Operaciones APT famosas

Tenemos en la prensa especializada noticias sobre ataques APT casi a diario y el término se está empezando a utilizar de manera demasiado alegre. El otro día llegue a leer incluso a alguien que decía que el malware bancario Zeus era un APT.

El término APT se suele asociar erróneamente al uso de malware dirigido, pero es algo más. APT es el grupo de gente que esta detrás del ataque, no la operación y mucho menos el malware.

El malware es como “una bomba”. Es lo que “mata”, pero para lanzar una bomba hace falta un avión, hacen falta pilotos, hacen falta ingenieros que diseñen la bomba, gente de inteligencia y medios de reconocimiento que digan donde hay que dejar caer la bomba.

Además no cualquier grupo de “ciber-agresores” entra dentro del término APT si no cumplen las condiciones básicas del término:

• Avanzado: En el sentido de que los atacantes tienen recursos técnicos, económicos y de inteligencia amplios. Son grupos poderosos o naciones.

• Persistente: Es decir los ataques no son únicos y se suelen mantener a largo plazo.

• Amenaza: Al estar realizados de forma organizada (Las herramientas de seguridad tradicionales están diseñadas para evitar ataques puntuales y por lo tanto son previsibles y fáciles de evadir si se realizan los ataques de manera planificada).

Por si no queda del todo claro. He recopilado una lista de las operaciones APT más famosas de los últimos años como material de estudio. Si echáis alguna en falta, estoy a vuestra disposición.

No veréis en esta lista troyanos masivos de ciberdelincuencia tipo Zeus, Shylock, Coreflood, Mariposa y tantos otros.

Ordenados según el año en el que salieron a la luz pública:

1999

Moonlight Maze - http://en.wikipedia.org/wiki/Moonlight_Maze

2005

Titan Rain - http://en.wikipedia.org/wiki/Titan_Rain

2008

Buckshot Yankee - http://en.wikipedia.org/wiki/2008_cyberattack_on_United_States

2009

Byzantine Hades / Gh0stNet - http://en.wikipedia.org/wiki/GhostNet

2010

Stuxnet - http://en.wikipedia.org/wiki/Stuxnet

Aurora / Hydraq - http://en.wikipedia.org/wiki/Operation_Aurora

2011

Night Dragon - http://www.mcafee.com/us/about/night-dragon.aspx

Duqu - http://en.wikipedia.org/wiki/Duqu

Shady RAT - http://en.wikipedia.org/wiki/Operation_Shady_RAT

Sykipot - http://www.alienvault.com/open-threat-exchange/blog/new-sykipot-developments

RSA SecurID Breach - http://www.zdnet.com/nation-state-behind-rsas-securid-breach-2062302463/

Black Tulip / Diginotar Hacking - http://www.rijksoverheid.nl/ministeries/bzk/documenten-en-publicaties/rapporten/2011/09/05/diginotar-public-report-version-1.html 

Nitro Attacks - http://www.symantec.com/connect/blogs/nitro-attackers-have-some-gall

2012

Flame - http://en.wikipedia.org/wiki/Flame_(malware)

Mahdi - http://en.wikipedia.org/wiki/Mahdi_(malware)

Red October - http://en.wikipedia.org/wiki/Red_October_(malware)

2013

Icefog - http://www.securelist.com/en/analysis/204792307/The_Icefog_APT_Frequently_Asked_Questions

Bit9 Break-in - http://petehoang.blogspot.com.es/2013/02/bit9s-apt-hacker-break-in.html

DeputyDog - http://www.fireeye.com/blog/technical/cyber-exploits/2013/09/operation-deputydog-zero-day-cve-2013-3893-attack-against-japanese-targets.html

NetTraveler - https://www.securelist.com/en/blog/8105/NetTraveler_is_Running_Red_Star_APT_Attacks_Compromise_High_Profile_Victims

2014

Careto / Mask - http://www.securelist.com/en/blog/208216078/The_Careto_Mask_APT_Frequently_Asked_Questions

Snake - http://www.baesystems.com/what-we-do-rai/the-snake-campaign

Gran parte del texto del articulo ha sido aportado por Miguel Angel Hernandez.