APT: Otro tipo de malware que amenaza el sistema inmunolgico informtico Ana Lilia Careaga Mercadillo, Agosto de 2013

Abstract APT stands for Advanced Persistent Threat. The term is commonly used to refer to cyber threats, in particular that of Internet -enabled espionage using a variety of intelligence gathering techniques to access sensitive information, but applies equally to other threats such as that of traditional espionage or attack. First warnings against targeted, socially-engineered emails dropping Trojans to infiltrate sensitive information were published by UK and US organizations in 2005, although the name "APT" was not used . This name became famous until a New York Times expos detailing a long attack campaign in which a Chinese military unit now known as APT 1 thoroughly penetrated the media organizations networks with a series of spear-phishing emails and a large quantity of customized malware samples. The endgoal of an APT-style attack is to compromise a machine on which there is some sort of valuable information. In consequence, businesses holding a large quantity of personally identifiable information are at high risk of being targeted by advanced persistent threats, including higher education and Financial institutions but mostly Government institutions. --------------------------------------------------------------------------------------------------------Introduccin

Soy como cualquier otra persona y concibo mi vida como una bendicin y con gran actividad. Desde muy pequea la msica y el movimiento me acompaan; el tiempo me persigue aunque procuro hacer pausas para reflexionar; y es entonces cuando hago una lista de ideas donde se distingue mi ilusin. Pude ser madre, estudiar ingeniera, tocar flauta, bucear y hasta correr distancias de 10 km . La lista se ha alargado y a veces se ha achicado, pero jams ha dejado de evolucionar: escribir artculos de ingeniera o hacer compras del mandado, pendientes o asuntos por hacer, --- en fin, metas sencillas que culminan sueos o sueos que terminan siendo metas. Creo que soy como cualquier otra persona que pasa por la calle, aunque nadie imaginara que muchas veces me cuesta trabajo levantarme, que durante las maanas los huesos de mis piernas son como de plomo. Nadie nota que me duele la cabeza, los ojos e inclusive el corazn. Cansancio, dificultades para incorporarse, rganos inflamados y sangrado. Estos son algunos de los muchos y variados sntomas que pueden estar anunciando el padecimiento de distintas enfermedades autoinmunes, cuando el sistema

inmunolgico est alterado y las defensas del organismo se convierten en sus atacantes. Las enfermedades autoinmunes son aquellos trastornos que consisten en fabricar defensas (o inmunidad) contra nosotros mismos (de ah el prefijo "auto"), de modo que nuestro sistema inmunitario deja de funcionar como un sistema defensivo puro - e inofensivo para el cuerpo humano- y se convierte en su enemigo. Esto significa que, en lugar de fabricar defensas contra los microorganismos patgenos que invaden el organismo, fabrican anticuerpos que se dirigen contra las clulas de nuestro propio cuerpo y las daan. El sistema inmunolgico1 es la defensa natural del cuerpo contra las infecciones que causan enfermedad. Por medio de una complicada serie de acciones, nuestro cuerpo combate y destruye organismos infecciosos invasores antes de que causen dao. Cuando el sistema inmunolgico est funcionando adecuadamente, no lo valoramos ni imaginamos todo lo que hace por nosotros. Nos protege de una variedad de microorganismos patgenos cuando andamos descalzos por las regaderas despus de una clase de yoga o de karate o simplemente, cuando tocamos la llave de un lavabo. A travs de una serie de pasos conocidos como respuesta inmunitaria, el sistema inmunolgico ataca a los organismos y sustancias que invaden el cuerpo y provocan enfermedades mediante un entramado de clulas, tejidos y rganos que colaboran entre s para protegernos. Quiz el elemento ms importante de este sistema son unas clulas llamadas glbulos blancos o leucocitos. Los leucocitos se producen y almacenan en muchas partes diferentes del cuerpo, incluyendo el timo, el bazo y la mdula sea. Por este motivo, estos rganos se denominan linfoides. Tambin hay masas de tejido linfoide distribuidas por todo el cuerpo, prioritariamente en forma de ganglios linfticos, que albergan leucocitos en su interior. Los leucocitos circulan por el cuerpo entre los rganos linfoides y los ganglios linfticos a travs de los denominados vasos linfticos. Los leucocitos tambin pueden circular a travs de los vasos sanguneos. De este modo, el sistema inmunolgico funciona de forma coordinada, controlando el cuerpo en busca de grmenes o sustancias que podran provocar problemas. Hay dos tipos principales de leucocitos: 1. Los fagocitos son clulas que devoran a los organismos invasores. 2. Los linfocitos son clulas que permiten que el cuerpo recuerde y reconozca a invasores previos y ayudan al cuerpo a destruirlos. A su vez, hay varios tipos de fagocitos. El tipo ms frecuente es el de los neutrfilos, que luchan prioritariamente contra bacterias. Por eso, cuando el mdico sospecha de una infeccin bacteriana, es posible que te mande un anlisis de sangre para ver si tienes una cantidad incrementada de neutrfilos que ha sido desencadenada por la infeccin. Los otros tipos de fagocitos desempean sus propias funciones para garantizar que el cuerpo reaccione adecuadamente a tipos especficos de invasores.
1

Citado en http://www.sld.cu/galerias/pdf/sitios/histologia/sistema_inmunitario.pdf

Por otra parte, hay dos tipos de linfocitos: los linfocitos B y los linfocitos T. Los linfocitos se producen en la mdula sea y pueden permanecer all y madurar hasta convertirse en linfocitos B, o bien desplazarse hasta el timo, donde madurarn para convertirse en linfocitos T. Los linfocitos B y los linfocitos T desempean funciones diferentes: los linfocitos B vienen a ser el sistema de inteligencia militar del cuerpo, que se encarga de detectar a los invasores y enviarles unos marcadores defensivos que se adhieren a ellos (anticuerpos). Los linfocitos T vienen a ser los soldados, encargados de destruir a los invasores identificados por el sistema de inteligencia. Las sustancias extraas que invaden el organismo se denominan antgenos. Cuando se detecta un antgeno en el organismo, varios tipos distintos de clulas colaboran para identificarlo para as poder atacar dicha invasin. Estas clulas desencadenan la produccin de anticuerpos (tambin conocidos como inmunoglobulinas, abreviado Ig) en los linfocitos B. Los anticuerpos son protenas especializadas que se adhieren a antgenos especficos. Los anticuerpos y los antgenos encajan perfectamente entre s, como una llave en una cerradura. Una vez los linfocitos B reconocen antgenos especficos, desarrollan una memoria del antgeno y la prxima vez que ese antgeno entre en el cuerpo de la persona producirn anticuerpos inmediatamente. Por eso, si una persona enferma de determinada enfermedad, como la varicela, lo ms habitual es que no vuelva a contraer la misma enfermedad. Bajo este principio es que funcionan las vacunas para prevenir ciertas enfermedades. La vacuna introduce en el organismo el antgeno a muy baja dosis pero suficiente para permitir que el cuerpo fabrique anticuerpos que lo protegern de ulteriores ataques del germen o sustancia que provoca una enfermedad en concreto. Aunque los anticuerpos pueden reconocer un antgeno y adherirse a l, no son capaces de destruirlo sin ayuda. Esta es la funcin de los linfocitos T. Estos forman parte del sistema encargado de destruir antgenos identificados por anticuerpos o clulas infectadas o que han cambiado por algn motivo. (De hecho, hay linfocitos que se denominan clulas asesinas o clulas K , del ingls killer). Por ltimo es importante mencionar que los anticuerpos pueden activar un grupo de protenas, denominado complemento, que tambin forma parte del sistema inmunolgico. El sistema del complemento ayuda a eliminar bacterias, virus y clulas infectadas. El sistema del complemento es uno de los componentes fundamentales de la conocida respuesta inmunitaria defensiva ante un agente hostil como los microrganismos y es empleado por los mdicos como marcadores de las diferentes enfermedades autoinmunes o algn tipo de cncer. Est formado por unas 30 glicoprotenas y fragmentos que se encuentran en el suero (sangre) y otros lquidos orgnicos de forma inactiva. Todas estas clulas especializadas y partes del sistema inmunolgico protegen al organismo de las enfermedades. Esta proteccin se denomina inmunidad y cuando falla llega la enfermedad y te toma por sorpresa. Creo que no hay camino ms desesperado que al que conduce la enfermedad , pero siempre habr algo ms grande que ella y ms fuerte que tu cuerpo; ms grande que la pasin y la voluntad del mundo; ms fuerte que el destino , la

disciplina del artista y la conciencia del cientfico algo intangible como la msica de Bach que te llega hasta la mdula, porque su estructura perfecta y minuciosa de los minsculos elementos que componen la fuga te llevan a mirar al cielo y dar gracias por la vida. Pero no solo nos enfermamos los seres vivos, sino tambin las computadoras y, recientemente los telfonos celulares. A ellas y a ellos tambin les puede fallar el sistema inmune y pueden enfermar de virus y cualquier tipo de gusanos. Cuando ellos enferman, tambin producen desesperacin por lo que ellos tambin reciben vacunas o antivirus para evitar ser infectadas por algn tipo de malware 2. Pero pareciera que estos antivirus ya no son lo suficientemente efectivos para evitar contagio y epidemias. En los ltimos cuatro aos, el nmero de amenazas cibernticas se ha multiplicado de manera exponencial producindose adems un cambio en la naturaleza de las mismas; se ha pasado de amenazas conocidas, puntuales y dispersas, a amenazas de gran sofisticacin, persistentes, y con objetivos muy concretos, surgiendo una nueva categora de amenazas en el mundo del cibercrimen: las llamadas Advanced Persistent Threats (Amenazas Persistentes y Avanzadas), en adelante APT o APTs. Quieres conocer ms sobre APT?

Contina leyendo

Comenzando con lo bsico: qu es el malware

Quiz nunca hayas escuchado la palabra malware, pero estoy segura que s conoces los virus informticos y lo ms probable es que ya hayas sido vctima de ellos por lo menos alguna vez. Probablemente ya te ha sucedido que tu computadora se vuelve ms lenta, te aparecen ventanas con publicidad no solicitada , se cambia la configuracin de tu navegador , se cambian los nombres de tus archivos o te tus contactos del celular o simplemente tu
2

El trmino malware es muy utilizado por profesionales de la informtica para referirse a una variedad de software hostil, intrusivo o molesto

computadora o celular se apaga de repente y no hay manera de reiniciarlos. Todo esto, y ms, es debido a que has sido vctima de algn tipo de malware, al cual, errneamente generalizamos simplemente como virus. Malware es el acrnimo, en ingls, de las palabras " malicious" y "software", es decir software malicioso. Por lo que el malware es software malicioso creado con la intencin de introducirse de forma subrepticia en las computadoras y causar dao a su usuario o conseguir un beneficio econmico a sus expensas. El software se considera malware en funcin de los efectos que, pensados por el creador, provoque en una computadora. Dentro del malware se encuentran los virus clsicos (los que ya se conocen desde hace aos) y otras nuevas amenazas, que surgieron y evolucionaron, desde el nacimiento de las amenazas informticas. Por lo que el trmino malware incluye no solo virus, gusanos, troyanos y la mayor parte de rootkits, scareware, spyware, adware intrusivo, phishing , crimeware y otros softwares maliciosos e indeseables3 sino tambin las nuevas amenazas conocidas como APTs. Existe una gran variedad de malware y nuevos programas maliciosos son creados a diario; por lo que aunque tengas un antivirus actualizado algunos especialistas consideran que el software antivirus detecta solamente alrededor de un tercio de los posibles ataques informticos.

Los principales tipos de malware son:

Virus. El funcionamiento de un virus informtico es conceptualmente simple. Un virus se activa al ejecutar un programa que est infectado, en la mayora de las ocasiones, por desconocimiento del usuario y probablemente proveniente de un archivo adjunto de un correo, de una memoria USB infectada o de algn link al que se le dio clic. El cdigo del virus queda residente (alojado) en la memoria RAM de la computadora, por lo que toma control del sistema operativo y va infectando posteriormente a otros archivos ejecutables que causan dao ya sea a la informacin o a la computadora en s. Gusano o worm. Anlogo al virus pero se transmite de forma automtica por la red, aprovechando una vulnerabilidad. Spyware. Monitorean tu actividad online y venden esta informacin a anunciantes. A menudo usan una barra de herramienta en el navegador para ello. Si diste permiso para que se instalara el programa entonces la empresa de publicidad no estara en principio haciendo nada ilegal, aunque a menudo es un rea gris ya que las condiciones de uso pueden no estar claras para el usuario o estar escondidas. Adware. Relacionado con spyware, son programas que instalndose sin permiso hacen publicidad, tpicamente con pop-ups (ventanas emergentes). Scareware, crimeware o Phishing. Este tipo de malware intenta asustar al usuario y convencerlo para que haga pago por tarjeta de crdito u otros engaos. Por ejemplo pueden aparecer en tu navegador mensajes que de algn banco u
3

Citado en http://es.wikipedia.org/wiki/Malware y http://www.pandasecurity.com/spain/homeusers/security-info/

organizacin aparentemente confiable que solicite tus contraseas para cometerte fraude. Troyanos y backdoors: Los Troyanos son aplicaciones malignas que se disfrazan como algo inofensivo y atractivo para que el usuario lo ejecute. Cuando se instala realiza su actividad maliciosa como borrar archivos o propagar gusanos por la red local. Los backdoors o puertas traseras son aplicaciones que ocultndose del usuario permite a atacantes conectarse a tu computadora. Esto es extremadamente peligroso ya que los hackers pueden tener control total de tu computadora, y ver lo que haces. (los programas que capturan lo que el usuario teclea se llaman "keyloggers"). Los troyanos ocupan la mayor parte del malware en el mundo, representando el 80 por ciento de los ataques en los primeros tres meses de 2013. Afectan a casi 3 de cada 4 de los 6,5 millones de muestras tomadas por una empresa de seguridad llamada Panda Security Lab4 . Aunque no se replican por s mismos, hoy en da la mayora de las infecciones por troyanos se llevan a cabo a travs de pginas web comprometidas, utilizando normalmente algn tipo de vulnerabilidad basada en Java o en Adobe. Esto implica que en cuestin de minutos, sobre todo si se trata de una pgina web con bastante popularidad, puedan producirse miles de infecciones de un mismo troyano o incluso de troyanos diferentes. Rootkits. Es una serie de modificaciones en el sistema operativo de la computadora , por ejemplo para que el malware que se est ejecutando no aparezca en la lista de procesos. Botnet software. Cuando una computadora cae bajo el control de los hackers a travs de malware que contiene una puerta trasera se dice que es un esclavo o "zombi". Estos esclavos pueden formar parte de una red o "botnet". Esta clasificacin es apenas una gua y a menudo no hay una distincin clara entre un virus, un gusano y un troyano, o puede ocurrir que un programa malicioso tenga caractersticas de distintos tipos de malware. En este caso uno no comete un error grave al llamarlos simplemente "virus" o "malware". Las motivaciones de los creadores de malware son principalmente econmicas:

Anuncios o redireccin a sitios web con publicidad que les reportan ingresos. Obtencin fraudulenta de datos financieros (datos de tarjeta de crdito etc). Controlar la computadora y usarla como esclavo o zombi para atacar otros sistemas ("Denial of Service" o DoS). Fraude haciendo clic en anuncios (de Google u otros anunciantes).

Las maneras ms frecuentes de introducir virus informticos o cualquier tipo de malware son:
4

Citado en http://press.pandasecurity.com/press-room/reports/

Pginas web: cuando se visitan o bajndose un archivo de ellas. Incluido en otro programa (tpicamente uno gratuito) que ha sido descargado de Internet. A travs de archivos bajados con una utilidad "peer-to-peer" (P2P) ,como sitios de descarga de msica gratuita. En un archivo adjunto en un mensaje de correo electrnico. En un archivo enviado por mensajera instantnea o chat. Los peligros que conllevan las diversas clases de malware son muchos:

Prdida econmica. Espionaje de tu actividad y prdida de privacidad. Degradacin del rendimiento de la computadora. Uso de tu computadora para atacar a otros.

Como indicios de que algn tipo de computadora tenemos:

malware est instalado en tu

Computadora ms lenta. Anuncios "pop-ups". Mensajes o errores inesperados. La computadora se queda sin memoria o sin espacio en disco. La computadora se apaga sola de forma inesperada. La computadora no arranca de forma normal o produce mensajes extraos. Se producen cambios inexplicables en archivos, como que desaparecen o cambian de nombre . La computadora tiene comportamientos errticos o inesperados. Hay procesos corriendo (en Windows se ven en el "Gestor de Tareas") que son sospechosos Cambios en el navegador como: Pgina de inicio del navegador distinta. Nuevo enlace "favorito". Nueva barra de herramientas. Para protegerte del malware, es necesario actualizar el software de tu computadora, contar con firewall y software antivirus. Adems, tener cuidado y seguir unas precauciones bsicas para evitar que cdigo maligno entre en tu computadora, como: No abrir archivos incluidos en mensajes de correo de personas desconocidas o incluso si conoces el remitente si te parece sospechoso Usa contraseas fuertes. Ten cuidado con archivos obtenidos por P2P Mantn tu software de antivirus actualizado. Mantn tu navegador y los "plugins" actualizados

Familiarzate con la lista de programas que tu computadora procesa normalmente (en Windows se ve en el "Gestor de Tareas") y cuando tengas sospechas de malware revisa la lista para comprobar si hay procesos nuevos corriendo.

APT : Advanced Persitent Threats

Las Advanced Persistent Threats (APTs) son una categora de malware que se encuentra totalmente orientado atacar objetivos empresariales o polticos. Todos los APTs tienen algunas caractersticas en comn, pero sin duda una de las mayores caractersticas es la capacidad de ocultamiento por parte de este tipo de amenazas. Al ser amenazas altamente sigilosas, logran perdurar dentro de la red afectada por largos periodos de tiempo sin ser detectadas. Se les llama avanzadas (en ingls Advanced), ya que este tipo de amenazas cuentan no con uno, sino con varios mtodos de ataque, propagacin u ocultamiento en el sistema. As mismo, se conoce que este tipo de amenazas son generadas por grupos de profesionales, quienes tienen el tiempo, el conocimiento, la paciencia y los recursos para generar una pieza nica, sin precedentes, generadas desde la nada misma, evitando herramientas de construccin de malware. 5Por ejemplo, en el caso de Stuxnet6 se han logrado identificar al menos 20 tipos de codificacin distinta, evitando la posibilidad de obtener un perfil de su programador. Se les llama persistentes (en ingls Persistent) ya que sus creadores toman muy en serio su objetivo. En realidad no buscan un rdito inmediato, sino que esperan pacientemente dentro de su objetivo, monitoreando sigilosamente y con un perfil bajo. Por ejemplo, se supo que la botnet mariposa7 se encontr residiendo dentro de algunas empresas por ms de un ao. Se les llama amenazas (en ingls Threat) debido al nivel de coordinacin humana involucrada en el ataque. A diferencia de otras piezas de cdigo totalmente carentes de inteligencia y automticas, los operadores de una APT cuentan con un objetivo claro, siendo quienes estn detrs de este tipo de cdigos, personas capacitadas, motivadas, organizadas y sobre todo, bien pagadas.

5 6

Citado en http://antivirus.com.ar/techieblog/2011/09/%C2%BFque-son-las-apts/ Stuxnet es un gusano informtico que afecta a equipos con Windows, descubierto en junio de 2010. Es el primer gusano conocido que espa y reprograma sistemas industriales 7 La Botnet Mariposa fue una red de computadoras zombies detectada en 2010 que estaba compuesta por ms de 13 millones de direcciones IP infectadas, distribuidas en 190 pases al rededor del mundo, donde Latinoamrica encabeza el Top 20 en pases ms afectados, conformados por: Mxico, con el 12,85%, Brasil, con el 7,74%, Colombia, con el 4,94%, Per, con el 2,42%, Chile, con el 1,74%, y Argentina, con el 1,10% del total.

Las APTs logran ingresar dentro de las empresas a travs de distintos vectores de infeccin, incluso en aquellos escenarios protegidos con buenas estrategias de seguridad. Al menos pueden distinguirse tres grandes grupos o vectores de introduccin de una APT en una organizacin: 8 Infeccin de malware proveniente de Internet Downloaders Archivos adjuntos en correos electrnicos Archivos compartidos o redes P2P Software pirata o uso de Keygens Phishing Envenenamiento de DNS, etc. Infeccin de malware por Infeccin por exploit medios fsicos externo Pendrives o Sticks USB Hackers profesionales CDs o DVDs Vulnerabilidades Tarjetas de memoria Ingreso por Wifi Appliances Ataque a la nube Equipos de tecnologa con backdoors

Conclusiones El martes 19 de febrero de 2013, la empresa Mandiant public un reporte que ligaba actividades de espionaje industrial con el gobierno chino. El documento gira en torno a un grupo de hackers chinos bautizados con el identificador APT1 9. Lo anterior gener gran polmica pues se demostraba con evidencias concretas la gran tolerancia que tiene el gobierno chino en las actividades de robo de informacin que traen ventaja competitiva a la industria china. El documento de Mandiant habla de que se estima que la Unidad 61398 emplea a cientos o tal vez miles de personas encargadas de diversas tareas de ciber- espionaje. No slo hay gente que se mete a las computadoras, sino que hay otras ms encargadas de analizar la informacin, distribuirla a los interesados y recibir peticiones concretas de espionaje. Se registr el robo de cientos de terabytes de informacin de 141 empresas alrededor del mundo [pg 3 documento Mandiant]. Lo anterior es alarmante, ya que habla de sus capacidades: no slo es entrar a una infraestructura, sino una vez adentro empezar a analizar la informacin a la que se tiene acceso para extraerla, por lo que el equipo de personas encargadas de estos anlisis podra incluir lingistas, desarrolladores de software, creadores de malware, expertos analistas de industrias, economistas; y todos ellos orientados a penetrar empresas e interpretar la informacin recibida [Pg. 5].Con este reporte, queda claro que los antivirus solo nos protegen de las amenazas conocidas por lo que estos resultan intiles ante el malware especializado y dirigido como el APT . En estos casos, se habr de tomar estrategias ms
8
9

Citado en http://antivirus.com.ar/techieblog/2011/09/%C2%BFque-son-las-apts/ Citado en www.mandiant.com/apt1

enfocadas y sofisticadas para crear un sistema inmunolgico capaz de proteger no solo una computadora sino organizaciones enteras. En realidad, se trata de lo mismo a lo largo de la humanidad: tener poder . La informacin es poder porque provee ventajas competitivas. Lo saben los chinos, los americanos, los rusos y todos.