Amenaza persistente avanzada

Conjunto de procesos de piratería informática sigilosos y continuos

Una amenaza persistente avanzada ( APT ) es un actor de amenaza sigiloso , generalmente un estado o un grupo patrocinado por un estado, que obtiene acceso no autorizado a una red informática y permanece sin ser detectado durante un período prolongado. ^{[1] [2]} En los últimos tiempos, el término también puede referirse a grupos no patrocinados por el estado que realizan intrusiones dirigidas a gran escala para objetivos específicos. ^[3]

Las motivaciones de estos actores de amenazas suelen ser políticas o económicas. ^{[4] Todos los} sectores empresariales importantes han registrado casos de ciberataques por parte de actores avanzados con objetivos específicos, ya sea robar, espiar o interrumpir. Estos sectores objetivo incluyen el gobierno, la defensa , los servicios financieros , los servicios legales , la industria , las telecomunicaciones , los bienes de consumo y muchos más. ^{[5] [6] [7]} Algunos grupos utilizan vectores de espionaje tradicionales, incluida la ingeniería social , la inteligencia humana y la infiltración para obtener acceso a una ubicación física para permitir ataques de red. El propósito de estos ataques es instalar malware personalizado (software malicioso) . ^[8]

Los ataques APT a dispositivos móviles también se han convertido en una preocupación legítima, ya que los atacantes pueden penetrar en la infraestructura móvil y en la nube para espiar, robar y manipular datos. ^[9]

El "tiempo de permanencia" medio, es decir, el tiempo que un ataque APT pasa sin ser detectado, varía ampliamente entre regiones. FireEye informó que el tiempo de permanencia medio para 2018 en América fue de 71 días, en EMEA de 177 días y en APAC de 204 días. ^[5] Un tiempo de permanencia tan largo permite a los atacantes una cantidad significativa de tiempo para completar el ciclo de ataque, propagarse y lograr sus objetivos.

Definición

Las definiciones de lo que es exactamente una APT pueden variar, pero se pueden resumir según sus requisitos nombrados a continuación:

• Avanzado  – Los operadores detrás de la amenaza tienen un espectro completo de técnicas de recopilación de inteligencia a su disposición. Estas pueden incluir tecnologías y técnicas de intrusión informática comerciales y de código abierto, pero también pueden extenderse para incluir el aparato de inteligencia de un estado. Si bien los componentes individuales del ataque pueden no considerarse particularmente "avanzados" (por ejemplo, los componentes de malware generados a partir de kits de construcción de malware caseros comúnmente disponibles o el uso de materiales de explotación fáciles de obtener), sus operadores generalmente pueden acceder y desarrollar herramientas más avanzadas según sea necesario. A menudo combinan múltiples métodos, herramientas y técnicas de selección de objetivos para alcanzar y comprometer su objetivo y mantener el acceso a él. Los operadores también pueden demostrar un enfoque deliberado en la seguridad operativa que los diferencia de las amenazas "menos avanzadas". ^{[3] [10] [11]}
• Persistente  : los operadores tienen objetivos específicos, en lugar de buscar información de manera oportunista para obtener ganancias financieras o de otro tipo. Esta distinción implica que los atacantes son guiados por entidades externas. La selección de objetivos se lleva a cabo mediante un monitoreo e interacción continuos para lograr los objetivos definidos. No significa un aluvión de ataques constantes y actualizaciones de malware. De hecho, un enfoque "lento y lento" suele ser más exitoso. Si el operador pierde el acceso a su objetivo, generalmente volverá a intentar acceder y, en la mayoría de los casos, con éxito. Uno de los objetivos del operador es mantener el acceso a largo plazo al objetivo, en contraste con las amenazas que solo necesitan acceso para ejecutar una tarea específica. ^{[10] [12]}
• Amenaza  : las APT son una amenaza porque tienen tanto capacidad como intención. Los ataques APT se ejecutan mediante acciones humanas coordinadas, en lugar de fragmentos de código automatizados y sin sentido. Los operadores tienen un objetivo específico y son hábiles, motivados, organizados y bien financiados. Los actores no se limitan a grupos patrocinados por el estado. ^{[3] [10]}

Historia y objetivos

En 2005, las organizaciones CERT del Reino Unido y los Estados Unidos publicaron advertencias contra correos electrónicos específicos diseñados mediante ingeniería social que contenían troyanos para exfiltrar información confidencial . Este método se utilizó durante todo el comienzo de los años 90 y no constituye en sí mismo una APT. Se ha citado que el término "amenaza persistente avanzada" se originó en la Fuerza Aérea de los Estados Unidos en 2006 ^[13] y se cita al coronel Greg Rattray como la persona que acuñó el término. ^[14]

El gusano informático Stuxnet , que tenía como objetivo el hardware informático del programa nuclear de Irán , es un ejemplo de ataque APT. En este caso, el gobierno iraní podría considerar a los creadores de Stuxnet como una amenaza persistente avanzada. ^{[ cita requerida ] [15]}

En el ámbito de la seguridad informática , y cada vez más en los medios de comunicación, el término se utiliza casi siempre para referirse a un patrón a largo plazo de explotación sofisticada de redes informáticas dirigidas a gobiernos, empresas y activistas políticos y, por extensión, también para atribuir los atributos A, P y T a los grupos que están detrás de estos ataques. ^[16] El término amenaza persistente avanzada (APT) puede estar cambiando su enfoque hacia la piratería informática debido al creciente número de casos. PC World informó de un aumento del 81 por ciento entre 2010 y 2011 de ataques informáticos especialmente avanzados y dirigidos. ^[17]

Los actores de muchos países han utilizado el ciberespacio como medio para reunir información sobre individuos y grupos de individuos de interés. ^{[18] [19] [20]} El Comando Cibernético de los Estados Unidos tiene la tarea de coordinar las operaciones cibernéticas ofensivas y defensivas del ejército estadounidense . ^[21]

Numerosas fuentes han alegado que algunos grupos APT están afiliados a, o son agentes de, gobiernos de estados soberanos . ^{[22] [23] [24]} Las empresas que poseen una gran cantidad de información de identificación personal corren un alto riesgo de ser blanco de amenazas persistentes avanzadas, entre ellas: ^[25]

• Agricultura ^[26]
• Energía
• Instituciones financieras
• Cuidado de la salud
• Educación superior ^[27]
• Fabricación
• Tecnología
• Telecomunicaciones
• Transporte

Un estudio de Bell Canada proporcionó una investigación profunda sobre la anatomía de las APT y descubrió una presencia generalizada en el gobierno canadiense y en infraestructuras críticas. Se estableció la atribución a actores chinos y rusos. ^[28]

Ciclo vital

Un diagrama que representa el enfoque por etapas del ciclo de vida de una amenaza persistente avanzada (APT), que se repite una vez completa.

Los actores detrás de amenazas persistentes avanzadas crean un riesgo creciente y cambiante para los activos financieros, la propiedad intelectual y la reputación de las organizaciones ^[29] al seguir un proceso continuo o cadena de ataque :

1. Dirigirse a organizaciones específicas para un objetivo singular
2. Intentar ganar un punto de apoyo en el entorno (las tácticas comunes incluyen correos electrónicos de phishing selectivo )
3. Utilice los sistemas comprometidos como acceso a la red objetivo
4. Implementar herramientas adicionales que ayuden a cumplir el objetivo del ataque.
5. Cubrir pistas para mantener el acceso para futuras iniciativas

El panorama global de APT de todas las fuentes a veces se menciona en singular como "la" APT, al igual que las referencias al actor detrás de un incidente específico o una serie de incidentes, pero la definición de APT incluye tanto al actor como al método. ^[30]

En 2013, Mandiant presentó los resultados de su investigación sobre supuestos ataques chinos que utilizaron el método APT entre 2004 y 2013 ^[31] que siguieron un ciclo de vida similar:

• Compromiso inicial  : realizado mediante el uso de ingeniería social y phishing selectivo , a través del correo electrónico, utilizando virus de día cero . Otro método de infección popular fue la instalación de malware en un sitio web que los empleados de la víctima probablemente visitarían. ^[32]
• Establecer un punto de apoyo  : instalar un software de administración remota en la red de la víctima, crear puertas traseras y túneles de red que permitan el acceso oculto a su infraestructura.
• Escalar privilegios  : utilizar exploits y descifrar contraseñas para adquirir privilegios de administrador en la computadora de la víctima y posiblemente expandirlos a cuentas de administrador de dominio de Windows .
• Reconocimiento interno  : recopilar información sobre la infraestructura circundante, las relaciones de confianza y la estructura del dominio de Windows .
• Moverse lateralmente  : amplíe el control a otras estaciones de trabajo, servidores y elementos de infraestructura y realice la recopilación de datos en ellos.
• Mantener la presencia  : garantizar el control continuo sobre los canales de acceso y las credenciales adquiridas en los pasos anteriores.
• Completar misión  : extraer datos robados de la red de la víctima.

En los incidentes analizados por Mandiant, el período promedio durante el cual los atacantes controlaron la red de la víctima fue de un año, y el más largo, de casi cinco años. ^{[31] Las infiltraciones fueron supuestamente realizadas por} la Unidad 61398 del Ejército Popular de Liberación, con sede en Shanghái . Los funcionarios chinos han negado cualquier participación en estos ataques. ^[33]

Informes anteriores del Secretario de Defensa ya habían descubierto e implicado a actores chinos. ^[34]

Estrategias de mitigación

Existen decenas de millones de variantes de malware, ^[35] lo que hace que sea extremadamente difícil proteger a las organizaciones de las APT. Si bien las actividades de las APT son sigilosas y difíciles de detectar, el tráfico de red de comando y control asociado con las APT se puede detectar a nivel de capa de red con métodos sofisticados. Los análisis de registros profundos y la correlación de registros de varias fuentes son de utilidad limitada para detectar actividades de APT. Es un desafío separar los ruidos del tráfico legítimo. La tecnología y los métodos de seguridad tradicionales han sido ineficaces para detectar o mitigar las APT. ^[36] La ciberdefensa activa ha producido una mayor eficacia en la detección y el procesamiento de las APT (encontrar, reparar, finalizar) al aplicar inteligencia sobre amenazas cibernéticas a las actividades de búsqueda y persecución de adversarios. ^{[37] [38]} Las vulnerabilidades cibernéticas introducidas por humanos (HICV) son un vínculo cibernético débil que no se comprende bien ni se mitiga, lo que constituye un vector de ataque significativo. ^[39]

Grupos APT

Porcelana

• Unidad PLA 61398 (también conocida como APT1)
• Unidad PLA 61486 (también conocida como APT2)
• Buckeye (también conocido como APT3) ^[40]
• Apolo Rojo (también conocido como APT10)
• Panda numerado (también conocido como APT12)
• DeputyDog (también conocido como APT17) ^[41]
• Panda Dinamita o Escandio (también conocido como APT18, una unidad de la Armada del Ejército Popular de Liberación ) ^[42]
• Equipo Codoso (también conocido como APT19)
• Wocao (también conocido como APT20) ^{[43] [44]}
• APT22 (también conocido como Suckfly) ^[45]
• APT26 (también conocido como Panda Turbina) ^[46]
• Aptitud 27 ^[47]
• Unidad PLA 78020 (también conocida como APT30 y Naikon)
• Circonio ^[48] (también conocido como APT31 y Violet Typhoon) ^{[49] [50] [51]}
• Grupo Periscopio (también conocido como APT40)
• Double Dragon ^[52] (también conocido como APT41, Winnti Group, Barium o Axiom) ^{[53] [54]}
• Spamouflage (también conocido como Puente del Dragón o Tormenta 1376) ^{[55] [56]}
• Hafnio ^{[57] [58]}
• LightBasin ^{[59] [60]} (También conocida como UNC1945)
• Soldado tropical ^[61]
• Tifón Volt ^[62]
• Tifón del lino ^[63]
• Tifón de carbón (también conocido como CROMO) ^{[64] [65]}
• Tifón Salmón (también conocido como SODIO) ^{[64] [65]}
• Tifón de sal ^[66]

Irán

• Gatito encantador (también conocido como APT35)
• Equipo Elfin (también conocido como APT33)
• Helix Kitten (también conocido como APT34)
• Gatito pionero ^[67]
• Remix Kitten (también conocido como APT39, ITG07 o Chafer) ^{[68] [69]}

Corea del Norte

• Kimsuki
• Grupo Lazarus (también conocido como APT38)
• Ricochet Chollima (también conocido como APT37)

Rusia

• Oso berserker
• Cozy Bear (también conocido como APT29)
• Fancy Bear (también conocido como APT28)
• FIN7
• Gamaredon ^[70] (también conocido como Oso Primitivo ) ^[a]
• Gusano de arena
• Oso venenoso ^[73]

Turquía

• StrongPity (también conocido como APT-C-41 o PROMETHIUM) ^[74]

Estados Unidos

• Grupo de ecuaciones ^[75]

Uzbekistán

• SandCat, asociado al Servicio de Seguridad del Estado según Kaspersky ^[76]

Vietnam

• OceanLotus (también conocido como APT32 ) ^{[77] [78]}

Nombramiento

Varias organizaciones pueden asignar nombres diferentes al mismo actor. Como cada investigador puede tener sus propias evaluaciones diferentes de un grupo APT, empresas como CrowdStrike , Kaspersky , Mandiant y Microsoft , entre otras, tienen sus propios esquemas de nombres internos. ^[79] Los nombres entre diferentes organizaciones pueden referirse a grupos superpuestos pero en última instancia diferentes, según los diversos datos recopilados.

CrowdStrike asigna los nombres de los animales por estado-nación u otra categoría, como "Gatito" para Irán y "Araña" para grupos centrados en el cibercrimen. ^[80] Otras empresas han nombrado grupos basándose en este sistema: Rampant Kitten, por ejemplo, fue nombrado por Check Point en lugar de CrowdStrike. ^[81]

Dragos basa sus nombres para los grupos APT en minerales. ^[79]

Mandiant asigna acrónimos numerados en tres categorías, APT, FIN y UNC, lo que da como resultado nombres APT como FIN7 . Otras empresas que utilizan un sistema similar son Proofpoint (TA) e IBM (ITG y Hive). ^[79]

Microsoft solía asignar nombres de la tabla periódica , a menudo estilizados en mayúsculas (por ejemplo, POTASIO ); en abril de 2023, Microsoft cambió su esquema de nombres para usar nombres basados ​​en el clima (por ejemplo, Volt Typhoon). ^[82]

Véase también

• Oficina 121
• Actividad de inteligencia china en el exterior
• Espionaje cibernético
• Hotel oscuro
• Malware sin archivos
• Red fantasma
• Cadena de matanza
• Espectro de red
• Operación Aurora
• Operación Shady RAT
• Defensa cibernética proactiva
• Suplantación de identidad (spear phishing)
• Software espía
• Stuxnet
• Operaciones de acceso personalizadas
• Unidad 180
• Unidad 8200

Notas

1. Activo desde 2013, a diferencia de la mayoría de APT, Gamaredon se dirige a todos los usuarios en todo el mundo (además de centrarse también en ciertas víctimas, especialmente organizaciones ucranianas ^[71] ) y parece proporcionar servicios para otras APT. ^[72] Por ejemplo, el grupo de amenazas InvisiMole ha atacado sistemas seleccionados que Gamaredon había comprometido y rastreado anteriormente. ^[71]

Referencias

1. "¿Qué es una amenaza persistente avanzada (APT)?". www.kaspersky.com . Archivado desde el original el 22 de marzo de 2021 . Consultado el 11 de agosto de 2019 .
2. "¿Qué es una amenaza persistente avanzada (APT)?". Cisco . Archivado desde el original el 22 de marzo de 2021 . Consultado el 11 de agosto de 2019 .
3. Maloney, Sarah. "¿Qué es una amenaza persistente avanzada (APT)?". Archivado desde el original el 7 de abril de 2019. Consultado el 9 de noviembre de 2018 .
4. Cole., Eric (2013). Amenaza persistente avanzada: comprensión del peligro y cómo proteger su organización . Syngress. OCLC  939843912.
5. "Tendencias de ciberseguridad de M-Trends". FireEye . Archivado desde el original el 21 de septiembre de 2021 . Consultado el 11 de agosto de 2019 .
6. "Amenazas cibernéticas para los sectores de servicios financieros y seguros" (PDF) . FireEye . Archivado desde el original (PDF) el 11 de agosto de 2019.
7. "Amenazas cibernéticas para la industria minorista y de bienes de consumo" (PDF) . FireEye . Archivado desde el original (PDF) el 11 de agosto de 2019.
8. "Amenazas persistentes avanzadas: una perspectiva de Symantec" (PDF) . Symantec . Archivado desde el original (PDF) el 8 de mayo de 2018.
9. Au, Man Ho (2018). "Operación de datos personales que preserva la privacidad en la nube móvil: oportunidades y desafíos ante amenazas persistentes avanzadas". Future Generation Computer Systems . 79 : 337–349. doi :10.1016/j.future.2017.06.021.
10. «Amenazas persistentes avanzadas (APT)». Gobernanza de TI . Archivado desde el original el 11 de agosto de 2019. Consultado el 11 de agosto de 2019 .
11. "Advanced persistent Threat Awareness" (PDF) . TrendMicro Inc. Archivado (PDF) del original el 10 de junio de 2016 . Consultado el 11 de agosto de 2019 .
12. "Explicación: amenaza persistente avanzada (APT)". Malwarebytes Labs . 26 de julio de 2016. Archivado desde el original el 9 de mayo de 2019. Consultado el 11 de agosto de 2019 .
13. "Evaluación del tráfico saliente para descubrir amenazas persistentes avanzadas" (PDF) . SANS Technology Institute. Archivado desde el original (PDF) el 26 de junio de 2013 . Consultado el 14 de abril de 2013 .
14. "Presentación de la investigación de inteligencia sobre amenazas cibernéticas de Forrester". Forrester Research. Archivado desde el original el 15 de abril de 2014. Consultado el 14 de abril de 2014 .
15. Beim, Jared (2018). "Enforcing a Prohibition on International Espionage" (Imponer una prohibición del espionaje internacional) . Chicago Journal of International Law (Revista de Derecho Internacional de Chicago) . 18 : 647–672. ProQuest  2012381493. Archivado desde el original el 22 de mayo de 2021. Consultado el 18 de enero de 2023 .
16. "Amenazas persistentes avanzadas: aprenda el ABC de las APT, parte A". SecureWorks . Archivado desde el original el 7 de abril de 2019 . Consultado el 23 de enero de 2017 .
17. Olavsrud, Thor (30 de abril de 2012). «Los ataques dirigidos aumentaron y se volvieron más diversos en 2011». Revista CIO . Archivado desde el original el 14 de abril de 2021. Consultado el 14 de abril de 2021 .
18. "Una crisis en evolución". BusinessWeek. 10 de abril de 2008. Archivado desde el original el 10 de enero de 2010. Consultado el 20 de enero de 2010 .
19. "La nueva amenaza del espionaje electrónico". BusinessWeek. 10 de abril de 2008. Archivado desde el original el 18 de abril de 2011. Consultado el 19 de marzo de 2011 .
20. Rosenbach, Marcel; Schulz, Thomas; Wagner, Wieland (19 de enero de 2010). «Google bajo ataque: el alto coste de hacer negocios en China». Der Spiegel . Archivado desde el original el 21 de enero de 2010. Consultado el 20 de enero de 2010 .
21. "Comandante analiza una década de ciberpoder del Departamento de Defensa". DEPARTAMENTO DE DEFENSA DE LOS ESTADOS UNIDOS . Archivado desde el original el 19 de septiembre de 2020. Consultado el 28 de agosto de 2020 .
22. "Under Cyberthreat: Defense Contractors". Bloomberg.com . BusinessWeek. 6 de julio de 2009. Archivado desde el original el 11 de enero de 2010. Consultado el 20 de enero de 2010 .
23. "Entender la amenaza persistente avanzada". Tom Parker. 4 de febrero de 2010. Archivado desde el original el 18 de febrero de 2010. Consultado el 4 de febrero de 2010 .
24. "Amenaza persistente avanzada (u operaciones de fuerza informatizadas)" (PDF) . Usenix, Michael K. Daly. 4 de noviembre de 2009. Archivado (PDF) del original el 11 de mayo de 2021 . Consultado el 4 de noviembre de 2009 .
25. "Anatomía de una amenaza persistente avanzada (APT)". Dell SecureWorks. Archivado desde el original el 5 de marzo de 2016. Consultado el 21 de mayo de 2012 .
26. Gonzalez, Joaquin Jay III; Kemp, Roger L. (16 de enero de 2019). Ciberseguridad: escritos actuales sobre amenazas y protección. McFarland. p. 69. ISBN 978-1-4766-7440-7.
27. Ingerman, Bret; Yang, Catherine (31 de mayo de 2011). "Top-Ten IT Issues, 2011". Educause Review. Archivado desde el original el 14 de abril de 2021. Consultado el 14 de abril de 2021 .
28. McMahon, Dave; Rohozinski, Rafal. "The Dark Space Project: Defence R&D Canada – Centre for Security Science Contractor Report DRDC CSS CR 2013-007" (PDF) . publications.gc.ca . Archivado (PDF) del original el 5 de noviembre de 2016 . Consultado el 1 de abril de 2021 .
29. "Superar las amenazas de malware avanzadas y evasivas". Secureworks . Secureworks Insights. Archivado desde el original el 7 de abril de 2019 . Consultado el 24 de febrero de 2016 .
30. EMAGCOMSECURITY (9 de abril de 2015). «Grupo APT (Advanced Persistent Threat)». Archivado desde el original el 15 de enero de 2019. Consultado el 15 de enero de 2019 .
31. "APT1: Exponiendo una de las unidades de ciberespionaje de China". Mandiant. 2013. Archivado desde el original el 2 de febrero de 2015. Consultado el 19 de febrero de 2013 .
32. "¿Cuáles son las técnicas de acceso inicial de MITRE ATT&CK?". GitGuardian - Detección automatizada de secretos . 8 de junio de 2021. Archivado desde el original el 29 de noviembre de 2023. Consultado el 13 de octubre de 2023 .
33. Blanchard, Ben (19 de febrero de 2013). "China dice que las acusaciones de piratería informática de Estados Unidos carecen de pruebas técnicas". Reuters. Archivado desde el original el 14 de abril de 2021. Consultado el 14 de abril de 2021 .
34. Deibert, R.; Rohozinski, R.; Manchanda, A.; Villeneuve, N.; Walton, G (28 de marzo de 2009). «Tracking GhostNet: investigate a cyber espionage network». Centro Munk de Estudios Internacionales, Universidad de Toronto . Archivado desde el original el 27 de diciembre de 2023. Consultado el 27 de diciembre de 2023 .
35. RicMessier (30 de octubre de 2013). Certificación de elementos esenciales de seguridad GSEC GIAC All. McGraw Hill Professional, 2013. p. xxv. ISBN 978-0-07-182091-2.
36. "Anatomía de un ataque APT (Advanced Persistent Threat)". FireEye . Archivado desde el original el 7 de noviembre de 2020 . Consultado el 14 de noviembre de 2020 .
37. "Inteligencia de amenazas en una ciberdefensa activa (Parte 1)". Recorded Future . 18 de febrero de 2015. Archivado desde el original el 20 de junio de 2021 . Consultado el 10 de marzo de 2021 .
38. "Inteligencia de amenazas en una ciberdefensa activa (parte 2)". Recorded Future . 24 de febrero de 2015. Archivado desde el original el 27 de febrero de 2021. Consultado el 10 de marzo de 2021 .
39. "Un enfoque de investigación centrado en el contexto sobre el phishing y la tecnología operativa en los sistemas de control industrial | Journal of Information Warfare". www.jinfowar.com . Archivado desde el original el 31 de julio de 2021 . Consultado el 31 de julio de 2021 .
40. "Buckeye: equipo de espionaje utilizó herramientas de Equation Group antes de la filtración de Shadow Brokers". Symantec . 7 de mayo de 2019. Archivado desde el original el 7 de mayo de 2019 . Consultado el 23 de julio de 2019 .
41. "APT17: Escondiéndose a plena vista: FireEye y Microsoft revelan una táctica de ofuscación" (PDF) . FireEye . Mayo de 2015. Archivado (PDF) del original el 24 de noviembre de 2023 . Consultado el 21 de enero de 2024 .
42. "Actores de amenazas con base en China" (PDF) . Oficina de Seguridad de la Información del Departamento de Salud y Servicios Humanos de EE. UU . . 16 de agosto de 2023. Archivado (PDF) del original el 29 de diciembre de 2023 . Consultado el 29 de abril de 2024 .
43. van Dantzig, Martín; Schamper, Erik (19 de diciembre de 2019). "Wocao APT20" (PDF) . fox-it.com . Grupo NCC . Archivado desde el original (PDF) el 22 de marzo de 2021 . Consultado el 23 de diciembre de 2019 .
44. Vijayan, Jai (19 de diciembre de 2019). «Grupo de ciberespionaje con sede en China que ataca a organizaciones en 10 países». www.darkreading.com . Dark Reading. Archivado desde el original el 7 de mayo de 2021 . Consultado el 12 de enero de 2020 .
45. Barth, Bradley (16 de marzo de 2016). «'Suckfly' en la sopa: grupo APT chino roba certificados de firma de código». SC Media . Archivado desde el original el 24 de septiembre de 2024. Consultado el 24 de septiembre de 2024 .
46. "La construcción del avión chino Comac C919 implicó mucha piratería, según un informe". ZDNET . Archivado desde el original el 15 de noviembre de 2019 . Consultado el 24 de septiembre de 2024 .
47. Lyngaas, Sean (10 de agosto de 2021). «Los piratas informáticos chinos se hicieron pasar por iraníes para violar objetivos israelíes, dice FireEye». www.cyberscoop.com . Archivado desde el original el 29 de noviembre de 2023 . Consultado el 15 de agosto de 2021 .
48. Lyngaas, Sean (12 de febrero de 2019). «¿El país correcto, el grupo equivocado? Los investigadores dicen que no fue APT10 el que hackeó a la empresa de software noruega». www.cyberscoop.com . Cyberscoop. Archivado desde el original el 7 de mayo de 2021 . Consultado el 16 de octubre de 2020 .
49. Lyngaas, Sean (16 de octubre de 2020). «Google ofrece detalles sobre un grupo de piratas informáticos chino que atacó la campaña de Biden». Cyberscoop . Archivado desde el original el 7 de mayo de 2021. Consultado el 16 de octubre de 2020 .
50. "Cómo Microsoft nombra a los actores de amenazas". Microsoft. 16 de enero de 2024. Archivado desde el original el 10 de julio de 2024. Consultado el 21 de enero de 2024 .
51. "El Tesoro sanciona a piratas informáticos vinculados con China por atacar infraestructura crítica estadounidense". Departamento del Tesoro de Estados Unidos . 19 de marzo de 2024. Archivado desde el original el 25 de marzo de 2024. Consultado el 25 de marzo de 2024 .
52. "Double Dragon APT41, una operación dual de espionaje y cibercrimen". FireEye . 16 de octubre de 2019. Archivado desde el original el 7 de mayo de 2021 . Consultado el 14 de abril de 2020 .
53. "La oficina nombra a los culpables del ransomware". Taipei Times . 17 de mayo de 2020. Archivado desde el original el 22 de marzo de 2021 . Consultado el 22 de mayo de 2020 .
54. Error de cita: La referencia nombrada :5fue invocada pero nunca definida (ver la página de ayuda ).
55. Sabin, Sam (26 de octubre de 2022). «Nueva campaña de desinformación pro-China apunta a las elecciones de 2022: Informe». Axios . Archivado desde el original el 26 de octubre de 2022 . Consultado el 27 de octubre de 2022 .
56. Milmo, Dan (5 de abril de 2024). «China usará inteligencia artificial para perturbar las elecciones en Estados Unidos, Corea del Sur e India, advierte Microsoft». The Guardian . ISSN  0261-3077. Archivado desde el original el 25 de mayo de 2024. Consultado el 7 de abril de 2024 .
57. Naraine, Ryan (2 de marzo de 2021). "Microsoft: varios servidores de día cero de Exchange bajo ataque de un grupo de piratas informáticos chino". securityweek.com . Wired Business Media. Archivado desde el original el 6 de julio de 2023 . Consultado el 3 de marzo de 2021 .
58. Burt, Tom (2 de marzo de 2021). «Nuevos ciberataques de los Estados-nación». blogs.microsoft.com . Microsoft. Archivado desde el original el 2 de marzo de 2021 . Consultado el 3 de marzo de 2021 .
59. Nichols, Shaun (20 de octubre de 2021). «Los piratas informáticos de 'LightBasin' pasaron 5 años escondidos en redes de telecomunicaciones». TechTarget . Archivado desde el original el 29 de noviembre de 2023 . Consultado el 8 de abril de 2022 .
60. Ilascu, Ionut (19 de octubre de 2021). «El grupo de piratas informáticos LightBasin vulnera 13 telecomunicaciones globales en dos años». Bleeping Computer . Archivado desde el original el 24 de julio de 2023. Consultado el 8 de abril de 2022 .
61. Cimpanu, Catalin. "Los piratas informáticos atacan las redes de los militares taiwaneses y filipinos, que no cuentan con cobertura aérea". ZDnet . Archivado desde el original el 22 de marzo de 2021. Consultado el 16 de mayo de 2020 .
62. Inteligencia, Microsoft Threat (24 de mayo de 2023). «Volt Typhoon ataca infraestructura crítica de EE. UU. con técnicas de supervivencia en tierra». Blog de seguridad de Microsoft . Archivado desde el original el 17 de enero de 2024. Consultado el 26 de mayo de 2023 .
63. Tucker, Eric (18 de septiembre de 2024). «El FBI interrumpe una operación cibernética china dirigida a infraestructura crítica en Estados Unidos». Associated Press . Archivado desde el original el 24 de septiembre de 2024. Consultado el 18 de septiembre de 2024 .
64. "Cómo impedir el uso malicioso de la IA por parte de actores de amenazas afiliados a estados". 14 de febrero de 2024. Archivado desde el original el 16 de febrero de 2024 . Consultado el 16 de febrero de 2024 .
65. "Mantenerse a la vanguardia de los actores de amenazas en la era de la IA". Microsoft . 14 de febrero de 2024. Archivado desde el original el 16 de febrero de 2024 . Consultado el 16 de febrero de 2024 .
66. Krouse, Sarah; McMillan, Robert; Volz, Dustin (25 de septiembre de 2024). "Hackers vinculados a China atacan a proveedores de Internet de EE. UU. en un nuevo ciberataque llamado 'tifón de sal'" . The Wall Street Journal . Consultado el 25 de septiembre de 2024 .
67. Montalbano, Elizabeth (1 de septiembre de 2020). «Pioneer Kitten APT vende acceso a redes corporativas». Threat Post . Archivado desde el original el 22 de marzo de 2021. Consultado el 3 de septiembre de 2020 .
68. "APT39, ITG07, Chafer, Remix Kitten, Grupo G0087 | MITRE ATT&CK®". attack.mitre.org . Archivado desde el original el 30 de diciembre de 2022 . Consultado el 30 de diciembre de 2022 .
69. "Informe sobre amenazas globales de Crowdstrike 2020" (PDF) . crowdstrike.com . 2020. Archivado (PDF) del original el 14 de marzo de 2020 . Consultado el 30 de diciembre de 2020 .
70. Kyle Alspach (4 de febrero de 2022). «Microsoft revela nuevos detalles sobre el grupo de hackers ruso Gamaredon». VentureBeat . Archivado desde el original el 6 de febrero de 2022. Consultado el 22 de marzo de 2022 .
71. Charlie Osborne (21 de marzo de 2022). «Ucrania advierte de ataques de InvisiMole vinculados a piratas informáticos rusos patrocinados por el Estado». ZDNet . Archivado desde el original el 22 de marzo de 2022. Consultado el 22 de marzo de 2022 .
72. Warren Mercer; Vitor Ventura (23 de febrero de 2021). «Gamaredon: cuando los estados nacionales no pagan todas las cuentas». Cisco . Archivado desde el original el 19 de marzo de 2022 . Consultado el 22 de marzo de 2022 .
73. "Adversario: Oso venenoso - Actor amenazante". Universo Adversario de Crowdstrike . Consultado el 22 de marzo de 2022 .
74. Warren Mercer; Paul Rascagneres; Vitor Ventura (29 de junio de 2020). «PROMETHIUM amplía su alcance global con StrongPity3 APT». Cisco . Archivado desde el original el 22 de marzo de 2022 . Consultado el 22 de marzo de 2022 .
75. "Ecuación: La Estrella de la Muerte de la Galaxia del Malware". Kaspersky Lab . 16 de febrero de 2015. Archivado desde el original el 11 de julio de 2019. Consultado el 23 de julio de 2019 .
76. Gallagher, Sean (3 de octubre de 2019). "Kaspersky descubre una operación de piratería en Uzbekistán... porque el grupo utilizó el antivirus de Kaspersky". arstechnica.com . Ars Technica. Archivado desde el original el 22 de marzo de 2021 . Consultado el 5 de octubre de 2019 .
77. Panda, Ankit. «Capacidades cibernéticas ofensivas e inteligencia de salud pública: Vietnam, APT32 y COVID-19». thediplomat.com . The Diplomat. Archivado desde el original el 22 de marzo de 2021 . Consultado el 29 de abril de 2020 .
78. Tanriverdi, Hakan; Zierer, Max; Wetter, Ann-Kathrin; Biermann, Kai; Nguyen, Thi Do (8 de octubre de 2020). Nierle, Verena; Schöffel, Robert; Wreschniok, Lisa (eds.). "Alineados en la mira de los piratas informáticos vietnamitas". Bayerischer Rundfunk . Archivado del original el 22 de marzo de 2021. Consultado el 11 de octubre de 2020. En el caso de Bui, las pistas conducen a un grupo que presuntamente actúa en nombre del estado vietnamita. Los expertos tienen muchos nombres para este grupo: APT 32 y Ocean Lotus son los más conocidos. En conversaciones con una docena de especialistas en seguridad informática, todos coincidieron en que se trata de un grupo vietnamita que espía, en particular, a sus propios compatriotas.
79. BushidoToken (20 de mayo de 2022). «Esquemas de nombres de grupos de amenazas en inteligencia sobre amenazas cibernéticas». Inteligencia seleccionada. Archivado desde el original el 8 de diciembre de 2023. Consultado el 21 de enero de 2024 .
80. "Informe sobre amenazas globales de CrowdStrike 2023" (PDF) . CrowdStrike. Archivado (PDF) del original el 26 de marzo de 2024 . Consultado el 21 de enero de 2024 .
81. "Gatito rampante". Agencia de Desarrollo de Transacciones Electrónicas de Tailandia. Archivado desde el original el 29 de noviembre de 2022. Consultado el 21 de enero de 2024 .
82. Lambert, John (18 de abril de 2023). «Microsoft cambia a una nueva taxonomía de nombres para los actores de amenazas». Microsoft. Archivado desde el original el 22 de enero de 2024. Consultado el 21 de enero de 2024 .

Enlaces externos

Listas de grupos APT

• Mandiant: grupos de amenazas persistentes avanzadas
• La comunidad de seguridad MITRE ATT&CK realizó un seguimiento de las páginas de grupos persistentes avanzados