¿Qué son las amenazas persistentes avanzadas?

Los grupos de amenazas persistentes avanzadas buscan acceder a información crítica y desestabilizar a compañías de sectores críticos y administraciones públicas

La era de los espías circunspectos y silenciosos que John le Carré retrató para la posteridad en novelas como El espía que surgió el frío, terminó con el final de la Guerra Fría. Hoy en día, el espionaje tiene lugar en el mundo digital a través de amenazas persistentes avanzadas, lanzadas por grupos de ciberdelincuentes esponsorizados por estados que desean obtener información de gobiernos, compañías, medios extranjeros o desestabilizar a otros países.

En las últimas semanas se han hecho públicas dos campañas de amenazas persistentes avanzadas puestas en marcha por un grupo chino y otro norcoreano. La primera de ellas, conocida como SmugX, atacaba a embajadas para obtener información clave sobre la política exterior de países europeos como Reino Unido, República Checa o Hungría. La segunda, lanzada por el grupo APT Kimsuky iba dirigida a robar datos de actores estratégicos como centros de investigación o medios de comunicación.

Estos casos recientes evidencian una tendencia clave en el ámbito de la ciberseguridad a nivel global: el auge de las amenazas persistentes avanzadas, cuyo impacto en compañías y administraciones públicas puede llegar a ser devastador. De ahí que la mejora de la resiliencia frente a esta clase de amenazas se haya convertido en una cuestión de vital importancia para miles de empresas e instituciones de todo el planeta.

A continuación, vamos a profundizar en qué son las amenazas persistentes avanzadas, cuáles son sus objetivos, quiénes están detrás de ellas y cómo se pueden preparar las compañías y administraciones frente a estas peligrosas amenazas, gracias a los servicios de Threat Hunting y los ejercicios de Red Team.

1. Deconstruyendo el concepto APT

Las amenazas persistentes avanzadas son popularmente conocidas a través de las iniciales del concepto en inglés, APT: advanced persistent threats. Estas tres palabras nos sirven para realizar una primera aproximación a este concepto esencial en el mundo de la ciberseguridad:

• Advanced. Al usar el adjetivo avanzadas, se busca hacer hincapié en que esta clase de amenazas emplea técnicas, tácticas y procedimientos más complejos de prevenir, detectar y combatir que los utilizados ciberataques comunes. Ello implica que los mecanismos de protección frente a las amenazas persistentes avanzadas también han de ser sofisticados e innovadores.
• Persistent. Una de las claves de estas amenazas avanzadas es su persistencia. Es decir, su extensión a lo largo del tiempo. De tal forma que los ataques logran pasar desapercibidos durante un periodo temporal extraordinariamente amplio, que permite a los actores hostiles acceder a un mayor volumen de información y provocar un daño mayor en las organizaciones atacadas.
• Threats. Resulta evidente que esta clase de ataque supone una gran amenaza para las compañías y las administraciones, pudiendo generar graves consecuencias económicas, reputacionales y legales y menoscabar la continuidad de negocio y la estrategia de la organización.

Más allá de las tres palabras que conforman el concepto, el National Institute of Standards and Technology de Estados Unidos, define a las amenazas persistentes avanzadas poniendo el foco en cinco aspectos esenciales:

• Los adversarios, su experiencia, su motivación y los recursos de los que disponen.
• La utilización de múltiples vectores de ataque.
• Los objetivos de los actores hostiles: exfiltrar información y socavar a la organización.
• La duración y evolución de las amenazas.
• El nivel de interacción necesario para acometer los objetivos con éxito.

2. ¿En qué se diferencian las amenazas persistentes avanzadas de los ataques tradicionales?

A raíz de lo que venimos de señalar, podemos vislumbrar qué diferencia a las amenazas persistentes avanzadas de las comunes.

2.1. Tipología de los actores hostiles

Los delincuentes detrás de las amenazas persistentes avanzadas presentan sofisticados niveles de experiencia y disponen de cuantiosos recursos. Esto les permite diseñar e implementar ataques mucho más complejos y disponer de más herramientas para vencer los mecanismos de defensa de una organización y cumplir con los objetivos.

Los grupos APT destacan por su elevado nivel de experiencia, contar con una motivación clara, conjugar múltiples vectores de ataque y disponer de una meta perfectamente definida (robar propiedad intelectual, espionaje industrial o gubernamental…).

2.2. Vectores de ataque

Una de las claves que nos sirve para diferenciar a las amenazas persistentes avanzadas y destacar su peligrosidad son los vectores de ataque que emplean los actores hostiles. ¿Por qué?

Los delincuentes no recurren a un único vector de ataque para vulnerar un activo IT de una compañía, sino que emplean múltiples vectores, lo que tiene como consecuencia que las amenazas persistentes avanzadas sean más sofisticadas y complejas. Así, este tipo de ataques puede combinar el empleo de técnicas de ingeniería social, la explotación de vulnerabilidades de día 0 o el uso de malware.

2.3. Duración y alcance de los ataques

Las amenazas persistentes avanzadas no son ataques que golpean una sola vez, sino que buscan infiltrarse en la infraestructura tecnológica de la organización y lograr la máxima persistencia en ella, consiguiendo, a su vez, un acceso continuado en el tiempo.

Ello conlleva que los actores hostiles deban pasar desapercibidos y conseguir que los ataques queden latentes en los sistemas corporativos o gubernamentales y sean monitoreados de forma continua hasta la consecución de los objetivos maliciosos.

Asimismo, debemos añadir que los grupos APT buscan obtener el máximo alcance para poder infiltrarse en toda la infraestructura tecnológica de la organización y recabar la mayor cantidad de información posible.

2.4. Ejecución

Muchos ciberataques se ponen en marcha recurriendo a la automatización. Por la contra, las amenazas persistentes avanzadas se caracterizan por ser ejecutadas de forma manual. De tal forma que los actores hostiles ejecutan todas las fases de la Cyber Kill Chain para asegurarse de alcanzar los objetivos marcados.

De ahí que podamos afirmar que las amenazas persistentes avanzadas se caracterizan por ser ataques dirigidos y organizados, sustentados en objetivos perfectamente definidos.

2.5. Targets específicos

Gracias a las herramientas que permiten automatizar los ciberataques, muchos se lanzan contra un amplio número de objetivos. Por ejemplo, una campaña de phishing que se dirige a miles de cuentas de correo electrónico. Por la contra, las amenazas persistentes avanzadas se dirigen contra targets específicos, como profesionales concretos de una determinada organización.

Entre los targets habituales de los grupos APT se encuentran gobiernos, compañías, personas relevantes, redes o infraestructura crítica, por ejemplo, plantas energéticas u oleoductos.

Esta situación pone en evidencia la existencia de recursos y capacidades de inteligencia (OSINT, SOCMINT) por parte de los actores maliciosos.

3. Objetivos de las amenazas persistentes avanzadas

Las características de las amenazas persistentes avanzadas guardan una relación directa con los objetivos de los grupos APT. Estos ataques complejos, que conjugan varios vectores de ataques y técnicas sofisticadas, buscan infiltrarse el máximo tiempo posible en la infraestructura IT sin ser identificados para:

1. Robar propiedad intelectual y/o industrial de la compañía atacada.
2. Sustraer datos clasificados o secretos, tanto de las empresas como de instituciones.
3. Provocar daños atacando a sistemas de control industrial (ICS), pudiendo llegar a afectar a la seguridad y salud de las personas. Por ejemplo, paralizando la actividad de una compañía eléctrica.
4. Acceder a datos personales e información privada de clientes, trabajadores, socios o ciudadanos.
5. Tomar el control de un sistema corporativo.
6. Conseguir información de valor para lanzar futuros ataques.

4. Ataques dirigidos y bien organizados para dar en la diana

A la luz de las características y objetivos que hemos esbozado, podemos hacernos la siguiente pregunta: ¿qué buscan las amenazas persistentes avanzadas?

La complejidad de las acciones, el nivel de preparación de los delincuentes que las desarrollan y la cantidad de recursos que se necesitan para ejecutarlas con éxito implican que las amenazas persistentes avanzadas tengan, en primer lugar, targets específicos, a diferencia de otros ataques menos complejos y que se automatizan.

De ahí que señalemos que las APT se tratan de ataques dirigidos hacia targets concretos y no de ataques a discreción, que buscan impactar en el mayor número de víctimas potenciales. O, dicho de una forma más prosaica, mediante las amenazas persistentes avanzadas los delincuentes buscan dar en la diana, mientras que en los ataques automatizados masivos echan la red en el mar, sin importar qué vaya a caer en sus manos.

Aclarada esta cuestión, ¿contra quién se dirigen las amenazas persistentes avanzadas? Especialmente contra instituciones públicas clave como los departamentos o ministerios ligados a la seguridad, la defensa, la política exterior o la investigación. Así como contra compañías de sectores críticos, como el financiero, la salud, las telecomunicaciones, el transporte o la energía.

¿Cómo se infiltran los actores hostiles en la infraestructura IT de esta clase de organizaciones? Combinando diferentes tácticas, técnicas y procedimientos para obtener acceso a los sistemas corporativos, instalar backdoors, escalar privilegios o realizar movimientos laterales para lograr los objetivos maliciosos.

Frente a otros ataques más sencillos, las amenazas persistentes avanzadas se desarrollan a lo largo de una gran cantidad de tiempo, tanto por su complejidad como por su misión de persistir durante un plazo temporal muy amplio para acrecentar su impacto en la organización atacada.

5. Grupos APT: ¿Quién está detrás de estas amenazas?

Los grupos APT son aquellos que diseñan y ejecutan amenazas persistentes avanzadas para cumplir sus objetivos delictivos. Para ello, desarrollan herramientas, técnicas, tácticas y procedimientos que requieren de elevados conocimientos técnicos y una amplia experiencia. La complejidad de las amenazas persistentes avanzadas exige que los delincuentes que forman parte de estos grupos presenten una gran pericia y que, además, dispongan de cuantiosos recursos para llevar a cabo sus actividades delictivas.

Por ello, en muchos casos, como los dos que mentamos al inicio del artículo, los grupos APT son esponsorizados por estados.

Sin embargo, también existen grupos APT que no tienen una relación directa con ningún gobierno, sino que su objetivo es infiltrarse en compañías o administraciones para extorsionarlas, como fue el caso del ataque lanzado por el grupo RansomHouse contra el Hospital Clínic de Barcelona; o para vender información sensible a la competencia.

Aún así, lo cierto es que muchos grupos APT tienen estrechos lazos con diversos estados (Rusia, China, Irán…) y su objetivo es contribuir a desestabilizar a los estados occidentales, ya sea atacando a sus instituciones o a sus compañías.

Sin ir más lejos, el equipo de Threat Hunting de Tarlogic Security hizo pública una investigación sobre el grupo APT28, también conocido popularmente como Fancy Bear. Este grupo que amenazas persistentes avanzadas ha atacado al presidente de Francia, Emanuel Macron, al Bundestag alemán, al CSIC español o al Comité Nacional Demócrata estadounidense.

Los grupos de amenazas persistentes avanzadas van en aumento y su impacto en el terreno de la ciberseguridad y la protección de las empresas, las administraciones y las personas también. De ahí que los profesionales de Threat Intelligence y Threat Hunting sean claves a la hora de entender cómo operan los diferentes grupos APT y, así, poder mejorar la resiliencia frente a sus acciones maliciosas.

5.1. MITRE ATT&CK y el mapeo de los grupos APT

Precisamente, el framework MITRE ATT&CK, centrado en estudiar las tácticas, técnicas y procedimientos de los ciberdelincuentes, lleva a cabo una labor de recopilación de información sobre los grupos APT. Así, MITRE ATT&CK pone a disposición de los profesionales de ciberseguridad y las organizaciones datos como:

• Descripción de los grupos.
• Recopilación de todas las nomenclaturas que se han empleado para referenciarlos.
• Técnicas y sub-técnicas que emplean y cómo las han usado.
• Software que usan para conseguir sus objetivos y qué técnicas permite llevar a cabo cada solución.

6. Inteligencia y Threat Hunting para cortar la Cyber Kill Chain de las amenazas persistentes avanzadas

¿Cómo pueden las organizaciones hacer frente a las amenazas persistentes avanzadas? En primer lugar, cortando su Cyber Kill Chain antes de que logren cumplir sus objetivos maliciosos. En esta tarea entren en juego los profesionales de ciberinteligencia y los threat hunters.

• Servicios de ciberinteligencia. Esta clase de servicios son esenciales para detectar las amenazas persistentes avanzadas durante sus tres primeras fases:
  • Reconocimiento
  • Armamento
  • Distribución
• Servicios de Threat Hunting. Los threat hunters juegan un papel crucial en las otras cuatro fases de la Cyber Kill Chain:
  • Explotación
  • Instalación
  • Comando y control
  • Acciones

La inteligencia es fundamental a la hora de poner en marcha las amenazas persistentes avanzadas, puesto que los ciberdelincuentes deben conocer con precisión a las organizaciones que van a atacar, su infraestructura IT y su estrategia de seguridad. Y, por eso mismo, es fundamental a la hora de comprender qué TTP emplean los actores hostiles cuando realizan tareas de investigación y desarrollan herramientas o procedimientos para lanzar sus ataques.

Por su parte, los profesionales que realizan Threat Hunting proactivo han de rastrear la presencia de amenazas persistentes avanzadas en los sistemas de una organización. ¿Cómo? Analizando la actividad en los endpoints o detectando amenazas partiendo de hipótesis de compromiso y usando la telemetría.

7. Cómo mejorar la resiliencia frente a las amenazas persistentes avanzadas

Las amenazas persistentes avanzadas y los grupos que las diseñan y ejecutan suponen un peligro para la seguridad de miles de empresas, pero también para las instituciones y el conjunto de la ciudadanía.

Por ello, es fundamental que las compañías y las administraciones públicas sean capaces de mejorar su resiliencia frente a las APT y, así, ser capaces de mejorar las capacidades de detección, respuesta, contención y recuperación.

Tarlogic Security ofrece a las empresas e instituciones servicios de Red Team y Threat Hunting que aúnan capacidades de seguridad ofensiva y defensiva para ayudarlas a mejorar su resiliencia APT.

7.1. Servicios de Threat Hunting para diseñar oportunidades de mejora

El equipo de Threat Hunting de Tarlogic lleva a cabo una monitorización permanente de los principales grupos APT del mundo con el objetivo de analizar en profundidad las técnicas, tácticas y procedimientos (TTP) que emplean esta clase de actores hostiles.

Todo este conocimiento conforma una amplia base de datos que sirve para identificar y diseñar oportunidades de detección para hacer frente a las nuevas TTP empleadas por los grupos APT.

Mediante esta estrategia de Threat Hunting Proactivo, los profesionales de Tarlogic ayudan a las compañías a mejorar sus capacidades defensivas frente a las amenazas persistentes avanzadas.

Así, para conseguir optimizar la resiliencia frente a las TTP de los grupos APT, una organización debe ser capaz de responder afirmativamente a tres preguntas básicas:

• ¿Existe telemetría asociada a la TTP?
• ¿Se ha implantado un proceso eficaz para detectar la TTP y analizar si se trata de actividad maliciosa?
• ¿Es posible investigar un caso hasta encontrar la causa raíz del compromiso y evaluar el impacto causado por la APT?

7.2. Ejercicios de Red Team para optimizar las defensas

La solución que ofrece Tarlogic a las empresas para hacer frente a las amenazas persistentes avanzadas incluye, también, la prestación de servicios de Red Team para diseñar e implementar ejercicios de compromiso mediante APT.

Los profesionales de la compañía de ciberseguridad acuerdan con la empresa que ha contratado estos servicios el diseño del ejercicio de compromiso mediante APT: vectores de entrada, actividades de impacto… Durante su ejecución, el equipo de Tarlogic pondrá en marcha un ataque dirigido contra la organización de cara a:

• Acceder a la infraestructura IT.
• Infectar sistemas corporativos
• Realizar movimientos laterales y escalar privilegios.
• Controlar los activos comprometidos a lo largo del tiempo, asegurando persistencia en la infraestructura
• Realizar las actividades de impacto acordadas, que van desde el despliegue de ransomware hasta la exfiltración de información confidencial.

7.2.1. Beneficios

¿Cuáles son los beneficios de estos ejercicios de compromiso diseñados y ejecutados por un Red Team altamente cualificado y con una amplia experiencia a sus espaldas?

• Evaluar los riesgos de una APT para una organización y sus activos críticos.
• Analizar las capacidades de detección y respuesta de la organización ante las amenazas persistentes avanzadas.
• Determinar el nivel de madurez y resiliencia de las capacidades defensivas de la compañía.
• Establecer posibilidades de mejora de las capas defensivas para incrementar el nivel de resiliencia ante las APT.
• Transmitir todo el conocimiento generado a los equipos de Blue Team, Threat Hunting y SOC, facilitando su entrenamiento y engrasando su nivel de coordinación para responder con eficacia a las amenazas persistentes avanzadas.

En definitiva, las amenazas persistentes avanzadas y los grupos que las diseñan e implementan han adquirido una creciente relevancia económica y social en los últimos años. Estos ataques dirigidos y sofisticados desafían las capacidades defensivas de las empresas y las instituciones de todo el mundo.

Por eso, mejorar la resiliencia frente a las amenazas persistentes avanzadas se ha convertido en una prioridad para las organizaciones que desean estar preparadas para detectar, responder y mitigar estos ataques y sobrevivir a su impacto.

Al fin y al cabo, como escribió John le Carré en El topo: «¿Qué es supervivencia? Una infinita capacidad de sospecha».