Ameaça persistente avançada

O anglicismo Cyber APT é um acrônimo para Advanced Persistent Threat, que em uma tradução livre do inglês significa Ameaça Persistente Avançada.^[1] Essa expressão é comumente usada para se referir a ameaças cibernéticas, em particular a prática de espionagem via internet por intermédio de uma variedade de técnicas de coleta de informações que são consideradas valiosas o suficiente para que o agente espião despenda tempo e recursos para obtê-las.^[2]

Mesmo quando tem a intenção de acessar ou atacar um alvo específico, um cracker geralmente não é considerado o possível autor de um ataque APT, pois isoladamente um indivíduo raramente dispõe dos recursos necessários à execução de um ataque desses.^[3]

Ataques APT são direcionados (targeted attacks). Esses ataques utilizam uma grande variedade de técnicas, inclusive drive-by download,^{[nota 1]} injeção de SQL (SQL injection), malwares, spywares, phishing e spam, apenas para citar alguns exemplos. Esses ataques podem simultaneamente usar (e frequentemente usam) mais de uma técnica. Embora ataques APT sejam sempre direcionados, nem todo ataque direcionado é do tipo APT.

Características da APT editar

Por que é avançada editar

Os agentes por trás desses ataques dispõem de um amplo espectro de técnicas de coleta de inteligência (informações sensíveis). Isso pode incluir tecnologias e técnicas de invasão de computadores, além de se estender às técnicas convencionais de coleta de inteligência, tais como interceptação de telefonemas e levantamento de imagens via satélite. Embora componentes individuais do ataque possam não ser particularmente classificados como "avançados" — como por exemplo malwares criados a partir de pequenos kits "faça você mesmo" ou o uso de materiais que facilitem a exploração de vulnerabilidades convencionais (exploits) — os agentes geralmente conseguem acessar e desenvolver ferramentas cada vez mais complexas, à medida em que isso se torna necessário. Eles frequentemente combinam múltiplas técnicas, ferramentas e métodos de ataque, de modo a alcançar e comprometer seus alvos, além de garantir e preservar o acesso a eles. Os agentes também podem apresentar um grande foco em segurança operacional que os diferencia das ameaças menos avançadas.^[5]

As técnicas utilizadas pelos agentes nem sempre são bem conhecidas e normalmente incluem o uso de 0-day exploits^{[nota 2]} e malwares dedicados especificamente ao ataque. Um exemplo são os ataques do Hidden Lynx Group na campanha VOHO (o maior ataque Watering-Hole já conhecido), em que ao menos 10 websites legítimos foram comprometidos com múltiplos 0-day exploits e backdoors.^[^{carece de fontes?]}

Ataques APT são complexos: os agentes do ataque podem controlar um grande número de servidores comprometidos para diferentes finalidades, de modo que diferentes partes da infraestrutura-alvo sejam utilizadas em cada uma das fase do ataque. Sistemas distintos podem ser usados para reconhecimentos e testes, outros podem ser usados para exploração de vulnerabilidades e elevação de privilégios (obtenção de credenciais que dão acesso a mais informações e a outros recursos, ou a informações e recursos mais sensíveis), e ainda outros podem ser usados para compactação, criptografia e envio dos dados, o que dificulta a detecção do ataque.^[^{carece de fontes?]}

Por que é persistente editar

Os agentes priorizam uma tarefa específica, ao invés de agir de maneira oportunista em busca de informações que possibilitem ganho financeiro ou algum outro tipo de ganho. Essa distinção significa que os agentes do ataque são guiados por organizações externas. O direcionamento do ataque persistente é conduzido por uma interação e um monitoramento contínuo, até que se alcance o objetivo que foi predefinido. Isso não significa que os agentes ficarão o tempo todo tentando realizar grandes ataques e injeção de malwares mais novos: na verdade, os ataques mais lentos e em menor escala geralmente obtêm mais sucesso. Se o agente perde acesso ao seu alvo, ele geralmente irá simplesmente tentar obter acesso novamente — e muito frequentemente conseguirá. Diferentemente das ameaças que necessitam acessar o sistema apenas por um breve período, um dos principais objetivos do agente desse tipo de ataque é obter um acesso de longa duração.^[5]

Um exemplo de persistência é o caso dos ataques APT conduzidos pelo governo chinês e as investigações conduzidas pela empresa de segurança Mandiant: a primeira vez em que a Mandiant publicou detalhes a respeito dos APT foi num relatório de janeiro de 2010 intitulado "M-Trends". Nesse relatório, a Mandiant afirmou que o governo chinês poderia estar autorizando ou mesmo financiando esse tipo de atividade, porém na época a Mandiant ainda não tinha como determinar a extensão disso. No entanto, em 2013 a Mandiant publicou um novo relatório, dessa vez apresentando as evidências necessárias para respaldar a suspeita inicial. Os detalhes analisados pelos profissionais da Mandiant ao longo de centenas de investigações convenceram a empresa de que o grupo que está conduzindo tais atividades está situado principalmente na China e que o governo chinês tem conhecimento dele. Esse grupo foi batizado de "APT1" e as evidências levantadas pela Mandiant sinalizam que pelo menos desde 2006 o APT1 já subtraiu centenas de terabytes de dados de pelo menos 141 organizações de diversos segmentos da indústria.^[7]

Por que é uma ameaça editar

As APT são uma ameaça porque elas têm a intenção e a capacidade de ser uma ameaça. Ataques APT são executados por ações humanas coordenadas, ao invés de serem executadas por meras peças de software automatizado, que é incapaz de responder inteligentemente a situações novas ou inesperadas. Os agentes humanos possuem um objetivo específico e são inteligentes, capacitados, motivados, organizados e bem financiados.^[5]

Exemplos de ameaças que podem ser consideradas APT:

Stuxnet: desenvolvido e disseminado por Estados Unidos e Israel, o worm Stuxnet foi projetado para atuar em um ciberataque contra o Irão. O objetivo foi dificultar ou se possível impedir que o Irão produzisse armas nucleares, por isso foi direcionado à usina nuclear iraniana de Natanz. Esse ataque, somado ao ataque do Flame, pode ser considerado como o começo de uma possível guerra cibernética.^[8]
Os ataques à rede da Lockheed Martin,^[9] executados com o uso de certificados subtraídos da RSA em 2011. Os invasores conseguiram acesso inicial enganando um usuário interno, que abriu uma planilha anexada a um e-mail que explorava uma vulnerabilidade do Adobe Flash. A partir daí, os invasores obtiveram mais privilégios de acesso, instalaram backdoors e obtiveram controle de mais recursos. Posteriormente, eles conseguiram obter acesso aos tokens de autenticação conhecidos como SecurID.
Operação Aurora: um ataque APT direcionado a inúmeras grandes empresas, tais como Google, Adobe, Rackspace e Juniper Networks. Os relatórios divulgados pela imprensa sugerem que muitas outras empresas estavam na mira, inclusive Yahoo!, Northrop Grumman, Morgan Stanley, Symantec e Dow Chemical. Acredita-se que o governo chinês tenha direcionado os ataques como parte de uma campanha coordenada de larga escala contra os Estados Unidos e outros países ocidentais.^[10]

Anatomia de um ataque APT editar

Alguns elementos constitutivos de um ataque APT:^[5]

Planejamento: ataques APT podem requerer um longo período de preparação. Em alguns casos essa preparação pode levar vários anos. É o caso de alguns dos ataques conduzidos contra a infraestrutura de informações críticas e os mais secretos recursos de um determinado governo.
Engenharia social: de maneira geral, a missão mais crítica dos agentes de um ataque APT consiste em quebrar o principal parâmetro de segurança. Como muitos exemplos passados demonstram, essa é a parte em que o ataque geralmente é voltado contra alguma pessoa, ao invés de contra alguma tecnologia. O exemplo mais comum está nos anexos dos e-mails: a única diferença é que nos ataques APT o invasor geralmente direciona as informações de modo a fazê-las parecer confiáveis. Isso facilita o ataque e significa também que é conduzida uma investigação preliminar a respeito da vítima. Essa investigação permite ao agente do ataque identificar os funcionários que são os melhores candidatos para servir de alvo. Tais funcionários geralmente são, por um lado, tecnicamente pouco avançados (possuem poucos conhecimentos tecnológicos) e por isto têm relativamente poucos conhecimentos relacionados à segurança contra ataques de TI, mas por outro lado possuem acesso a certas informações e possuem credenciais para obter acesso a informações mais sensíveis (eles podem inclusive ser os detentores de tais informações).
Aprofundamento da invasão: o agente utiliza o ambiente comprometido para explorar mais vulnerabilidades e consequentemente obter mais informações e desvendar mais vulnerabilidades. Em outras palavras: uma vez que o agente tenha conseguido acessar o computador e as credenciais da vítima, ele passa a explorar outros recursos informativos e a coletar informações que poderão ser usadas seja para obter acesso direto não-autorizado a informações sensíveis, seja para conseguir acessar informações que requerem nível de permissão ainda mais elevado, dentro da rede organizacional interna.

Notas

↑ O "download de passagem"^[4] ou drive-by download é o download não-intencional de software. Esse download pode ocorrer sem o conhecimento da pessoa ou então pode ocorrer porque a pessoa autorizou o download sem compreender plenamente as consequências disso.
↑ Um 0-day exploit é um ataque que explora uma vulnerabilidade até então desconhecida em uma aplicação computacional, razão por que os desenvolvedores da aplicação ainda não tiveram tempo de investigar e corrigir o problema. A expressão "0-day" ("zero dia" ou "nenhum dia") é uma alusão ao fato de os desenvolvedores não disporem de nenhum dia para identificar e corrigir o problema, pois ele já está em andamento.^[6]

Referências

↑ Russell Miller (2012). «Ameaças persistentes avançadas: como se defender de dentro para fora» (PDF). Ataques direcionados. CA Technologies. Consultado em 16 de junho de 2014
↑ «Anatomy of an Advanced Persistent Threat» (em inglês). Dell SecureWorks. 2012. Consultado em 16 de junho de 2014. Arquivado do original em 16 de maio de 2013
↑ Command Five Pty Ltd (2011). «Advanced Persistent Threats: A Decade in Review» (PDF) (em inglês). p. 2. 13 páginas. Consultado em 16 de junho de 2014. Arquivado do original (PDF) em 14 de outubro de 2014
↑ «McAfee Network Threat Response: Detecte malware persistente e avançado dentro de sua rede» (PDF). McAfee. Consultado em 16 de junho de 2014. Arquivado do original (PDF) em 14 de julho de 2014
↑ ^a ^b ^c ^d European Network and Information Security Agency (ENISA). «Advanced Persistent Threat incident hangling» (PDF). CERT Exercises Handbook - Document for teachers (em inglês). Consultado em 16 de junho de 2014
↑ Lucas Moura (12 de março de 2013). «Entenda o que é um exploit zero-day». Baboo. Consultado em 16 de junho de 2014
↑ «APT1: Exposing One of China's Cyber Espionage Units» (PDF) (em inglês). Mandiant. 2013. Consultado em 16 de junho de 2014
↑ David E. Sanger (1º de junho de 2012). «Obama Order Sped Up Wave of Cyberattacks Against Iran» (em inglês). The New York Times. Consultado em 16 de junho de 2014
↑ John Leyden (27 de maio de 2011). «Lockheed Martin suspends remote access after network 'intrusion' - InsecureID for hacked defence contractor» (em inglês). The Register. Consultado em 16 de junho de 2014
↑ Kathrin Hille (20 de janeiro de 2010). «Chinese media hit at "White House's Google"» (em inglês). Financial Times. Consultado em 16 de junho de 2014

Ligações externas editar

Advanced Threat Resource Center (em inglês). O Centro de Recursos para Ameaças Avançadas (Advanced Threat Resource Center) é uma página da Dell SecureWorks que oferece informações e materiais didáticos referentes ao tema das ameaças avançadas. Visitado em 16 de junho de 2014..

[5] O "download de passagem"^[4] ou drive-by download é o download não-intencional de software. Esse download pode ocorrer sem o conhecimento da pessoa ou então pode ocorrer porque a pessoa autorizou o download sem compreender plenamente as consequências disso.

[8] Um 0-day exploit é um ataque que explora uma vulnerabilidade até então desconhecida em uma aplicação computacional, razão por que os desenvolvedores da aplicação ainda não tiveram tempo de investigar e corrigir o problema. A expressão "0-day" ("zero dia" ou "nenhum dia") é uma alusão ao fato de os desenvolvedores não disporem de nenhum dia para identificar e corrigir o problema, pois ele já está em andamento.^[6]

[catech-1] Russell Miller (2012). «Ameaças persistentes avançadas: como se defender de dentro para fora» (PDF). Ataques direcionados. CA Technologies. Consultado em 16 de junho de 2014

[dell-2] «Anatomy of an Advanced Persistent Threat» (em inglês). Dell SecureWorks. 2012. Consultado em 16 de junho de 2014. Arquivado do original em 16 de maio de 2013

[commandfive-3] Command Five Pty Ltd (2011). «Advanced Persistent Threats: A Decade in Review» (PDF) (em inglês). p. 2. 13 páginas. Consultado em 16 de junho de 2014. Arquivado do original (PDF) em 14 de outubro de 2014

[mcafee-4] «McAfee Network Threat Response: Detecte malware persistente e avançado dentro de sua rede» (PDF). McAfee. Consultado em 16 de junho de 2014. Arquivado do original (PDF) em 14 de julho de 2014

[enisa-6] European Network and Information Security Agency (ENISA). «Advanced Persistent Threat incident hangling» (PDF). CERT Exercises Handbook - Document for teachers (em inglês). Consultado em 16 de junho de 2014

[baboo-7] Lucas Moura (12 de março de 2013). «Entenda o que é um exploit zero-day». Baboo. Consultado em 16 de junho de 2014

[mandiant2013-9] «APT1: Exposing One of China's Cyber Espionage Units» (PDF) (em inglês). Mandiant. 2013. Consultado em 16 de junho de 2014

[nyt-10] David E. Sanger (1º de junho de 2012). «Obama Order Sped Up Wave of Cyberattacks Against Iran» (em inglês). The New York Times. Consultado em 16 de junho de 2014

[11] John Leyden (27 de maio de 2011). «Lockheed Martin suspends remote access after network 'intrusion' - InsecureID for hacked defence contractor» (em inglês). The Register. Consultado em 16 de junho de 2014

[ft-12] Kathrin Hille (20 de janeiro de 2010). «Chinese media hit at "White House's Google"» (em inglês). Financial Times. Consultado em 16 de junho de 2014

[1]

[2]

[3]

[nota 1]

[5]

[nota 2]

[7]

[8]

[9]

[10]

[4]

[6]