23/03/2017
A expressão “Advanced Persistent Threat”, ou Ameaça Persistente Avançada, é geralmente usada para se referir a ameaças cibernéticas, em particular a prática de espionagem via internet por intermédio de uma variedade de técnicas de coleta de informações que são consideradas valiosas o suficiente para que o agente espião despenda tempo e recursos para obtê-la. A intenção é acessar informação sigilosa sem causar danos a uma rede, considerando que os alvos geralmente são empresas que possuem dados de valor, como defesa nacional, manufatura e a área financeira.
Em um ataque APT o objetivo não é entrar e sair da rede, mas sim entrar e permanecer nela – e para manter a pessoa conectada na rede sem ser descoberta é necessário reescrever códigos e aplicar técnicas sofisticadas de evasão. Alguns ATPs são tão complexos que requerem um administrador em tempo integral.
Uma pessoa que realiza APT adota uma técnica de engenharia social chamada spear phishing para ganhar acesso. Uma vez que o acesso foi obtido, a pessoa estabelece back doors, que são meios de passar por esquemas de segurança. O próximo passo é ganhar credenciais administrativas para poder circular pela rede, e instalar mais back doors com o objetivo de não ser detectado, criando assim uma espécie de “infraestrutura fantasma”.
Vale lembrar que pessoas que realizam ataques APT não são invasores oportunistas ou casuais, mas atuam como unidades de inteligência e recebem instruções de chefes para cumprir determinado objetivo. Neste cenário, apesar de ser difícil identificar um ATP, o roubo de dados não é totalmente invisível tornando possível detectar anomalias externas é importante por meio de soluções de varredura e análise de rede.