APTs amenazas dirigidas

APTs, Amenazas dirigidas con herramientas avanzadas de espionaje

Las amenazas dirigidas (APTs) se preparan tan minuciosamente para alcanzar su objetivo que tanto empresas, como instituciones, organizaciones, como gobiernos o embajadas pueden estar en la diana. Nada escapa a determinados grupos de ciberdelincuentes que juegan con ventaja respecto a otras organizaciones criminales y es que disponen de capacidad, recursos y apoyos que posibilitan que extiendan su tela de araña durante meses incluso años sin que se descubran. Todo un arte al alcance de pocos.

Los ataques de ingeniería social normalmente van a la caza mayor, se dirigen en busca de cualquier usuario incauto que no cuide su seguridad digital tal y como se ha repetido insistentemente a través de numerosas charlas disponibles en el canal como por ejemplo: ‘Prevención de ataques de ingeniería social‘, ‘Ingeniería social: evolución del phishing‘, ‘Ingeniería social en la universidad‘, ‘PaaS: Phishing as a service‘, ‘¿Qué es el Vishing?‘, ‘Fraudes online: cómo identificaros y evitarlos‘.

Pero cuando hablamos de amenazas dirigidas la cosa cambia: aquí el objetivo es específico y se diseña el ciberataque al detalle para lograr llegar. Esto se vio en la tan presente ‘Estafa del CEO‘ pero hay amenazas que van mucho, pero mucho más allá y que conviene saber cómo es su modus operandi.

Josep Albors (@JosepAlbors) el responsable de Investigación y Concienciación en ESET España está especializado en el análisis de malware y en la investigación de nuevas amenazas y compartió en el Congreso de Seguridad Informática HoneyCON en pasadas ediciones una ponencia en la que entra de lleno en las APTs para analizar al detalle dos de los grupos más potentes en cuanto a amenazas dirigidas se refiere: el Grupo Turla y Sednit.

Así que para conocer de cerca cómo se las gastan estas organizaciones ya está disponible a continuación su charla tanto en vídeo como en podcast para poder elegir el formato que más se adapte a tus necesidades. En este enlace está disponible la lista de reproducción con los vídeos de HoneyCON emitidos hasta la fecha en Palabra de hacker.

Propósitos, fases, vectores de ataque y herramientas usadas en las amenazas dirigidas

Al contrario de las amenazas comunes a las que estamos expuestos todos los usuarios y que la mayoría se activan a golpe de un mal clic en reclamos que están puestos ahí para pescar a rio revuelto ya que cualquier persona les sirve como objetivo, cuando se habla de las APTs el propósito principal cambia.

Desestabilizar en el más amplio sentido, obtener un beneficio que no pasa por ser únicamente económico, obtener alguna ventaja geopolítica o distorsionar la situación en una región en concreto son los propósitos principales de la amenazas dirigidas, de ahí que empresas, organismos o incluso objetivos militares estén en el punto de mira.

Tal y como explica Josep en la charla, la mayoría de estos ciberataques tan estudiados suelen repetir las fases de actuación:

  • Fase 1: aquí lo principal es acceder al objetivo y ello pasa por determinar cuáles son esos puntos débiles para trazar el plan más idóneo.
  • Fase 2: aquí ya se pasa a la acción con la instalación de ese Backdoor o puerta trasera que va a permitir el acceso a los operadores de ese ataque. Se utiliza un virus expresamente diseñado para el objetivo que comprometa un equipo o varios de ellos para así poder tomar el control remotamente.
  • Fase 3: Una vez ejecutada la segunda fase, las organizaciones criminales comienzan a comunicarse con los equipos infectados, pueden añadir nuevas características, actualizar esa amenaza o incluso cambiar hasta de versión para mejorar su efectividad ya que en ocasiones pasan desapercibidos meses o años.

En cuanto a vectores de ataque para alcanzar el objetivo todos los imaginados y más allá puesto que estos grupos de ciberdelincuentes no dejan de innovar para dar con la mejor forma de acceder ya que estudian hasta el más mínimo detalle de sus objetivos.

Está el típico acceso vía correo electrónico porque eso funciona siempre, pero también usan técnicas de Watering hole, falsas aplicaciones de seguridad, falsos instaladores de Flash Player, extensiones preparadas para los navegadores Firefox o Chorme que pasan muy inadvertidas pero desde luego si cuentan con recursos, tiempo y motivación pueden usar métodos tan novedosos como el que se explica en la charla: usar los comentarios en el perfil de Instagram de una celebridad. Cualquier cosa que les aproxime a su objetivo final dejando el mínimo rastro les sirve.

Los grupos dedicados a realizar amenazas dirigidas son muy profesionales y además de usar las herramientas comunes al alcance de todo el mundo, en numerosas ocasiones fabrican sus propias herramientas. Tanto el Grupo Turla, también conocido como Snake o Uroburos, como el grupo Sednit, denominado también como Fancy bear, Apt28 o Sofacy Group, son una buena muestra de ello y en la charla Josep repasa algunas de las herramientas que han empleado así como también menciona a LoJax el primer rooki UEFI que se detectó en un ciberataque ejecutado por Sednit. Vamos una charla con todos los ingredientes necesarios para no perdérsela.

Otras charlas disponibles de Josep Albors en las que analiza otras amenazas y que sirven de complemente a esta ponencia son ‘Ataques modernos a usuarios de banca e instituciones financieras‘ y ‘Amenazas dirigidas a criptomonedas‘.

Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!

Vídeo

Podcast

¿Tienes Telegram? Suscríbete al canal de Palabra de hacker: https://t.me/palabradehacker

    ¿Quieres recibir todas las novedades por newsletter?

    Nombre

    Correo electrónico


    Información básica sobre Protección de datos. Responsable del tratamiento de datos: Yolanda Corral. Finalidad: Gestionar las suscripciones a la web para estar informados de nuevas publicaciones y novedades. Legitimación: Contar con el consentimiento expreso del interesado. Destinatarios: Yolanda Corral como encargada del tratamiento de datos, adoptando las necesarias medidas de seguridad y confidencialidad. Los datos que me facilites estarán ubicados en los servidores de Raiola Networks, ubicados en la UE cuyo nivel de protección son adecuados según la Comisión de la UE. Derechos: Tienes derecho de información, a acceder, rectificar, limitar y cancelar tus datos tal y como puedes ver detalladamente en la política de privacidad de esta web así como en el aviso legal.

    AVISO LEGAL - PRIVACIDAD - COOKIES

    ¡Deja tu comentario! Tu correo electrónico no será publicado.

    Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.