O que é uma ameaça persistente avançada (APT)?

Se há algo que tira o sono dos profissionais de cibersegurança corporativa, é a possibilidade de um ataque que utiliza as diversas técnicas sofisticadas projetadas para roubar as informações valiosas da empresa.

Como o nome "avançado" sugere, um ataque persistente avançado (APT) usa técnicas de invasão contínuas, clandestinas e sofisticadas para obter acesso a um sistema e permanecer dentro dele por um período prolongado, com consequências potencialmente destrutivas.

Os principais alvos

Devido ao nível de trabalho necessário para realizar esses ataques, as APTs geralmente são direcionadas a alvos de grande valor, como países e grandes corporações, com o objetivo final de roubar informações durante um longo período, em vez de simplesmente adentrar e sair rapidamente, como muitos hackers mal-intencionados fazem durante ataques cibernéticos de nível inferior.

A APT é um método de ataque no qual todas as corporações devem ficar de olho. E isso não significa que empresas de pequeno e médio porte podem ignorar esse tipo de ataque.

Cada vez mais, os invasores que usam APTs visam empresas de pequeno porte que compõem a rede de fornecedores das grandes organizações como uma forma de ter acesso a elas. Eles usam essas empresas, que costumam ser mais vulneráveis, como porta de entrada.

A evolução de um ataque

A finalidade de um ataque de APT é obter acesso permanente ao sistema. Os hackers conseguem isso através de uma série de etapas.

Primeira etapa: obter acesso

Assim como um ladrão tenta abrir uma porta com um pé de cabra, em geral, os criminosos virtuais tentam entrar através de uma rede, um arquivo infectado, lixo eletrônico ou um aplicativo vulnerável para inserir malwares na rede visada.

Segunda etapa: estabelecer um ponto fixo

Os criminosos cibernéticos implantam malwares que permitem a criação de uma rede de backdoors e túneis usados para se deslocarem nos sistemas sem serem detectados. Frequentemente, o malware emprega técnicas como reescrever códigos para ajudar os hackers a encobrir seus rastros.

Terceira etapa: aprofundar o acesso

Uma vez infiltrados, os hackers usam técnicas como a quebra de senhas para obter acesso com direitos de administrador de maneira a ter mais controle sobre o sistema e obter níveis de acesso ainda mais elevados.

Quarta etapa: mover-se lateralmente

Quanto mais infiltrados no sistema com os direitos de administrador, mais os hackers podem agir à vontade. Eles também podem tentar acessar outros servidores e outras partes protegidas da rede.

Quinta etapa: observar, descobrir e esconder-se

De dentro do sistema, os hackers obtêm uma compreensão global de como ele funciona e de suas vulnerabilidades, permitindo que coletem informações à vontade.

Os hackers podem tentar manter esse processo em execução, possivelmente indefinidamente, ou abortá-lo assim que atingirem uma meta específica. Eles costumam deixar uma porta aberta para acessar o sistema novamente no futuro.

O fator humano

Como as defesas virtuais corporativas tendem a ser mais sofisticadas do que as de um usuário particular, os métodos de ataque muitas vezes exigem o envolvimento ativo de alguém infiltrado para alcançar esse momento de "adentrar" crucial e importante. Isso não significa, no entanto, que o funcionário participe conscientemente do ataque. Normalmente, isso envolve a implementação de uma série de técnicas de engenharia social, como “whaling” ou “spear phishing”, por um invasor.

Uma ameaça persistente

O principal perigo de ataques de APTs é que, mesmo quando eles são descobertos e a ameaça imediata parece ter sido controlada, os hackers podem ter deixado várias brechas abertas que lhes permitem retornar quando quiserem. Além disso, muitas defesas cibernéticas tradicionais, como antivírus e firewalls, nem sempre conseguem proteger contra esses tipos de ataques.

Uma combinação de várias medidas, que vão desde soluções de segurança sofisticadas, como o Kaspersky Enterprise Security, até uma força de trabalho treinada e ciente das técnicas de engenharia social, deve ser implantada para maximizar as chances de uma defesa contínua eficiente.