A chamada APT (Ameaça Persistente Avançada) tem surgido como uma incógnita na cabeça de muitos gestores de TI, afinal, estamos acostumados a lidar com vírus normais e processos simples.

Essa mudança de postura na criação de ameaças cada vez mais elaboradas por parte dos cibercriminosos vem exigindo maior atenção e esforço para assegurar a segurança da informação dentro das empresas.

Pensando nisso, conversamos com Dario Caraponale, sócio e diretor-geral da Strong Security, para entender melhor o que são as APTs, como elas funcionam e de que maneira é possível se proteger dessas ameaças. O resultado desse bate-papo você confere abaixo. Boa leitura!

Ameaças Persistentes Avançadas (APTs)

Estamos acostumados a lidar com os vírus comuns, aqueles que infectam as máquinas durante a navegação na internet e podem ser pegos por qualquer bom antivírus.

Contudo, hackers e criminosos virtuais estão evoluindo suas técnicas, e um dos frutos dessa evolução é a APT. Podemos conceituar esse termo como um conjunto de processos complexos de ataque e ameaças direcionados.

Em muitos casos, os hackers inserem o código malicioso dentro de softwares e sistemas legítimos, como Microsoft Word e Excel, sendo que a ameaça só será executada junto ao software, o que dificulta sua identificação.

Dessa forma, apenas a execução do sistema em um ambiente de Sandbox, local seguro e contido, poderá garantir que não existe nenhum tipo de gatilho ou ameaça embutida no programa.

Esses pacotes são tão bem elaborados que podem mudar seu comportamento para evitar sua identificação, mascarando-se durante o processo de download.

O Slingshot, identificado em 2018 pela Kaspersky (companhia de segurança da informação), é um exemplo claro de APT. Ele conseguiu se manter ativo durante 6 anos em roteadores e computadores antes de ser descoberto.

Objetivo da APT

Diferentemente de vírus comuns, lançados a esmo na web, uma APT é algo mais elaborado e específico, criado com o objetivo de atacar determinadas empresas e tecnologias e manter um acesso constante às informações sensíveis dessas organizações.

Um vírus comum pode roubar dados uma vez, ou danificar o sistema operacional de uma máquina para que ela deixe de funcionar, porém uma APT tem como objetivo principal a espionagem.

No caso de ameaças embutidas em softwares, elas podem coletar informação e enviá-la aos cibercriminosos sempre que o software estiver em execução, de forma ininterrupta, já que é muito difícil identificá-las.

Em outras palavras, é como se o atacante tivesse um passe livre para seus dados a qualquer momento, sem que você perceba o que está acontecendo, mesmo com a utilização de práticas de segurança da informação como firewalls e antivírus. Ele entra e sai a hora que quiser.

Estágios da APT

Como dito, diferentemente de um vírus comum, a APT é totalmente direcionada para uma vítima determinada e, por conta disso, os cibercriminosos devem realizar alguns estágios até alcançar o seu objetivo.

Primeiramente, o código também não é genérico e leva em conta as tecnologias utilizadas pela vítima, sendo que esse tipo de ataque não é realizado por amadores, mas sim por programadores habilidosos.

O ciclo de vida e os estágios presentes na criação de uma APT são mais longos do que na realização de outros tipos de ataques. São eles:

  1. definição do alvo ─ o primeiro ponto é determinar o alvo a ser atacado e quais são os objetivos a serem cumpridos e as informações a serem capturadas;

  2. organização da equipe ─ por ser algo mais complexo, costuma envolver mais de um atacante, exigindo várias habilidades diferentes;

  3. aquisição de ferramentas ─ determinação de quais ferramentas serão utilizadas para a criação da ameaça;

  4. pesquisa acerca do alvo ─ levantamento de todas as tecnologias utilizadas pelo alvo, hardware e software;

  5. teste de detecção ─ tentativas de envio de várias versões de ameaça para verificar a capacidade de detecção;

  6. implantação ─ instalação do pacote completo da ameaça;

  7. captura de dados ─ envio de todas as informações sensíveis encontradas ao vasculhar os sistemas;

  8. cobertura de rastros ─ para se manter incógnito na rede, é preciso apagar logs de acesso e outros pontos considerados como rastros e identificáveis, prolongando a ação da APT.

Danos que a APT causa

Na maioria dos ataques comuns, o criminoso apenas lança vírus na rede, captura informações e avalia se pode obter algum tipo de vantagem sobre isso, tudo de forma muito aleatória.

Quando falamos em APT, estamos lidando com algo novo e totalmente direcionado. Muitas ameaças são desenvolvidas levando em consideração o stack tecnológico utilizado em uma empresa alvo, ou seja, os danos podem ser muito maiores do que quando se trata de uma ameaça genérica, pois temos a certeza de que os cibercriminosos sabem exatamente o que estão procurando e onde olhar para encontrar.

Por exemplo, imagine que sua empresa esteja desenvolvendo uma nova tecnologia, e todos os dados de pesquisa estejam a salvo em seus servidores. Para isso, muitos recursos foram gastos e pode ser que anos de pesquisa tenham sido necessários.

Por meio de um ataque de APT, os criminosos podem roubar essas informações valiosas e vender esses dados para seus concorrentes, gerando um alto prejuízo financeiro e comercial para sua empresa.

Outro risco é a chantagem, sendo que os hackers podem realizar ameaças de divulgação de dados sensíveis de sua organização que podem prejudicar sua atuação no mercado de alguma forma.

O simples fato da exposição de dados sigilosos de sua organização ao conhecimento geral já pode trazer diversas implicações ao seu negócio, tais como:

Medidas de proteção

Assim como as ameaças evoluem, as formas de proteção também ficam mais apuradas e novas tecnologias surgem em um esforço para evitar ataques e perdas de dados.

No caso da APT, existem algumas precauções que podem ser tomadas com o intuito de testar e garantir que softwares e sistemas fiquem livres de ameaças antes de sua execução.

Uma delas é a utilização de uma Sandbox, um ambiente seguro e que virtualiza a infraestrutura de sua empresa, sendo que se pode primeiro realizar a instalação de sistemas nesse local para verificar sua segurança antes de migrar para o ambiente real.

Existem também antivírus que realizam a proteção na borda da empresa ou avaliam softwares antes de sua execução, evitando que atuações atípicas, que se caracterizam como APT, venham a ocorrer.

As Ameaças Persistentes Avançadas estão em constante evolução e, assim como os vírus mais comuns, tendem a se popularizar na rede nos próximos anos. Portanto, já estar preparado para essa situação passa a ser fundamental.

Não deixe de assinar nossa newsletter e ficar por dentro dos principais assuntos do mundo da segurança da informação!