Tornou-se famoso após uma denúncia do New York Times detalhando a campanha de ataque de um mês em que uma unidade militar chinesa agora conhecida como “APT 1” penetrou completamente nas redes da organização de mídia com uma série de e-mails de spear-phishing e um dilúvio de amostras de malware personalizadas.
Existem duas maneiras de ver isso: APT como uma coisa e APT como pessoas. Por outro lado, uma ameaça persistente avançada refere-se a um tipo altamente preciso de ataque cibernético. Por outro lado, a ameaça persistente avançada também pode se referir aos grupos, muitas vezes patrocinados pelo Estado ou bem financiados de outras maneiras, que são responsáveis por lançar tais ataques de precisão.
Ameaças persistentes verdadeiramente avançadas são um pouco contra-intuitivas. Quando você pensa sobre a maioria dos cibercriminosos e outros propagadores de malware, você pensa que seu objetivo é infectar o maior número possível de computadores com seu furto de credenciais, criação de botnet ou outro software malicioso. Quanto mais ampla a rede, maior a oportunidade de roubar dinheiro, recursos de computação ou o que quer que eles estejam procurando. Os atores APT, por outro lado, estão interessados em infectar as máquinas de determinadas pessoas.
A questão é: você não precisa ser o CEO para ser um potencial alvo da APT. Quase qualquer pessoa com uma conexão à Internet é um alvo potencial.
O objetivo final de um ataque do tipo APT é comprometer uma máquina na qual haja algum tipo de informação valiosa. Seria um sucesso óbvio se um invasor conseguisse carregar um keylogger ou instalar um backdoor na máquina do executivo-chefe ou diretor de informações de uma empresa importante, mas você precisa acordar bem cedo pela manhã para enganar um dos esses caras ou moças. Eles são espertos. Eles têm equipes de segurança e ferramentas cuidando deles. Em outras palavras, pode ser muito difícil hackear esses indivíduos empreendedores.
Então, em vez de visar o CEO, os grupos APT geralmente optam por atingir algum funcionário inferior, como um redator ou designer gráfico, que pode não ter informações particularmente valiosas em sua máquina, mas está na mesma rede que as máquinas com dados valiosos e poderia ser usado como um trampolim para infectar máquinas valiosas. Para recapitular: comprometa a máquina do redator e use seu endereço de e-mail para fazer spear phishing no CEO.
Mesmo essa tática geralmente se mostra muito difícil, pois as empresas continuam investindo mais dinheiro em produtos de segurança corporativa e educação de funcionários . Os hackers do APT agora recorrem à escolha de alvos cada vez mais obscuros em uma tentativa de encadear uma sequência complicada de infecções que eventualmente produz dados valiosos. Por exemplo, talvez seu tio-avô seja um figurão na Boeing ou você trabalhe como engenheiro em uma empresa de design altamente especializada que desenvolve um determinado componente de escapamento que a Boeing usa em um, se forem jatos. Os grupos APT podem apontar você como um ponto de partida que pode eventualmente levar ao comprometimento que produz segredos.
A questão é: você não precisa ser o CEO para ser um potencial alvo da APT. Quase qualquer pessoa com uma conexão à Internet é um alvo potencial.
Ataques do tipo APT, começa com um e-mail de spear-phishing que exploravaalgumas vulnerabilidades conhecidas da Microsoft. Eventualmente, os invasores implantaram uma ferramenta capaz de extrair informações do sistema, soltar malware de keylogging, roubar documentos do Office, como arquivos do Word, Excel e PowerPoint, e modificar configurações para roubar designs do Corel Draw, arquivos AutoCAD e outros tipos de arquivos usados em círculos de fabricação e defesa. Esse ataque deve ser considerado uma ameaça persistente avançada porque parece ter como alvo apenas indivíduos e organizações cujos computadores conteriam segredos valiosos. Como mencionei acima, o APT também pode se referir a hackers ou grupos de ataque. Nesse caso, o grupo APT é prolífico. Talvez não tão prolífico quanto o notório Comment Crew (também conhecido como APT 1), mas os pesquisadores da afirmam que quem lançou o NetTraveler é provavelmente responsável peloAtaques Titan Rain e GhostNet também.
O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.
