremamente difícil a prevenção, proteção, deteção e resposta a ataques subsequentes. Em termos simples, estes invasores não querem que saiba que eles estão no seu ambiente.

 

Entidades de alto valor, normalmente aquelas que possuem dados significativos e confidenciais ou que desempenham um papel importante na segurança nacional ou na estabilidade económica, são frequentemente visadas. As organizações são visadas pelo seu valor estratégico e pelo possível impacto do seu comprometimento, incluindo órgãos governamentais, entidades de infraestrutura crítica, empreiteiros de defesa e vendedores e fornecedores na cadeia de abastecimento das organizações visadas.

Grandes corporações e organizações governamentais também são visadas devido ao enorme volume de dados valiosos que possuem. Cada vez mais, as empresas menores são exploradas, pois fazem parte da cadeia de abastecimento de uma entidade maior. Em última análise, isto permite que o invasor se infiltre no alvo principal e maior.

 

Os atores da APT lançam uma ampla rede em todos os setores verticais. Os alvos de alto valor incluem os setores de defesa, finanças, jurídico, industrial, telecomunicações e bens de consumo.

 

Como funciona?

alvos aptos

 

As Ameaças Persistentes Avançadas (APTs) destacam-se de outras ciberameaças pela sofisticação e complexidade, que combinam técnicas avançadas com táticas sociais comummente encontradas, como phishing ou spam. Elas são meticulosamente planeadas e executadas, concentrando-se num único alvo após uma extensa investigação da superfície de ataque da vítima. Na fase de execução de uma APT, o objetivo é não ser detetado na rede pelo maior tempo possível. Isto pode durar semanas e até anos. 

Veja mais

 

Ao utilizar recursos de inteligência comerciais e de código aberto, as APTs empregam uma gama completa de técnicas de recolha de inteligência, desde malware básico até ferramentas de espionagem em nível estatal. A natureza prática das APTs também se reflete nas metodologias utilizadas. A execução manual é preferida em relação aos scripts automatizados, pois os invasores buscam adaptar os ataques e utilizar métodos como ataques sem ficheiro e aproveitamento dos recursos disponíveis no sistema.

 

Técnicas de ataque comuns e altamente eficazes, como RFI, injeção de SQL e XSS, são utilizadas com frequência. Entre os sintomas que definem um ataque de APT estão os cavalos de Troia backdoor, a atividade incomum da conta e as anomalias nos fluxos de dados, uma vez que um atacante tenha estabelecido um ponto de apoio e esteja ativo num ambiente.

 

As APTs geralmente implantam malware personalizado (malware APT) projetado para evitar a deteção e fornecer comando e controlo remotos de sistemas comprometidos. Ferramentas, táticas, técnicas e procedimentos são frequentemente atualizados para evitar a deteção. Mesmo quando partes da operação são descobertas, os agentes da ameaça ainda podem recuperar o acesso. Esta abordagem "lenta e constante" deve-se a objetivos estratégicos de longo prazo, como espionagem, interrupção pontual e roubo de dados, em vez de atingir o objetivo de um bombardeio implacável de ataques ou um ataque único como com um ransomware.

Tipos de ameaças persistentes avançadas

 

 

As APTs são categorizadas com base em vários critérios, desde a sua origem e métodos até os métodos de infiltração ou foco geográfico.

 

Embora não exista um conjunto perfeito de características para definir cada Ameaça Persistente Avançada, as categorias de APTs mais comummente encontradas e discutidas são as seguintes:

 

· APTs de estado-nação: com orçamentos enormes e acesso à tecnologia mais recente, além de cobertura legal, esses agentes de ameaças realizam algumas das missões mais sofisticadas. Isto inclui espionagem de longo prazo, roubo de dados, manipulação da opinião pública etc. Eles têm objetivos políticos ou militares bem estabelecidos e visam organizações governamentais, instalações militares, infraestruturas importantes, agentes económicos e, essencialmente, qualquer pessoa ou coisa que possa ajudá-los a atingir as suas metas de longo prazo.

· APTs criminosas: alguns grupos envolvidos em atividades de APT concentram-se em roubar dinheiro ou outros dados valiosos, como propriedade intelectual, ou comprometer dados para chantagem ou extorsão. Muitas vezes, o objetivo final destes agentes de ameaças é implantar ransomware em redes de alto valor, cometer fraudes bancárias, roubar e vender informações de cartão de crédito ou até mesmo minar criptomoedas ilegalmente utilizando a infraestrutura das vítimas.

· APTs hacktivistas: alguns grupos utilizam os seus recursos informáticos para promover agendas políticas, impulsionar mudanças sociais ou promover ideologias por meio de ataques direcionados com o objetivo de calar os críticos, espalhar propaganda ou destruir a oposição. As suas táticas incluem ataques de Negação de Serviço Distribuído (DDoS), desfiguração de sites e vazamento de informações confidenciais. Estes grupos buscam publicidade, geralmente expressa por meio de manifestos ou mensagens públicas.

· APTs corporativas/empresariais: empregadas ou patrocinadas por organizações comerciais, essas APTs espiam os concorrentes, geralmente em nível de grandes corporações. Com o surgimento das APT como serviço, grupos de cibercriminosos qualificados agora oferecem os seus serviços para espionagem industrial. Os agentes de ameaças desta categoria são motivados pela obtenção de uma vantagem competitiva, ganho financeiro ou obtenção de informações valiosas para espionagem corporativa.

 

Estágios de um ataque persistente avançado

 

1. Infiltração – Ganhar um ponto de apoio: Na primeira fase, os invasores exploram vulnerabilidades ou empregam técnicas de engenharia social para obter acesso não autorizado. Os métodos variam desde a exploração de vulnerabilidades de dia zero ou de pontos fracos da rede até o spear phishing direcionado a indivíduos importantes da organização. O objetivo é estabelecer um ponto de entrada discreto, preparando o cenário para o ataque.

2. Expansão – Explorar para estabelecer a persistência: Após uma infiltração inicial bem-sucedida, os atacantes movem-se lateralmente pela rede para expandir o seu controlo e aprofundar o seu acesso. Normalmente, eles buscam contas com privilégios elevados para obter melhor acesso a sistemas críticos e dados confidenciais. Os atacantes podem utilizar malware para estabelecer uma rede de backdoors e túneis, facilitando a movimentação sem serem detetados dentro do sistema. Os esforços dos atacantes são direcionados para se entrincheirar numa posição mais adequada para atingir os seus objetivos principais.

3. Extração - Faça sua fuga: Geralmente, nessa fase, os atacantes já têm uma compreensão das vulnerabilidades do sistema e do modo de trabalho. Esta familiaridade permite-lhes recolher as informações necessárias e talvez armazená-las num local seguro dentro da rede. Para evitar a deteção durante a extração, os agentes de ameaças utilizam distrações, como ataques DDoS (Distributed Denial-of-Service).

 

Em alguns casos, obter informações não é o objetivo final e a APT. Em vez disso, os recursos são direcionados para prejudicar um projeto, uma missão ou um programa importante da organização visada.

Independentemente do objetivo, os atores tentam constantemente encobrir os seus rastros para manter o acesso não detetado à rede para novos ataques.

Detectando e respondendo a APTs

 

A deteção de uma Ameaça Persistente Avançada requer uma estratégia de segurança abrangente que englobe a busca de ameaças em processos, cargas de trabalho e plataformas, a monitorização meticulosa de todo o ambiente e a análise do tráfego de rede de entrada e saída. As equipes de cibersegurança devem ser capazes de reconhecer os "sinais" subtis da atividade das APT, como os padrões de tráfego de comando e controlo. Estes indicadores fracos devem ser reunidos numa análise de ameaças consolidada que possa ser rapidamente acedida e executada por uma pessoa. Sem isto, as equipas podem ter dificuldades para implementar uma resposta oportuna e eficaz.

Após a deteção, a resposta deve ser imediata e focada. O objetivo é identificar os sistemas afetados, remover backdoors e impedir movimentos laterais. As organizações também devem investir tempo e esforço numa análise meticulosa pós-incidente para fortalecer as defesas contra ataques futuros. Analisar os aspetos técnicos da violação e os procedimentos operacionais é fundamental para reduzir o perfil de risco da organização.

Há práticas recomendadas que uma organização pode seguir para reduzir as vulnerabilidades de segurança comummente exploradas por APTs, como, por exemplo, mas não limitado a:

 

· Redução da superfície de ataque com atualizações regulares e aplicação de patches a software, aplicações e dispositivos.

· Implementação de monitorização abrangente do tráfego de rede, aplicativos e domínios, bem como medidas robustas de controlo de acesso, incluindo autenticação de dois fatores, para proteger os principais pontos de acesso à rede.

· Encriptação de todas as ligações remotas.

· Inspeção de e-mails recebidos para reduzir os riscos associados ao spear-phishing.

· Análise e registo imediato de eventos de segurança para facilitar a rápida identificação e resposta a ameaças.

Medidas de segurança e prevenção a APTs

 

No nível mais básico, a formação regular pode reduzir significativamente o risco causado por fatores humanos. O erro humano é geralmente o elo mais fraco da cibersegurança, e as APTs frequentemente exploram isso através de técnicas de engenharia social. Ter um plano de resposta a incidentes formalizado e praticado permitirá uma ação eficaz e coordenada durante uma violação de segurança.

As Ameaças Persistentes Avançadas (APTs) evoluem constantemente, o que representa um verdadeiro desafio para as equipas de segurança. Esta evolução desafia a sua capacidade de rastrear, mitigar ameaças e ser resiliente contra o seu impacto. As equipas de segurança podem detetar e responder a ameaças avançadas utilizando o Framework MITRE ATT&CK, uma base de conhecimento global de táticas e técnicas de adversários.

As limitações de orçamento e a persistente escassez de profissionais qualificados deixam os Security Operations Centers (SOCs), os Managed Security Services Providers (MSSPs) e as equipas internas de segurança sem os recursos necessários. O aumento contínuo de ataques informáticos sofisticados levou a um aumento no número de equipes de segurança que integram dados de ferramentas de deteção padrão com inteligência contra ameaças acionáveis.

A inteligência contra ameaças, quando combinada com os sistemas de Endpoint Detection and Response (EDR), torna-se uma poderosa aliada. A ampliação do EDR para incluir feeds e criar a Extended Detection and Response (XDR), ajuda as organizações a aproveitar a visibilidade de todos os ativos e dispositivos de rede para detetar possíveis pontos de entrada para APTs.

A análise profunda de registos por uma equipe, não consegue distinguir a atividade mal-intencionada da atividade legítima em tempo real. Portanto, uma boa defesa informática é uma solução de defesa informática inteligente e automatizada que aproveita a inteligência contra ciberameaças e os mecanismos avançados de defesa para perseguir o adversário.

Muitas organizações fazem parcerias com empresas de cibersegurança para estratégias de defesa avançadas, implantando sensores, utilizando inteligência contra ameaças, Indicadores de Comprometimento (IOCs) e Firewalls de Aplicação Web (WAFs). Estas parcerias são vitais para fornecer resultados legíveis por humanos para a caça a ameaças, com o objetivo de buscar proativamente indicadores de atividades de APT na pegada de nuvem múltipla ou híbrida de uma organização.

 

Porque é que a comunidade de cibersegurança sentiu a necessidade de diferenciar as Ameaças Persistentes Avançadas da categoria mais ampla de ciberameaças?

As APTs representam uma categoria de ameaças que são significativamente mais complexas, metódicas e intensivas em recursos do que os incidentes informáticos típicos.

A criação desta classificação vem da necessidade de identificar e abordar os desafios exclusivos apresentados por adversários cujas campanhas não são meramente oportunistas ou financeiramente motivadas, mas também estratégicas e persistentes.

Outros fatores de diferenciação que levaram a APT a se tornar um termo comummente utilizado, incluem as suas estratégias de infiltração de longo prazo, financiamento significativo e origens frequentemente patrocinadas pelo Estado.

Existe alguma maneira de garantir que os atores da APT não me considerem um alvo?

Devido à sua natureza estratégica e muitas vezes imprevisível, é quase impossível garantir que os agentes da APT não considerem uma organização ou um indivíduo como alvo. Se tem uma pegada digital, está exposto a possíveis ataques.

Mesmo as menores PMEs não estão isentas nas economias interconectadas de hoje, pois as organizações maiores podem ser infiltradas por empresas menores em sua cadeia de suprimentos. Portanto, a vigilância constante, a avaliação regular de riscos e a implementação de práticas de cibersegurança são as únicas ferramentas reais para minimizar as probabilidades de se tornar um alvo de APT.

É possível que a infiltração de uma APT ocorra por meio da colocação intencional de uma ameaça interna em uma organização?

Ameaças internas são indivíduos numa organização que atuam como agentes de ameaças em cargos de confiança. Eles podem ser funcionários insatisfeitos agindo por motivos políticos ou financeiros, ou agentes colocados intencionalmente. A deteção e a mitigação destas ameaças internas podem ser extremamente desafiadoras, pois elas têm acesso legítimo à rede e podem ter um profundo conhecimento das práticas de segurança.

Para minimizar o risco de infiltrações de APTs, as organizações podem promover uma cultura de segurança baseada em formação regular dos funcionários, verificações rigorosas de antecedentes, aplicação do princípio do menor privilégio no controlo de acesso (confiança zero) e monitorização do comportamento da equipa com sistemas SIEM (Security Information and Event Management).