Hemos escuchado mucho sobre las Amenazas Persistentes Avanzadas (APT) en los últimos años. Como actualización, las APT son ataques prolongados y dirigidos contra objetivos específicos con la intención de comprometer sus sistemas y obtener información de o sobre ese objetivo. Si bien los objetivos pueden ser cualquier persona o cualquier cosa, una persona, empresa u otra organización, las APT a menudo se asocian con operaciones gubernamentales o militares, ya que tienden a ser las organizaciones con los recursos necesarios para llevar a cabo tal ataque. Comenzando con el informe APT1 de Mandiant en 2013, ha habido un flujo continuo de exposición a la piratería a nivel nacional.
Las compañías de seguridad cibernética se han vuelto relativamente buenas en la observación y el análisis de las herramientas y tácticas de los actores de amenazas de los estados nacionales; no son tan buenos para ubicar estas acciones en contexto lo suficiente como para que los defensores realicen evaluaciones de riesgo sólidas. Así que vamos a echar un vistazo a algunos grupos APT desde una perspectiva más amplia y ver cómo encajan en el panorama de amenazas más amplio.
Hoy comenzamos con APT10. (Nota: estos grupos tienen una serie de nombres diferentes, pero para simplificar, vamos a tomar prestados los convenios de denominación de Mandiant para los grupos chinos).
¿Quién es APT10?
Observado por primera vez en 2009, el APT10 se atribuye más comúnmente a través de una investigación de código abierto al Ministerio de Seguridad del Estado (MSS) de China . Los ataques de MSS son típicamente, pero no se limitan a: objetivos de inteligencia que rodean las negociaciones comerciales, investigación y desarrollo en competencia con entidades comerciales chinas, y objetivos de inteligencia de alto valor en el extranjero. Como ejemplo de una operación de negociación comercial, Fidelis Security observó un ataque en un pozo de agua en febrero de 2017 dirigido a los miembros del Consejo Nacional de Comercio Exterior, un grupo de presión del comercio estadounidense.
Una herramienta de uso común de APT10 es Scanbox, que es una forma de malware que puede ofrecer información sobre sus prioridades de orientación. Scanbox se ha observado en diversos objetivos del sector industrial en los EE. UU. Y Japón, pero también en disidentes uigures en el extranjero . Si bien esto respalda la tesis de que APT10 es un grupo de amenazas del gobierno, le advertimos a los defensores contra la asociación de cualquier pieza de malware exclusivamente con un grupo. Los países mantienen múltiples grupos de amenazas, todos los cuales son completamente capaces de colaborar y compartir TTP.
Malware implementado comúnmente
APT10 es conocido por implementar el siguiente malware:
Nota: PlugX y Poison Ivy fueron desarrollados y desplegados originalmente por actores chinos patrocinados por el estado. Desde entonces, se han vendido y revendido a actores de amenazas individuales en múltiples naciones. Al momento de escribir, no es apropiado atribuir un ataque a los actores de amenazas chinos basándose únicamente en la implementación de PlugX o Poison Ivy.
¿Debería estar preocupado?
Eso depende del tipo de organización que ejecute. Se ha observado que APT10 se dirige principalmente a las telecomunicaciones de construcción, ingeniería, aeroespacial y regional, así como a los objetivos gubernamentales tradicionales. Si su empresa existe fuera de estos verticales, es poco probable que APT10 invierta el tiempo y los recursos para dirigirse a usted. Para las empresas fuera del perfil de orientación, es mucho más rentable gastar los presupuestos de defensa en vulnerabilidades comunes que son más aprovechadas por atacantes comunes.
¿Qué podrían hacer después?
Como la mayoría de las APT, APT10 se ha dirigido tradicionalmente a gran escala cuando ataca a una empresa comercial. Sin embargo, un informe más reciente de Price Waterhouse Cooper y BAE Systems sugiere que han comenzado a dedicar una parte de sus operaciones a los proveedores de servicios gestionados (MSP), muy probablemente en un intento de filtrar datos confidenciales de los clientes. Dado que cada vez hay más conciencia de las amenazas avanzadas por parte de los objetivos de alto valor, continuar apuntando a los MSP de esta manera es un medio plausible de obtener los mismos datos deseados a un menor costo.
Recursos adicionales
Si desea leer un poco más sobre APT, y específicamente APT10, eche un vistazo a los siguientes recursos:
Sobre el autor