Como ejemplo de una APT bien ejecutada, a continuación describimos brevemente la APT10, una campaña que posiblemente empezara ya en 2009. La APT10, que quizá sea una de las amenazas a la ciberseguridad más prolongada de la historia, atacó hace poco a algunas empresas a través de proveedores de servicios gestionados en múltiples sectores de muchos países, así como a algunas empresas japonesas, y causó una cantidad desconocida de daños a través del robo de grandes volúmenes de datos.

Estos ataques, que estaban activos desde finales de 2016, los descubrieron PwC UK y BAE Systems. En «Operation Cloud Hopper», un informe conjunto sobre esta campaña, estas organizaciones admiten que es posible que nunca se llegue a saber el alcance total de los daños causados por la APT10.

Los siguientes son algunos aspectos destacados de lo que estas organizaciones aprendieron sobre la APT10, extraídos del informe:

• Lo más probable es que la campaña estuviera organizada por un atacante establecido en China.
• Se inició en 2009, o antes, y utiliza varios tipos de programas maliciosos para obtener un acceso sin precedentes a lo largo del tiempo.
• Los atacantes de la APT10 transforman continuamente sus métodos de ataque utilizando herramientas avanzadas de nuevo desarrollo que ayudan a aumentar la escala y las funciones de los ataques.
• Como la mayoría de los ataques de APT, la APT10 busca la propiedad intelectual y los datos confidenciales.
• PwC UK y BAE creen que el atacante tiene un personal y un conjunto de recursos que aumentan a un ritmo considerable, y que posiblemente cuenta con varios equipos de atacantes altamente cualificados trabajando sin descanso.

* Artículo «5 Signs You’ve Been Hit With an APT».

A medida que se descubren más APT, a las organizaciones de seguridad cada vez se les da mejor descubrir estas sigilosas amenazas. Uno de los aspectos en constante cambio es la persecución de amenazas, que combina tecnología innovadora e inteligencia humana en un enfoque proactivo e iterativo que identifica ataques que a la seguridad estándar de los terminales se le escapan.

De media, se tardan 150 días en detectar una vulneración. Sin embargo, con la persecución de amenazas, las organizaciones pueden detectar ataques como las APT en fases más tempranas de la secuencia de ataque, gracias a la observación de datos históricos y sin filtrar de terminales para encontrar comportamientos inusuales y relaciones entre actividades anómalas.

Un buscador de amenazas inicia la persecución con un conjunto de herramientas tecnológicas innovadoras, inteligencia para la detección de amenazas y conocimientos humanos. Después, perfecciona el proceso de persecución mediante búsquedas iterativas que permiten descubrir las causas principales. A continuación, responde a las amenazas desactivándolas y utiliza la información y la inteligencia obtenidas para proteger el entorno en adelante.

• Para empezar, un buscador de amenazas puede utilizar las características conocidas de una amenaza concreta, junto con conocimientos humanos sobre posibles secuencias de ataque. El buscador puede iniciar una serie de búsquedas iterativas con herramientas que buscan en los entornos a la vez que supervisan, registran y almacenan toda la actividad de los terminales.
• Por ejemplo, PwC UK y BAE Systems descubrieron que los atacantes utilizaban archivos de Excel maliciosos que se distribuían a través de campañas de correo electrónico de suplantación de identidad a través de Outlook. Los investigadores también descubrieron que, al abrir esos archivos, se colocaban en una carpeta temporal nuevos archivos que actuaban como agentes de escucha de mando y control (C2) y que después salían por el puerto 8080.
• Una búsqueda inicial puede devolver un gran volumen de datos, por lo que un buscador de amenazas suele necesitar delimitar una búsqueda. En el caso de una APT10, un criterio de búsqueda podrían ser las máquinas de recursos humanos, ya que contienen datos esenciales y confidenciales. A continuación, utilizando información de inteligencia conocida, el buscador de amenazas puede indagar aún más buscando archivos de Excel que hayan llegado como archivos adjuntos de correo electrónico en Outlook. El siguiente criterio lógico de búsqueda sería una conexión de mando y control, que podría detectarse buscando conexiones de red con más de una conexión.
• Esta búsqueda generaría un conjunto de datos más pequeño que, a continuación, se podría ver como un árbol de análisis de procesos que desvelaría el archivo temporal malicioso. Una vez identificado, se podría trazar la actividad del archivo para ver si este ha intentado crear una conexión de red a través del puerto 8080.
• Esta secuencia de actividades confirma que hubo un ataque de APT10 activo en este entorno. Mediante la persecución de amenazas y las herramientas antivirus avanzadas de nueva generación, el ataque se puede aislar en el ordenador host para eliminarlo de la red. Otra opción es prohibir el valor de hash para que no se pueda ejecutar.
• La última actividad del buscador de amenazas es proteger el entorno ante futuros ataques. La forma de hacerlo es generalizar y ampliar la secuencia de consultas descrita más arriba para crear una lista de seguimiento. La herramienta de seguridad identifica dichas actividades y envía alertas automáticas por correo electrónico para que se puedan tomar medidas correctivas inmediatamente.