Una amenaza persistente avanzada, también conocida por sus siglas en inglés, APT (por Advanced Persistent Threat), es un conjunto de procesos informáticos sigilosos orquestados por un tercero (organización, grupo delictivo, una empresa, un estado,...) con la intención y la capacidad de atacar de forma avanzada (a través de múltiples vectores de ataque) y continuada en el tiempo, un objetivo determinado (empresa competidora, estado,...). Este malware es instalado usando exploits que aprovechan vulnerabilidades de la máquina objetivo. Para realizar la infección es habitual aprovechar vulnerabilidades de día cero y/o ataques de abrevadero
Desde la terminología militar podría decir que las APT están basadas en capacidades SIGINT en las que la adquisición es activa mediante ataque al objetivo (capacidades CNA de CNO) para modificar el comportamiento y funcionalidad para que proporcione los datos que queremos adquirir. Por ejemplo podríamos instalar malware o elementos hardware (implantes).
Las APT se caracterizan por:
Una APT puede tener diferentes objetivos:
En una amenaza persistente avanzada es habitual que varios servidores externos a la red comprometida, colaboren para la consecuención del objetivo. Lo más frecuente es que estos servidores sean a su vez servidores comprometidos que la APT usa sin el conocimiento de sus propietarios. Ejemplos de servidores que es frecuente que intervenga a una APT son:
Para dificultar la localización del origen del ataque, los servidores se suelen establecer en cadenas de N saltos con un número N elevado. Por ejemplo, una cadena de servidores de exfiltración donde el primer servidor de la cadena obtiene la información desde el malware y se la pasa al segundo servidor de la cadena. El segundo de la cadena se la pasa al siguiente y así sucesivamente. A veces en lugar de usar una cadena se usa una botnets (redes de equipos zombis controlados por un atacante y que le permiten automáticamente transferir información robada por medio mundo hasta llegar a su destino real).
Escribe un comentario o lo que quieras sobre Amenaza persistente avanzada (directo, no tienes que registrarte)
Comentarios
(de más nuevos a más antiguos)