No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Grupos Criminales : APT

3/18
Recursos

Aportes 12

Preguntas 1

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

Recomiendo que vean el Documental de ex-agente de la CIA y la NSA Sduar Snowden

Los APT Han evolucionado a verdaderas bandas organizadas el ejemplo mas claro es el de los creadores del Ransomwere Anatova descubierto en 2018 y cuya característica mas novedosa fuera de encriptar las unidades de red fue que permitía presentar cartas personalizadas acorde a cada víctima, de supuesto origen Ruso pues si detecta la distribución del teclado corresponde a este país NO SE EJECUTA interesante verdad?

Aquí podemos tener más sobre los grupos APT: https://attack.mitre.org/groups/

Para hablar de algo reciente, quisiera traer el caso de SEDENA y grupo Guacamaya. En definitiva esta operación de robo de información clasificada fue persistente por muchísimo tiempo antes de que saliera a la luz pública.

Stuxnet: ejemplo de malware diseñado para espiar y subvertir los sistemas de procesos industriales. Desarrollado en el 2005, Stuxnet no afecta a los ordenadores que no participan en el enriquecimiento de uranio; su objetivo es alterar la programación de los controladores lógicos programables (PLC) que controlan la maquinaria industrial para no funcionen de manera adecuada, según varios investigadores fue creado por agencias de inteligencia de Estados Unidos e Israel para atacar las instalaciones nucleares de Irán.

Una vez me tocó lidiar con blackcat. Es un RaaS (Ransomware As a Service). Se dice que es un derivado de REvil.

Encontré un articulo muy interesante sobre apt y ciberataques posibles desde drones y como podrían distribuir memorias usb contagiadas

https://www.eltiempo.com/tecnosfera/novedades-tecnologia/hackeo-con-drones-y-ataques-satelitales-nuevas-amenazas-ciberneticas-717726

APT (Advanced Persistent Threat) es un término utilizado en el ámbito de la seguridad informática para describir una forma sofisticada de ataque cibernético. Los APT son ataques prolongados y dirigidos, llevados a cabo por actores malintencionados altamente capacitados y persistentes, como grupos de hackers respaldados por gobiernos o organizaciones criminales.
_
Los ataques APT se caracterizan por su enfoque en objetivos específicos, generalmente organizaciones o entidades de alto valor, como gobiernos, instituciones financieras, empresas de tecnología o industrias estratégicas. Estos ataques se planifican y ejecutan a largo plazo, con el objetivo de mantenerse ocultos en la red de la víctima durante un período prolongado de tiempo.
_
Las características principales de los ataques APT son:
_
Sigilo: Los atacantes APT intentan pasar desapercibidos y ocultar su presencia en la red de la víctima. Utilizan técnicas avanzadas de evasión y métodos de ocultamiento para evitar la detección por parte de los sistemas de seguridad.
_
Persistencia: Los ataques APT buscan mantener el acceso no autorizado a la red de la víctima durante un tiempo prolongado, a menudo meses o incluso años. Los atacantes se adaptan y evolucionan constantemente para evitar ser descubiertos.

Objetivo específico: Los ataques APT tienen un objetivo claro y bien definido. Los atacantes seleccionan cuidadosamente a sus víctimas en función del valor de la información o los recursos que desean obtener.

Recursos y habilidades avanzadas: Los atacantes APT suelen ser altamente capacitados, respaldados por recursos financieros y tecnológicos significativos. Utilizan técnicas sofisticadas, como el desarrollo de malware personalizado, la ingeniería social y la explotación de vulnerabilidades de día cero.

Espionaje y robo de datos: Los ataques APT se centran en la obtención de información confidencial, como secretos comerciales, propiedad intelectual, datos gubernamentales o información estratégica. Los atacantes pueden llevar a cabo espionaje cibernético o robo de datos para obtener ventajas económicas, políticas o militares.

Para protegerse de los ataques APT, las organizaciones deben implementar medidas de seguridad sólidas, como firewalls, sistemas de detección y prevención de intrusiones, monitoreo de seguridad continuo, autenticación multifactor, cifrado de datos y conciencia de seguridad entre los empleados. Además, mantener el software actualizado y aplicar parches de seguridad es esencial para mitigar las vulnerabilidades que los atacantes podrían aprovechar.

Fuente: ChatGPT.

Los grupos de Amenaza Persistente Avanzada (APT, por sus siglas en inglés Advanced Persistent Threat) se distinguen por su capacidad para ejecutar campañas de ciberataques sofisticadas, persistentes y dirigidas, generalmente con el objetivo de espiar, robar información o desestabilizar organizaciones específicas, gobiernos o infraestructuras críticas. Estos actores suelen estar respaldados o directamente asociados con estados-nación, lo que les proporciona recursos sustanciales, acceso a herramientas avanzadas de ciberespionaje y la capacidad para operar de manera encubierta durante largos períodos. ### Características de los APT Los grupos APT tienen varias características distintivas que los diferencian de otros tipos de ciberdelincuentes o hackers: 1. **Objetivos Específicos:** Se enfocan en entidades específicas, como organizaciones gubernamentales, militares, industriales o de investigación, buscando acceso a información sensible o sistemas críticos. 2. **Larga Duración:** Sus campañas pueden durar meses o años, durante los cuales mantienen una presencia sigilosa en la red objetivo para asegurar un acceso continuo a la información o sistemas de interés. 3. **Recursos Sustanciales:** Tienen acceso a una amplia gama de recursos, incluyendo herramientas de hacking avanzadas, vulnerabilidades de día cero (previamente desconocidas) y capacidades técnicas sofisticadas, lo que les permite desarrollar malware personalizado y técnicas de evasión altamente efectivas. 4. **Técnicas Avanzadas:** Utilizan una variedad de técnicas avanzadas para infiltrarse y mantenerse dentro de las redes objetivo, como spear phishing, explotación de vulnerabilidades, uso de malware multifacético, y técnicas de movimiento lateral para explorar la red y acceder a sistemas críticos. 5. **Encubrimiento y Persistencia:** Emplean métodos de encubrimiento para evitar la detección por parte de las herramientas de seguridad informática, adaptándose continuamente para mantener su presencia en la red infectada. ### Ejemplos de APT Algunos de los grupos APT más conocidos incluyen: * **APT28 (Fancy Bear):** Asociado con el gobierno ruso, conocido por ataques contra organizaciones gubernamentales, militares y medios de comunicación en diferentes países. * **APT29 (Cozy Bear):** Otro grupo vinculado a Rusia, implicado en operaciones de espionaje cibernético contra gobiernos extranjeros, organizaciones políticas y centros de investigación. * **APT1 (Comment Crew):** Vinculado al Ejército Popular de Liberación de China, enfocado en el robo de propiedad intelectual y datos de organizaciones en industrias clave para los intereses chinos. ### Contramedidas La defensa contra APT requiere un enfoque de seguridad en capas, incluyendo la detección temprana a través de sistemas de prevención de intrusiones (IPS), análisis de tráfico de red, segmentación de redes para limitar el movimiento lateral, actualizaciones regulares de software, y entrenamiento de concienciación en ciberseguridad para los empleados. Además, las organizaciones deben implementar políticas de respuesta a incidentes y recuperación de desastres para mitigar el impacto de una brecha de seguridad y restaurar rápidamente las operaciones normales. La lucha contra las APT también implica una colaboración intensiva entre organizaciones, compartiendo inteligencia sobre amenazas, tácticas, técnicas y procedimientos (TTP) de los atacantes, y empleando análisis forense avanzado para entender los ataques y mejorar las defensas. La criptografía avanzada y el análisis matemático desempeñan roles clave en la protección de la comunicación y los datos, mientras que la inteligencia artificial y el aprendizaje automático están emergiendo como herramientas críticas para la detección automática de anomalías y comportamientos maliciosos que pueden indicar la presencia de APTs.

El propósito global de un ataque de APT es obtener acceso continuo al sistema. Los hackers lo logran en una serie de etapas.
Etapa 1: obtener acceso

Al igual que un ladrón fuerza una puerta con una palanqueta, para insertar malware en una red objetivo, los cibercriminales suelen obtener acceso a través de una red, un archivo infectado, el correo electrónico basura o la vulnerabilidad de una aplicación.
Etapa 2: infiltrarse

Los cibercriminales implantan malware que permite crear una red de puertas traseras y túneles utilizados para desplazarse por los sistemas de manera desapercibida. A menudo, el malware emplea técnicas como reescribir el código para ayudar a los hackers a ocultar sus rastros.
Etapa 3: intensificar el acceso

Una vez dentro, los hackers utilizan técnicas como el quebrantamiento de contraseñas para acceder a los derechos de administrador, aumentar el control sobre el sistema y obtener mayores niveles de acceso.
Etapa 4: desplazamiento horizontal

Con un mayor nivel de incursión dentro del sistema gracias a los derechos de administrador, los hackers pueden moverse por este a voluntad. También pueden intentar acceder a otros servidores y a otras partes seguras de la red.
Etapa 5: mirar, aprender y permanecer

Desde el interior del sistema, los hackers obtienen una completa comprensión de su funcionamiento y sus vulnerabilidades, lo que les permite hacer uso de la información que desean.

Los hackers pueden intentar mantener este proceso en funcionamiento, posiblemente de manera indefinida, o retirarse después de cumplir un objetivo específico. A menudo, dejan una puerta abierta para acceder al sistema de nuevo en el futuro.
El factor humano

Debido a que la ciberseguridad corporativa tiende a ser más avanzada que la de los usuarios particulares, los métodos de ataque a menudo requieren la participación activa de alguien en el interior para lograr el momento crucial e importantísimo de la “palanqueta”. Sin embargo, esto no significa que el personal participe a sabiendas en el ataque. Por lo general, esto implica un atacante que despliega una amplia gama de técnicas de ingeniería social, como el “whaling” o el “spear phishing”.

Hola Quetzali, Me encanta la forma como presentas el material, bastante agradable de comprender y abrir más la curiosidad. Muchas gracias! Recomiendo los libros de Kevin Mitnick, “Ghost in the wires”, el mejor hacker del mundo, QEPD.
El propósito global de un ataque de APT es obtener acceso continuo al sistema. Los hackers lo logran en una serie de etapas. <https://latam.kaspersky.com/resource-center/definitions/advanced-persistent-threats>