Atualmente estamos presenciando o crescimento de ataques com alvos específicos para organizações incluindo sabotagens, espionagens, roubo de identidade e outros ataques mais avançados. Nesse cenário, surge um conceito de APT (Ameaças Persistentes Avançadas), sendo mais conhecido como ataques direcionados com uma grande variedade de técnicas, incluindo injeção de dados em bancos de dados, malware, phishing, spam e etc. Dentre os alvos, estão como alvos empresas governamentais, fabricantes de produtos de uso global, empresas privadas que utilizam alta tecnologia e muitas com informações de propriedade intelectual.
Como funcionam os ataques com APT ?
APT são ataques cuidadosamente planejadas e executados meticulosamente. Eles normalmente dividem-se em quatro fases: incursão, descoberta, captura e limpeza dos registros. Em cada fase uma variedade de técnicas pode ser utilizada, conforme descrito abaixo.
Fase 1: Incursão – Essa é a fase de reconhecimento e entrada no alvo, sendo utilizado técnicas de engenharia social, vulnerabilidades “zero day”, e operações manuais como a utilização de dispositivos USB, etc.
http://www.menteantihacker.com.br/wp-content/uploads/2012/04/apt_01.jpg
Fase 2: Descoberta
Uma vez lá dentro, o invasor traça os sistemas da organização e faz a varredura automática, buscando dados confidenciais. Descoberta pode incluir dados e redes vulneráveis, sem qualquer tipo de proteção, bem como informações de software e hardware, exposição de credenciais e recursos adicionais ou pontos de acesso. O objetivo da APT é a colheita de informações a longo prazo, evitando o máximo possível a sua detecção. Nessa fase os esforços são acompanhados de pesquisa e análise sobre sistemas encontrados e dados, incluindo rede topologia, IDs de usuário, senhas e assim por diante.
http://www.menteantihacker.com.br/wp-content/uploads/2012/04/apt_02.jpg
Fase 3: Captura
Na fase de captura, os dados expostos armazenados em sistemas desprotegidos são acessados imediatamente. Além disso, rootkits podem ser instalados nos sistemas alvo e pontos de acesso de rede para capturar dados e instruções de como o fluxo ocorre na organização. APT é projetado para capturar informações durante um período prolongado. Em alguns casos, APTs conduza à ignição remota ou desligamento de sistemas automatizados de software e hardware. Como dispositivos físicos são controlados por microprocessadores incorporados, o potencial para o caos é alto. Na verdade, Stuxnet foi bem além de roubo de informações. Seu propósito era para reprogramar sistemas de controle industrial — programas de computador usados para gerenciar ambientes industriais tais como centrais eléctricas, refinarias de petróleo e canalizações de gás. Especificamente, seu objetivo era manipular os equipamentos físicos conectados aos sistemas de controle industrial específico assim que o equipamento agiu de forma programada pelo invasor, contrário à sua finalidade.
http://www.menteantihacker.com.br/wp-content/uploads/2012/04/apt_03.jpg
Fase 4: Exfiltração
Uma vez que os invasores apreenderam controle de sistemas de destino, eles podem continuar com o roubo de propriedade intelectual ou outros dados confidenciais. Nessa fase a transmissão dos dados colhidos podem ser enviados para o atacante, podendo inclusive estar criptografados ou com proteção de senha, podendo usar comunicação segura para transferência das informações, como por exemplo o upload de dados roubados pela porta 443.
http://www.menteantihacker.com.br/wp-content/uploads/2012/04/apt_04.jpg
que fazer?
A melhor maneira de se preparar para um APT é garantir todas as camadas de proteção contra ataques direcionados em geral. Na verdade, enquanto as chances de um APT que afetam a sua organização pode ser relativamente baixa, as chances que você pode ser vítima de um ataque de destino são, infelizmente, bastante elevado.
A segurança deve cobrir todos os níveis da organização, atuando com ferramentas, processos e pessoas.
APT são especialmente perigosas em sistemas de controles industriais, onde na maioria das vezes, qualquer alteração é extremamente sensível aos equipamentos, podendo ocasionar acidentes, explosões e óbitos. É bom estarmos cientes que qualquer sistema necessita de proteção.