Este artigo é uma tradução livre do trabalho de Richard Bejtlich1. O propósito é definir o termo APT, desfazer alguns mitos e esclarecer o que você pode fazer para combater esta ameaça.

O termo Advanced Persistent Threat (APT), que em português significa Ameaça Persistente Avançada, começou a fazer parte do vocabulário dos profissionais de segurança da informação em meados de janeiro de 2010, quando o Google anunciou que a sua propriedade intelectual havia sido vítima de um ataque direcionado originário da China2. O Google não estava sozinho: mais de 30 outras empresas de tecnologia e grandes empresas haviam sido invadidas por hackers que usaram métodos de engenharia social, malwares direcionados e tecnologias de monitoramento para acessar silenciosamente dados corporativos sensíveis.

A admissão pública do Google3 colocou em relevo o alcance dos ataques direcionados quando o objetivo é ter acesso a dados de propriedade intelectual de empresas e a informações militares. Deu-se início, também, a uma série de ações de marketing de fornecedores de produtos de segurança que prometiam combater as APTs. Promessas que, muitas vezes, criam dúvidas nebulosas para os gestores de segurança.

O que é Advanced Persistent Threat?

A Força Aérea dos Estados Unidos (USAF) cunhou a frase advanced persistent threat em 2006 como forma de facilitar a discussão de atividades de intrusão com as contrapartes. O Departamento de Defesa e membros da comunidade de inteligência normalmente atribuem nomes confidenciais para atores de ameaças específicas e usam o termo intrusão para descrever as atividades desses atores. Se a USAF quisesse falar com pessoas não qualificadas sobre uma determinada intrusão, não seria permitido usar o nome do autor. Assim, com o termo APT as equipes militares poderiam discutir as características do ataque sem revelar a sua identidade.

É crucial para esta discussão reconhecer que o APT é um nome próprio. APT refere-se a agentes de ameaças específicas. APT não se refere a forças desconhecidas e sombrias da Internet. O termo é mais frequentemente usado para se referir a diferentes grupos que operam em regiões da Ásia-Pacífico. Aqueles mais bem informados sobre as atividades APT podem realizar um debate honesto sobre se o termo deve ser usado para referir-se exclusivamente a determinados agentes da Ásia-Pacífico ou se pode ser expandido como uma classificação geral. Em outras palavras, se adversários da Europa Oriental utilizam as mesmas ferramentas, táticas e procedimentos como APT tradicional, deveriam ser classificados também como APT?

A resposta a esta questão dependerá da pessoa que fizer o questionamento. Um profissional de segurança da informação de uma organização privada normalmente não quer saber se os agentes que atacam a empresa se originam das regiões da Europa Oriental ou da Ásia-Pacífico. O profissional, independente de onde venha o ataque ou da nacionalidade do agente, provavelmente irá tomar as mesmas medidas defensivas.

No entanto, alguém com autoridade jurídica e/ou de segurança nacional com credenciais para aplicar pressão diplomática, inteligência, militar ou econômica (DIME) certamente se interessará em identificar a origem de um ataque. Como este artigo está destinado aos profissionais de segurança da informação, não é necessário responder à questão “quem” definitivamente. No entanto, aqueles que têm elementos de poder DIME devem tomar as declarações dadas pelo Google e outras vítimas a sério.

Quer ser um especialista no assunto? Conheça os cursos preparatórios para certificações em segurança da informação

A maioria dos que combatem ativamente as APT descreve o adversário no seguinte forma:

  • Avançada significa que o inimigo pode operar amplamente o computador invadido. Eles podem usar o mais trivial e manjado modo de explorar vulnerabilidades já conhecidas ou podem elevar o jogo a um patamar em que serão pesquisadas novas vulnerabilidades e desenvolvidos exploits personalizados, dependendo do alvo.
  • Persistente significa que o inimigo é formalmente recrutado para realizar uma missão. Eles não são invasores oportunistas ou casuais. Como uma unidade de inteligência, recebem instruções e trabalham para cumprir ordens dos seus chefes. Persistente não significa que precisam executar constantemente códigos maliciosos nos computadores das vítimas. Devem apenas manter o nível de interação necessária para atingir os seus objetivos.
  • Ameaça significa que o inimigo não é um pedaço de código inofensivo. O adversário é uma ameaça porque é organizado, financiado e motivado. Algumas pessoas falam de vários “grupos” que consistem em “equipes” dedicadas com várias missões.

Em resumo, a APT realiza operações digitais ofensivas (chamadas de operações de rede de computadores ou, talvez, exploração de rede de computadores) para apoiar vários objetivos relacionados com o Estado patrocinador. APT é caracterizada pela dedicação em manter algum grau de controle na infraestrutura informática de um alvo, atuando persistentemente para preservar ou reconquistar o controle e acesso. Agentes da contra inteligência e analistas militares utilizam o termo “agressivo” para enfatizar o grau que as APTs perseguem estes objetivos contra uma variedade de alvos governamentais, militares e particulares.

Por que a Ameaça Persistente Avançada é mal compreendida?

A partir de janeiro, e atingindo o pico máximo em fevereiro e março de 2011, muitos membros da comunidade de segurança digital concentraram sua atenção nas APTs. Infelizmente, alguns dos que falavam sobre o problema rapidamente encontraram-se ecoando declarações e pesquisas questionáveis, oferecidas por partes que não estavam familiarizados com as APTs. Vários fatores contribuíram para uma sensação de confusão geral, com algumas das vozes mais confiáveis competindo com partes caberiam melhor numa posição secundária.

Vários fatores causaram este fenômeno:

  • Além da declaração pública do Google, e de subsequentes relatórios de segunda mão sobre empresas do mesmo setor afetadas, poucos dados originais foram disponibilizados. Sem informações detalhadas para a discussão, a comunidade de segurança ouviu qualquer pessoa disposta a falar sobre o incidente. Em muitos casos, os alto-falantes acabaram por ser vendedores que viram nas APTs pelo ângulo do marketing como uma forma de reavivar os investimentos em segurança. A RSA Conference 2010 contou com a participação de muitas empresas vendendo produtos contra ataques APT, na esperança de capitalizar sobre um tema muito quente na época4.
  • A McAfee relatou que estava analisando um malware associado com o incidente da Google, atribuindo ao caso, de forma independente, o nome “Aurora”, com base na presença da palavra-chave “Aurora”, incorporada no código do malware. No final de março, a McAfee culpou “a névoa da guerra” pelo engano em ter confundindo uma botnet vietnamita com o malware responsável pelo incidente na Google. Infelizmente, por ter feito tal associação, a McAfee acabou por direcionar os esforços de muitos pesquisadores de segurança ao código que provavelmente não tinham nada a ver com o incidente Google 5.
  • Muitos analistas se focam de forma restrita sobre alguns elementos de um incidente de segurança, negligenciando a natureza real do evento. Por exemplo, empresas especializadas em pesquisar botnets supuseram que botnets estavam envolvidas no incidente com a Google, reduzindo o evento nesses termos. Outros, que se concentram em identificar vulnerabilidades, concentraram-se em uma falha no Internet Explorer (corrigida pelo MS10-002)6, provavelmente, explorada por intrusos para obter acesso aos recursos do Google. Infelizmente, botnets, vulnerabilidades, exploits e malware são apenas elementos incidentais de uma APT – e não elementos centrais.

APT é uma novidade?

Quando o ataque ao Google se tornou público, muitas pessoas se perguntaram se uma ameaça persistente avançada seria uma novidade. A resposta a esta questão depende da perspectiva de análise, além de alguns conhecimentos históricos. Como mencionado anteriormente, o termo APT tem aproximadamente 4 anos de idade. Ele começou a fazer parte do vocabulário dos profissionais de segurança da informação no início de 2010. O termo ganhou força depois da ousada proclamação do Google7. No entanto, empresas de consultoria, especialmente a Mandiant, realizavam webcasts e apresentações públicas usando o termo APT, desde 2008.

Antes da invenção em 2016 do termo APT, notícias de intrusos chineses atacando organizações militares e governamentais criaram o rótulo “Titan Rain”. Por exemplo, a Revista Time, em 2015, publicou um artigo assinado por Nathan Thornburgh intitulado “A Invasão dos ciberespiões chineses” 8 descrevendo as batalhas travadas por Shawn Carpenter, para defender a Sandia National Laboratories. Essa história mencionou a experiência de Carpenter com intrusos semelhantes que remonta ao final de 2003. Mesmo em 1998, quando eu servia como um capitão do Computer Emergency Aerea Force Response Team, encontramos adversários que muitos rotulariam como sendo APT.

Alguns até poderiam argumentar que a APT não seja novidade. Na medida em que a espionagem é tão antiga quanto a própria guerra, a alegação de que uma atividade seja uma APT é apenas uma outra forma de espionagem, e não um novo meio, tendo em vista que histórias de espionagem informática datam da década de 80, a partir do trabalho de Cliff Stoll 9.

Defendo que APT seja algo novo, se quem faz a pergunta é capaz de superar o limitado pensamento binário. Considerando a atividade APT em termos de agressor, defensor, meio, motivo e oportunidade, a ameaça persistente avançada é evidentemente nova. Pontos para o lado “velho” incluem a identidade do ofensor (estados-nação) e o motivo (espionagem). Pontos para o “novo” campo de make um argumento mais forte:

Defensor: divido os alvos APT em quatro fases:

  1. Final de 1990 – vítimas militares;
  2. 2000-2004 – vítimas governamentais não militares;
  3. 2005-2009 – Industria de Defesa;
  4. 2009-presente – propriedade intelectual e empresas de software. (Infelizmente, há exemplos claros de vítimas anteriores, mas essas datas cobrem os casos mais conhecidos.) O ataque realizado durante as fases 3 e 4 não tem precedentes, o que significa que as novas classes de defensores devem proteger-se de agressores interessados em alvos militares.

Meios: muitos críticos se concentram no malware, ignorando a impressionante gestão e administração das diversas tentativas para ganhar ou preservar o acesso nas organizações alvo. Incidentes APT não acontecem de uma hora para outra.

Oportunidade: a explosão de conectividade com a Internet na última década e a extrema distribuição de dados sensíveis para os endpoints fornecem opções de baixo custo e risco para que os intrusos acessem remotamente os seus alvos, diferente do que ocorre com a espionagem baseada na presença física.

Sendo ponderado, eu argumento que a ameaça persistente avançada é algo novo, pelo menos quando considerada a partir da perspectiva de alvos não-militares, lembrando-se que a fase 3 da atividade APT começou em 2003 e tornou-se um problema significativo em 2005.

O que devemos fazer para se defender de ataques APT?

A maior parte deste artigo tem-se centrado na descrição da APT e sua história, pois o combate a este adversário não requer simplesmente uma solução técnica. A arma mais eficaz é um bem treinado e informado analista de segurança da informação. Muitos fornecedores de segurança adotaram APT em seu material de marketing. Alguns oferecem-se para vasculhar a rede em busca de uma APT instalada. Outros têm registrado domínios com nomes de APT para terem destaques em mecanismos de busca.

Quer ser um especialista no assunto? Conheça os cursos preparatórios para certificações em segurança da informação

Ferramentas são sempre úteis para auxiliar, mas o melhor conselho que posso dar é o seguinte: conscientizem os líderes nas empresas sobre a ameaça para apoiarem programas de segurança conduzidos por pessoal competente e informado.

E como posso saber se sou um alvo de uma APT? Contate a autoridade policial local. Um das melhores formas de mudar a maneira de pensar e conscientizar os líderes empresariais sobre tal ameaça é solicitar visitas do FBI e especialistas militares ou especialistas em contra-informação. Será difícil negar uma falha de segurança se representantes de uma agência de segurança nacional revelarem excertos de dados proprietários ou de propriedade intelectual e perguntarem “esses dados pertencem a vocês?”

Se você ainda não tiver envolvido líderes de sua organização em uma conversa sobre como combater APT, solicitar instruções para o escritório local do FBI é uma excelente maneira de promover atenção.

Em um nível técnico, a construção de visibilidade para uma organização irá propiciar uma consciência da situação que permitirá descobrir e frustrar atividades ATP. Sem informações sobre a rede, hosts, logs e outras fontes, mesmo os mai qualificado analista é impotente. Felizmente, a obtenção dessas informações não representa um desafio e a maioria das lojas que vendem produtos de segurança da informação já oferecem softwares que realizam tais tarefas. O objetivo de operações contra ataques ATP deve ser o de tornar a atividade dos criminosos que visam furtar a propriedade intelectual a mais difícil possível; “Aumentando o custo por megabyte”, para citar Tony Sager da NSA.

Alguns livros do autor (Richard Bejtlich) encontrados na Amazon:

The Tao of Network Security Monitoring: Beyond Intrusion Detection

The Practice of Network Security Monitoring: Understanding Incident Detection and Response

Extrusion Detection: Security Monitoring for Internal Intrusions


Quero ser a prova de hackers

Referências

  1. http://www.academia.edu/6842130/What_APT_Is
  2. http://googleblog.blogspot.com/2010/01/new-approach-to-china.html
  3. http://searchsecurity.techtarget.com/news/1378755/Chinese-hacker-attacks-target-Google-Gmail-accounts-top-tech-firms
  4. http://searchsecurity.techtarget.com/feature/RSA-security-conference-2010-news-interviews-and-updates
  5. http://searchsecurity.techtarget.com/tip/Operation-Aurora-Tips-for-thwarting-zero-day-attacks-unknown-malware
  6. http://www.microsoft.com/technet/security/bulletin/ms10-002.mspx
  7. http://searchsecurity.techtarget.com/magazineContent/Leverage-Google-Attacks-to-Improve-Cybersecurity
  8. http://content.time.com/time/magazine/article/0,9171,1098961,00.html
  9. Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage, by Cliff Stoll
ASSINE NOSSO BOLETIM
Concordo em informar meus dados pessoais para recebimento da newsletter.
Junte-se a mais de 8.000 visitantes que estão recebendo nossa newsletter sobre cibersegurança.
Seu endereço de email não será vendido ou compartilhado com mais ninguém.