O que é APT?

APT é a abreviatura de “advanced persistent threat” (ameaça persistente avançada). Termo que se tornou famoso depois que o New York Times publicou detalhes do ataque que sofreu  por  mais de um mês. A unidade militar chinesa, agora conhecida como “APT 1”, invadiu a rede da organização midiática com uma série de emails de spear-phishing e um dilúvio de malwares personalizados.

 

Existem duas modalidades deste ataque: uma se refere a um tipo extremamente específico de ciberataque, outra se refere a grupos, muitas vezes patrocinados pelo estado.

Ameaças persistentes avançadas são pouco intuitivas. Quando pensamos em cibercriminosos e outros disseminadores de malware imaginamos que o objetivo deles seja contaminar todos os computadores possíveis com suas credenciais de furtos, botnets ou outros softwares maliciosos. Quanto maior a rede, mais oportunidades para roubar dinheiro, benefícios e qualquer coisa que estejam procurando. Mas os agressores de APT estão interessados em atingir computadores específicos.

O fato é que você não precisa ser o CEO para ser alvo de um ataque APT.

 

O objetivo final de um ataque APT é atingir a máquina em que exista algum tipo de informação valiosa. Mas seria muito óbvio que agressores instalassem um keylogger ou um backdoor na máquina de um CEO (chief executive officer) de uma grande companhia, além do que é preciso ser muito esperto para pegar estes caras. Eles estão protegidos, possuem equipes e ferramentas de segurança para cuidar deles. Em outras palavras, é muito complicado hackear grandes executivos.

Então ao invés de tentar atacar diretamente ao CEO os grupos APT visam funcionários mais comuns, como um copy-writer ou designer, que provavelmente não possuam informação valiosa mas que compartilham a rede com máquinas importantes e podem ser usados como trampolim ao objetivo final. Resumindo: atacam o computador de um designer e usam o email dele para ataques de spear-phish ao CEO.

Mesmo com esta tática é difícil atacar companhias que investem frequentemente em produtos de segurança corporativa  on corporate security products e na educação de seus funcionários.

Hackers APT  costumam recorrer aos alvos mais distantes para armar uma corrente intricada de infecções e eventualmente obter informações relevantes. Por exemplo, seu tio avô trabalha como engenheiro na Boeing, uma empresa altamente especializada em desenvolver a exaustão peças que são usadas em seus jets. Grupos APT te usariam como alvo inicial para chegar a desvendar segredos de engenharia.

O fato é que você não precisa ser o CEO para ser alvo de um ataque APT.

Semana passada, especialistas do Securelist descobriram uma campanha de espionagem APT chamada “NetTraveler” que pode ter durado mais de uma década, atingindo a diplomatas, oficiais militares e órgãos governamentais de mais de 40 países. Este ataque, como muitos outros do estilo APT, começou com um email de spear-phishing que explorou  algumas vulnerabilidades de Microsoft. Desenvolveram uma ferramenta capaz de extrair informação do sistema, baixaram um malware de keylogging, roubaram documentos Office como arquivos Word, Excel e PowerPoint, modificaram as configurações para obter arquivos Corel Draw, AutoCAD e outros tipos de arquivos usados em processos de produção. Este tipo de ataques devem ser considerados do tipo APT porque parece ter sido direcionado apenas a indivíduos e organizações cujos computadores poderiam conter segredos valiosos. Como mencionado acima, APT também pode se referir a hackers ou grupos agressores.