Os arquivos avançados de ameaças persistentes: APT10

Ouvimos muito sobre Ameaças Persistentes Avançadas (APTs, Advanced Persistent Threats) nos últimos anos. Como uma atualização, os APTs são prolongados, direcionam ataques a alvos específicos com a intenção de comprometer seus sistemas e obter informações de ou sobre esse alvo. Embora os alvos possam ser qualquer pessoa ou qualquer coisa – uma pessoa, empresa ou outra organização – os APTs são frequentemente associados a operações governamentais ou militares, já que tendem a ser as organizações com os recursos necessários para conduzir tal ataque. Começando com o relatório APT1 da Mandiant em 2013, houve um fluxo contínuo de exposição de hackers em escala nacional.

As empresas de segurança cibernética ficaram relativamente boas em observar e analisar as ferramentas e táticas dos agentes de ameaça do estado-nação; eles são menos bons em colocar essas ações em contexto suficiente para que os defensores façam avaliações de risco sólidas. Então, vamos dar uma olhada em alguns grupos APT de uma perspectiva mais ampla e ver como eles se encaixam no cenário de ameaças maior.

Hoje, estamos começando com o APT10. (Nota: Esses grupos têm uma panóplia de nomes diferentes, mas, para simplificar, vamos emprestar as convenções de nomenclatura da Mandiant para grupos chineses.)

Quem é o APT10?

Observado pela primeira vez em 2009, o APT10 é mais comumente atribuído através de pesquisa de código aberto ao Ministério da Segurança do Estado  (MSS) da China . Os ataques de MSS são tipicamente, mas não limitados a: alvos de inteligência em torno de negociações comerciais, pesquisa e desenvolvimento em concorrência com entidades comerciais chinesas e alvos de inteligência contrária de alto valor no exterior. Como exemplo de uma negociação comercial, a Fidelis Security observou em fevereiro de 2017 um ataque de watering hole direcionado a membros do National Foreign Trade Council, um grupo de lobby comercial dos EUA.

Uma ferramenta comumente usada do APT10 é o Scanbox, que é uma forma de malware que pode oferecer insights sobre suas prioridades de segmentação. O Scanbox foi observado em diversos alvos do setor industrial nos EUA e no Japão, mas também em dissidentes Uighur no exterior . Embora isso apóie a tese de que o APT10 é um grupo de ameaças do governo, advertimos os defensores contra a associação de qualquer malware exclusivamente a um grupo. Os países mantêm vários grupos de ameaças, os quais são totalmente capazes de colaborar e compartilhar TTPs.

Malware comumente implantado

O APT10 é conhecido por implantar o seguinte malware:

Nota: Variantes do PlugX e do Poison Ivy foram desenvolvidas e implementadas por atores chineses patrocinados pelo estado. Desde então, eles foram vendidos e revendidos para agentes de ameaças individuais em várias nações. No momento da redação, é inadequado atribuir um ataque a agentes de ameaça chineses com base apenas na implantação do PlugX ou do Poison Ivy.

Você deveria estar preocupado?

Isso depende do tipo de organização que você executa. O APT10 tem sido mais comumente voltado para as áreas de construção, engenharia, aeroespacial e telecomunicações regionais, bem como para as metas tradicionais do governo. Se a sua empresa existe fora dessas verticais, é improvável que o APT10 gaste o tempo e os recursos para segmentá-lo. Para empresas fora do perfil de segmentação, é muito mais econômico gastar orçamentos de defesa em vulnerabilidades comuns que são mais aproveitadas por invasores comuns.

O que eles podem fazer a seguir?

Como a maioria dos APTs, o APT10 tem tradicionalmente alvo de escala ao atacar empreendimentos comerciais. No entanto, um relatório mais recente da Price Waterhouse Cooper e da BAE Systems sugere que eles começaram a dedicar uma parte de suas operações à segmentação de provedores de serviços gerenciados (MSPs), muito provavelmente em uma tentativa de exfiltrar dados confidenciais de clientes. Dado que tem havido uma crescente conscientização das ameaças avançadas por metas de alto valor, continuar direcionando os MSPs dessa maneira é um meio plausível de obter os mesmos dados desejados a um custo menor.