EquipoContacto

Amenaza Persistente Avanzada

DanielDaniel

APT es un término que hace referencia a un tipo de amenaza muy sofisticada o avanzada que permanece durante un tiempo prolongado en los sistemas que se hayan visto vulnerados por esta amenaza.

Este término se suele usar indistintamente de “nation state actor”, es decir, se utiliza generalmente para referirse a aquellos adversarios que están financiados por gobiernos y que, por lo tanto, tienen una gran cantidad de recursos a su alcance.

APT es un término que fue popularizado por la empresa de seguridad Mandiant, que utiliza esta nomenclatura para designar grupos de ciberamenazas avanzadas, vinculados a países.
Por otro lado, Microsoft emplea una nomenclatura basada en motivos meteorológicos para referirse a estos grupos, como por ejemplo el grupo ruso Sandworm Team, para Mandiant sería “APT44” y para Microsoft “Seashell Blizzard”, aunque existen más nomenclaturas hoy en día la predominante es la impuesta por el fabricante Mandiant.

Un ataque perpetrado por una APT tiene bastantes diferencias con los ataques convencionales, que suelen ser esporádicos y de corta duración. Son campañas sostenidas y coordinadas de larga duración que pueden durar semanas, meses o incluso años, con el objetivo de comprometer redes informáticas y sistemas de manera discreta y prolongada.

Los ataques de APTs se dirigen a entidades en sectores como la defensa nacional, la industria manufacturera y la industria financiera, centrados en organizaciones que manejen información de un alto valor, al tratarse de ataques que requieren una gran cantidad de esfuerzo. Estos ataques tienen diferentes objetivos, dependiendo del adversario que lo realice:

  • Robo de información, el adversario APT28 es conocido por el robo de datos a diferentes instituciones gubernamentales de Estados Unidos y OTAN.
  • Beneficio económico, el adversario Lazarus se trata de una APT Norcoreana cuya principal motivación radica en maximizar las ganancias financieras a través de ataques a sectores financieros como exchanges de criptomonedas.
  • Destrucción de datos, el adversario Sandworm, APT de origen ruso, se ha visto involucrado en diversos ataques sobre Ucrania mediante el uso de wipers (malware orientado a la destrucción de información).

Los grupos APT utilizan cada vez más a las empresas más pequeñas como PYMES, que conforman la cadena de suministros de su objetivo final (estos ataques son conocidos como Supply Chain Attack o ataque a la cadena de suministro) como una forma de acceder a las grandes organizaciones. Gran cantidad de ataques a grandes organizaciones comienzan por ataques a estas pequeñas empresas que sirven de vehículo para conseguir el objetivo final.

Aunque esto sea un recurso utilizado por estos grupos, no necesariamente tiene que comenzar la cadena de ataque en una de estas empresas pequeñas. Muchos casos de ataques a grandes empresas empiezan y finalizan en la misma, sin necesidad de recurrir a otras de menor tamaño.

Bibliografía
Anterior

¿Qué es CTI?

Cadena de suministro
Siguiente

Ataque a la cadena de suministro