APT1
APT era un grupo patrocinado por el Estado conocido por robar cantidades masivas de datos de grandes corporaciones y agencias gubernamentales. Aunque la investigación en ciberseguridad ha sacado a la luz sus tácticas, se cree que siguen utilizándose en la actualidad.
El origen de APT1
APT1 se observó por primera vez en 2006, y se ha atribuido al Ejército Popular de Liberación (EPL) de China. Este grupo, uno de los más prolíficos del mundo, utilizó técnicas sofisticadas para eludir la detección y robar cientos de terabytes de datos de más de 140 organizaciones a lo largo de siete años.
El grupo operó hasta febrero de 2013, cuando empezó a reducir sus ataques tras quedar al descubierto por un informe de investigación en profundidad sobre ciberseguridad. Desde entonces, las empresas de software de seguridad han identificado ataques que reutilizan algunas de las técnicas originales de APT1.
Fuentes: Mandiant, SecurityWeek, OCD
Industrias objetivo de APT1
Es probable que APT1 estuviera detrás de ataques dirigidos a organizaciones de una amplia gama de sectores con infraestructuras críticas, incluidos organismos gubernamentales, corporaciones globales y contratistas de defensa.
Víctimas de APT1
Se cree que APT1 ha robado cientos de terabytes de datos de al menos 141 organizaciones, lo que demuestra su capacidad para robar a docenas de organizaciones simultáneamente.
Fuente: Mandiant
Método de ataque APT1
APT1 utiliza correos electrónicos de spearphishing que contienen archivos adjuntos o enlaces maliciosos para introducirse en una red.
El grupo explota vulnerabilidades y utiliza herramientas como Mimikatz para obtener privilegios elevados.
Emplean tácticas de enmascaramiento, como dar a malware nombres de procesos legítimos.
APT1 ha volcado credenciales de la memoria de LSASS utilizando herramientas como Mimikatz.
Comandos como lista de tareas, usuario netoy ipconfig /all se utilizan para mapear la red y el sistema de la víctima.
Herramientas como RDP les permiten moverse entre sistemas dentro de la red.
Utilizan scripts automatizados y herramientas como GETMAIL para recopilar correos electrónicos y otros archivos valiosos.
APT1 se basa en el shell de comandos de Windows y en secuencias de comandos por lotes para la automatización.
Los datos recogidos suelen comprimirse mediante RAR antes de su exfiltración.
Las sofisticadas técnicas de evasión permitieron a APT1 robar grandes cantidades de propiedad intelectual, capturando hasta 6,5 terabytes de datos comprimidos de una sola organización en un periodo de diez meses.
APT1 utiliza correos electrónicos de spearphishing que contienen archivos adjuntos o enlaces maliciosos para introducirse en una red.
El grupo explota vulnerabilidades y utiliza herramientas como Mimikatz para obtener privilegios elevados.
Emplean tácticas de enmascaramiento, como dar a malware nombres de procesos legítimos.
APT1 ha volcado credenciales de la memoria de LSASS utilizando herramientas como Mimikatz.
Comandos como lista de tareas, usuario netoy ipconfig /all se utilizan para mapear la red y el sistema de la víctima.
Herramientas como RDP les permiten moverse entre sistemas dentro de la red.
Utilizan scripts automatizados y herramientas como GETMAIL para recopilar correos electrónicos y otros archivos valiosos.
APT1 se basa en el shell de comandos de Windows y en secuencias de comandos por lotes para la automatización.
Los datos recogidos suelen comprimirse mediante RAR antes de su exfiltración.
Las sofisticadas técnicas de evasión permitieron a APT1 robar grandes cantidades de propiedad intelectual, capturando hasta 6,5 terabytes de datos comprimidos de una sola organización en un periodo de diez meses.
TTPs de APT1
Cómo detectar amenazas como APT1 con Vectra AI
Miles de organizaciones empresariales confían en las potentes detecciones basadas en IA para encontrar y detener los ataques antes de que sea demasiado tarde.
Preguntas frecuentes
¿Qué es APT1?
APT1 es una amenaza persistente avanzada (APT) con orígenes en China. Se cree que es uno de los grupos de ataque de estado-nación más prolíficos de todos los tiempos, basándose en la gran cantidad de datos robados.
¿Quién está detrás de APT1?
Se cree que APT1 está vinculada al Ejército Popular de Liberación (EPL) de China. Aunque no fuera una entidad oficial del gobierno chino, la mayoría de los investigadores de ciberseguridad creen que el gobierno estaba al menos al tanto de sus operaciones.
¿Cuál es el objetivo principal de la APT1?
APT1 se centra en el ciberespionaje, robando propiedad intelectual y datos sensibles en beneficio de los intereses estratégicos de China.
¿Qué herramientas y técnicas utiliza APT1?
APT1 es conocida por utilizar tácticas, técnicas y procedimientos (TTP) avanzados para eludir la detección y mantener una presencia persistente en las redes de sus víctimas. Estas van desde ataques phishing selectivo hasta el protocolo de escritorio remoto.
¿Cuánto tiempo suele permanecer APT1 en una red?
A menudo mantienen el acceso durante largos periodos, aprovechando sus técnicas de persistencia.
¿Qué industrias corren mayor riesgo?
Los sectores aeroespacial, de defensa y de telecomunicaciones son objetivos prioritarios de APT1.
¿Qué papel desempeña la infraestructura en las operaciones de APT1?
APT1 registra y secuestra dominios para phishing, comando y control, y exfiltración de datos.
¿Cuáles son las implicaciones de un ataque APT?
Una vez que una APT elude las herramientas de prevención de seguridad, los atacantes utilizan técnicas muy sofisticadas para avanzar por la red y obtener acceso a cuentas privilegiadas. APT1 era especialmente hábil para eludir la detección, lo que permitió al grupo pasar desapercibido durante meses o incluso años. El resultado son cantidades ingentes de datos robados.
¿Cuál es la mejor manera de prevenir los ataques APT?
Aunque la prevención al 100% es imposible, las medidas de seguridad pueden ayudar a mantener a raya los ataques APT. Entre ellas están la aplicación de contraseñas seguras, la formación de los empleados sobre los peligros del phishing y los protocolos de autenticación.
¿Cómo pueden las organizaciones detectar y detener los ataques APT?
Una vez que un ataque APT elude sus herramientas de prevención, la detección en tiempo real es esencial. La mejor forma de encontrar y detener a los atacantes es con detecciones basadas en IA diseñadas para identificar las últimas tácticas, técnicas y procedimientos, y separar la actividad meramente sospechosa de las verdaderas amenazas.