Amenaza Persistente Avanzada

Conjunto de procesos de piratería informática sigilosos y continuos.

Una amenaza persistente avanzada ( APT ) es un actor de amenaza sigiloso , generalmente un estado o un grupo patrocinado por un estado, que obtiene acceso no autorizado a una red informática y permanece sin ser detectado durante un período prolongado. ^{[1] [2]} En tiempos recientes, el término también puede referirse a grupos no patrocinados por el estado que llevan a cabo intrusiones selectivas a gran escala para objetivos específicos. ^[3]

Las motivaciones de estos actores de amenazas suelen ser políticas o económicas. ^[4] Todos los sectores empresariales importantes han registrado casos de ataques cibernéticos por parte de actores avanzados con objetivos específicos, ya sea robar, espiar o alterar la situación. Estos sectores objetivo incluyen gobierno, defensa , servicios financieros , servicios legales , industria , telecomunicaciones , bienes de consumo y muchos más. ^{[5] [6] [7]} Algunos grupos utilizan vectores de espionaje tradicionales , incluida la ingeniería social , la inteligencia humana y la infiltración para obtener acceso a una ubicación física y permitir ataques a la red. El objetivo de estos ataques es instalar malware personalizado (software malicioso) . ^[8]

Los ataques APT a dispositivos móviles también se han convertido en una preocupación legítima, ya que los atacantes pueden penetrar la nube y la infraestructura móvil para espiar, robar y manipular datos. ^[9]

El "tiempo de permanencia" medio, el tiempo que un ataque APT pasa desapercibido, difiere ampliamente entre regiones. FireEye informó que el tiempo de permanencia promedio para 2018 en América fue de 71 días, EMEA de 177 días y APAC de 204 días. ^[5] Un tiempo de permanencia tan largo permite a los atacantes una cantidad significativa de tiempo para recorrer el ciclo de ataque, propagarse y lograr sus objetivos.

Definición

Las definiciones de qué es exactamente una APT pueden variar, pero se pueden resumir en los requisitos nombrados a continuación:

• Avanzado  : los operadores detrás de la amenaza tienen un espectro completo de técnicas de recopilación de inteligencia a su disposición. Estos pueden incluir tecnologías y técnicas de intrusión informática comerciales y de código abierto, pero también pueden extenderse para incluir el aparato de inteligencia de un estado. Si bien es posible que los componentes individuales del ataque no se consideren particularmente "avanzados" (por ejemplo, componentes de malware generados a partir de kits de construcción de malware de bricolaje comúnmente disponibles o el uso de materiales de explotación fáciles de conseguir), sus operadores normalmente pueden acceder y desarrollar programas más avanzados. herramientas según sea necesario. A menudo combinan múltiples métodos, herramientas y técnicas de focalización para alcanzar y comprometer su objetivo y mantener el acceso a él. Los operadores también pueden demostrar un enfoque deliberado en la seguridad operativa que los diferencia de amenazas "menos avanzadas". ^{[3] [10] [11]}
• Persistente  : los operadores tienen objetivos específicos, en lugar de buscar información de manera oportunista para obtener ganancias financieras o de otro tipo. Esta distinción implica que los atacantes se guían por entidades externas. La focalización se realiza a través de un seguimiento e interacción continuos para lograr los objetivos definidos. No significa un aluvión de ataques constantes y actualizaciones de malware. De hecho, un enfoque "bajo y lento" suele tener más éxito. Si el operador pierde el acceso a su objetivo, normalmente volverá a intentarlo y, en la mayoría de los casos, con éxito. Uno de los objetivos del operador es mantener el acceso a largo plazo al objetivo, a diferencia de las amenazas que sólo necesitan acceso para ejecutar una tarea específica. ^{[10] [12]}
• Amenaza  : las APT son una amenaza porque tienen tanto capacidad como intención. Los ataques APT se ejecutan mediante acciones humanas coordinadas, en lugar de fragmentos de código automatizados y sin sentido. Los operadores tienen un objetivo específico y están capacitados, motivados, organizados y bien financiados. Los actores no se limitan a grupos patrocinados por el estado. ^{[3] [10]}

Historia y objetivos

En 2005, organizaciones CERT del Reino Unido y Estados Unidos publicaron advertencias contra los correos electrónicos dirigidos y diseñados socialmente que lanzaban troyanos para filtrar información confidencial . Este método se utilizó a principios de la década de 1990 y no constituye en sí mismo una APT. Se ha citado que el término "amenaza persistente avanzada" se originó en la Fuerza Aérea de los Estados Unidos en 2006 ^[13] y se citó al coronel Greg Rattray como la persona que acuñó el término. ^[14]

El gusano informático Stuxnet , que tuvo como objetivo el hardware informático del programa nuclear de Irán , es un ejemplo de ataque APT. En este caso, el gobierno iraní podría considerar a los creadores de Stuxnet como una amenaza avanzada y persistente. ^{[ cita necesaria ] [15]}

Dentro de la comunidad de seguridad informática , y cada vez más dentro de los medios de comunicación, el término casi siempre se utiliza en referencia a un patrón a largo plazo de explotación sofisticada de redes informáticas dirigido a gobiernos, empresas y activistas políticos y, por extensión, también para atribuir a la A , P y T atribuyen a los grupos detrás de estos ataques. ^[16] El término amenaza persistente avanzada (APT, por sus siglas en inglés) puede estar cambiando el enfoque hacia la piratería informática debido al creciente número de sucesos. PC World informó un aumento del 81 por ciento entre 2010 y 2011 de ataques informáticos dirigidos particularmente avanzados. ^[17]

Los actores de muchos países han utilizado el ciberespacio como medio para recopilar información sobre personas y grupos de personas de interés. ^{[18] [19] [20]} El Comando Cibernético de los Estados Unidos tiene la tarea de coordinar las operaciones cibernéticas ofensivas y defensivas del ejército estadounidense . ^[21]

Numerosas fuentes han alegado que algunos grupos de la APT están afiliados o son agentes de gobiernos de estados soberanos . ^{[22] [23] [24]} Las empresas que poseen una gran cantidad de información de identificación personal corren un alto riesgo de ser blanco de amenazas persistentes avanzadas, que incluyen: ^[25]

• Agricultura ^[26]
• Energía
• Instituciones financieras
• Cuidado de la salud
• Educación superior ^[27]
• Fabricación
• Tecnología
• Telecomunicaciones
• Transporte

Un estudio de Bell Canada proporcionó una investigación profunda sobre la anatomía de las APT y descubrió una presencia generalizada en el gobierno y la infraestructura crítica de Canadá. La atribución se estableció a actores chinos y rusos. ^[28]

Ciclo vital

Un diagrama que representa el enfoque por etapas del ciclo de vida de una amenaza persistente avanzada (APT), que se repite una vez completa.

Los actores detrás de las amenazas persistentes avanzadas crean un riesgo creciente y cambiante para los activos financieros, la propiedad intelectual y la reputación de las organizaciones ^[29] al seguir un proceso continuo o cadena de destrucción :

1. Dirigirse a organizaciones específicas para un objetivo singular
2. Intentar afianzarse en el entorno (las tácticas comunes incluyen correos electrónicos de phishing )
3. Utilice los sistemas comprometidos como acceso a la red de destino
4. Implementar herramientas adicionales que ayuden a cumplir el objetivo del ataque.
5. Cubrir pistas para mantener el acceso para futuras iniciativas.

El panorama global de las APT de todas las fuentes a veces se denomina en singular "la" APT, al igual que las referencias al actor detrás de un incidente o serie de incidentes específicos, pero la definición de APT incluye tanto al actor como al método. ^[30]

En 2013, Mandiant presentó los resultados de su investigación sobre supuestos ataques chinos utilizando el método APT entre 2004 y 2013 ^[31] que siguieron un ciclo de vida similar:

• Compromiso inicial  : realizado mediante el uso de ingeniería social y phishing , a través de correo electrónico, utilizando virus de día cero . Otro método de infección popular era colocar malware en un sitio web que probablemente visitarían los empleados de la víctima. ^[32]
• Establezca un punto de apoyo  : instale software de administración remota en la red de la víctima, cree puertas traseras de red y túneles que permitan el acceso sigiloso a su infraestructura.
• Escalar privilegios  : utilice exploits y descifrado de contraseñas para adquirir privilegios de administrador sobre la computadora de la víctima y posiblemente expandirlos a cuentas de administrador de dominio de Windows .
• Reconocimiento interno  : recopile información sobre la infraestructura circundante, relaciones de confianza y estructura de dominio de Windows .
• Muévase lateralmente  : amplíe el control a otras estaciones de trabajo, servidores y elementos de infraestructura y realice la recopilación de datos en ellos.
• Mantenga la presencia  : garantice un control continuo sobre los canales de acceso y las credenciales adquiridas en los pasos anteriores.
• Completa la misión  : extrae los datos robados de la red de la víctima.

En los incidentes analizados por Mandiant, el período promedio durante el cual los atacantes controlaron la red de la víctima fue de un año, siendo el más largo de casi cinco años. ^[31] Las infiltraciones fueron presuntamente realizadas por la Unidad 61398 del Ejército Popular de Liberación con sede en Shanghai . Los funcionarios chinos han negado cualquier participación en estos ataques. ^[33]

Informes anteriores de Secdev habían descubierto e implicado a actores chinos. ^[34]

Estrategias de mitigación

Hay decenas de millones de variaciones de malware, ^[35] lo que hace que sea extremadamente difícil proteger a las organizaciones de APT. Si bien las actividades de APT son sigilosas y difíciles de detectar, el tráfico de red de comando y control asociado con APT se puede detectar a nivel de capa de red con métodos sofisticados. Los análisis de registros profundos y la correlación de registros de diversas fuentes tienen una utilidad limitada para detectar actividades de APT. Es un desafío separar los ruidos del tráfico legítimo. La tecnología y los métodos de seguridad tradicionales han sido ineficaces para detectar o mitigar las APT. ^[36] La ciberdefensa activa ha producido una mayor eficacia en la detección y procesamiento de APT (encontrar, arreglar, terminar) al aplicar inteligencia sobre amenazas cibernéticas para cazar y perseguir al adversario. ^{[37] [38]} Las vulnerabilidades cibernéticas introducidas por humanos (HICV) son un vínculo cibernético débil que no se comprende ni se mitiga bien y constituye un vector de ataque importante. ^[39]

grupos APT

Porcelana

Desde que Xi Jinping se convirtió en secretario general del Partido Comunista Chino en 2012, el Ministerio de Seguridad del Estado adquirió más responsabilidad sobre el ciberespionaje frente al Ejército Popular de Liberación y actualmente supervisa varios grupos de la APT. ^[40] Según el investigador de seguridad Timo Steffens, "el panorama de APT en China se gestiona con un enfoque de 'todo el país', aprovechando las habilidades de las universidades, los sectores individuales y públicos y privados". ^[41]

• APT1 es la unidad PLA 61398
• APT2 es la unidad PLA 61486
• APT3 (también conocido como Boyusec), es el Departamento de Seguridad del Estado de Guangdong del MSS. ^[42]
• APT10 (también conocido como Red Apollo), es la Oficina de Seguridad del Estado de Tianjin del MSS
• APT12 (también conocido como Panda Numerado) es una unidad no identificada del PLA.
• APT17 (también conocido como ViceDog) es una unidad no identificada del gobierno chino. ^[43]
• APT18 (también conocido como Dynamite Panda o Scandium) es una unidad de la Armada del Ejército Popular de Liberación ^[44]
• APT19 (también conocido como Deep Panda o C0d0so0 Team) es una unidad no identificada del gobierno chino.
• APT20 (también conocido como Violin Panda o Wocao) es una unidad no identificada del gobierno chino. ^{[45] [46]}
• APT22 (también conocido como Suckfly) es una unidad no identificada del gobierno chino
• APT26 (también conocido como Turbine Panda) es el Departamento de Seguridad del Estado de Jiangsu del MSS.
• APT27 (también conocido como Emissary Panda) es una unidad no identificada del gobierno chino. ^[47]
• APT30 (también conocido como Naikon) es la unidad PLA 78020
• APT31 (también conocido como Zirconium o Hurricane Panda) es el Departamento de Seguridad del Estado de Hubei del MSS ^{[48] [49] [50] [51]}
• APT40 es el Departamento de Seguridad del Estado de Hainan del MSS
  • El hafnio está estrechamente asociado con APT40. ^{[52] [53] [54]}
• APT41 (también conocido como Double Dragon, Winnti Group o Barium) es una unidad del Ministerio de Seguridad del Estado con sede en Chengdu, China. ^{[55] [56] [57] [58] [44]}
• LightBasin ^{[59] [60]} (También conocido como UNC1945)
• Puente Dragón ^[61]
• Soldado tropical ^{[62] [63]}
• Tifón de voltios ^[64]

Irán

• Gatito encantador (también conocido como APT35)
• Equipo Elfin (también conocido como APT33)
• Helix Kitten (también conocido como APT34)
• Gatito pionero ^[65]
• Remix Kitten (también conocido como APT39, ITG07 o Chafer) ^{[66] [67]}

Corea del Norte

• Kimsuky
• Grupo Lazarus (también conocido como APT38)
• Ricochet Chollima (también conocido como APT37)

Rusia

• Oso enloquecido
• Oso acogedor (también conocido como APT29)
• Fancy Bear (también conocido como APT28)
• FIN7
• Gamaredon ^[68] (también conocido como Oso Primitivo ) ^[a]
• gusano de arena
• Oso venenoso ^[71]

Turquía

• StrongPity (también conocido como APT-C-41 o PROMETHIUM) ^[72]

Estados Unidos

• Grupo de ecuaciones ^[73]

Uzbekistán

• SandCat, asociado con el Servicio de Seguridad del Estado según Kaspersky ^[74]

Vietnam

• OceanLotus (también conocido como APT32 ) ^{[75] [76]}

Nombrar

Varias organizaciones pueden asignar diferentes nombres al mismo actor. Como cada investigador puede tener sus propias evaluaciones diferentes de un grupo APT, empresas como CrowdStrike , Kaspersky , Mandiant y Microsoft , entre otras, tienen sus propios esquemas de nombres internos. ^[77] Los nombres entre diferentes organizaciones pueden referirse a grupos superpuestos pero, en última instancia, diferentes, según diversos datos recopilados.

CrowdStrike asigna animales por estado-nación u otra categoría, como "gatito" para Irán y "araña" para grupos centrados en el cibercrimen. ^[78] Otras empresas han nombrado grupos basándose en este sistema: Rampant Kitten, por ejemplo, fue nombrado por Check Point en lugar de CrowdStrike. ^[79]

Dragos basa los nombres de los grupos APT en minerales. ^[77]

Mandiant asigna siglas numeradas en tres categorías, APT, FIN y UNC, lo que da como resultado nombres APT como FIN7 . Otras empresas que utilizan un sistema similar son Proofpoint (TA) e IBM (ITG y Hive). ^[77]

Microsoft solía asignar nombres de la tabla periódica , a menudo estilizados en mayúsculas (por ejemplo, POTASIO ); En abril de 2023, Microsoft cambió su esquema de nomenclatura para utilizar nombres basados ​​en el clima (por ejemplo, Volt Typhoon). ^[80]

Ver también

• Oficina 121
• Actividad de inteligencia china en el extranjero
• Espionaje cibernético
• hotel oscuro
• Malware sin archivos
• Red fantasma
• cadena de muerte
• NetSpectre
• Operación Aurora
• Operación RATA Sombría
• Ciberdefensa proactiva
• Spear-phishing
• software espía
• estuxnet
• Operaciones de acceso personalizadas
• Unidad 180
• Unidad 8200

Notas

1. activo desde 2013, a diferencia de la mayoría de las APT, Gamaredon se dirige ampliamente a todos los usuarios de todo el mundo (además de centrarse también en ciertas víctimas, especialmente organizaciones ucranianas ^[69] ) y parece brindar servicios para otras APT. ^[70] Por ejemplo, el grupo de amenazas InvisiMole ha atacado sistemas seleccionados que Gamaredon había comprometido anteriormente y había tomado huellas digitales. ^[69]

Referencias

1. "¿Qué es una amenaza persistente avanzada (APT)?". www.kaspersky.com . Archivado desde el original el 22 de marzo de 2021 . Consultado el 11 de agosto de 2019 .
2. "¿Qué es una amenaza persistente avanzada (APT)?". Cisco . Archivado desde el original el 22 de marzo de 2021 . Consultado el 11 de agosto de 2019 .
3. Maloney, Sarah. "¿Qué es una amenaza persistente avanzada (APT)?". Archivado desde el original el 7 de abril de 2019 . Consultado el 9 de noviembre de 2018 .
4. Cole., Eric (2013). Amenaza persistente avanzada: comprensión del peligro y cómo proteger su organización . Singreso. OCLC  939843912.
5. "Tendencias en seguridad cibernética de M-Trends". Ojo de fuego . Archivado desde el original el 21 de septiembre de 2021 . Consultado el 11 de agosto de 2019 .
6. "Ciberamenazas a las industrias de seguros y servicios financieros" (PDF) . Ojo de fuego . Archivado desde el original (PDF) el 11 de agosto de 2019.
7. "Amenazas cibernéticas para la industria minorista y de bienes de consumo" (PDF) . Ojo de fuego . Archivado desde el original (PDF) el 11 de agosto de 2019.
8. "Amenazas persistentes avanzadas: una perspectiva de Symantec" (PDF) . Symantec . Archivado desde el original (PDF) el 8 de mayo de 2018.
9. Au, Man Ho (2018). "Operación de datos personales para preservar la privacidad en la nube móvil: oportunidades y desafíos frente a amenazas persistentes avanzadas". Sistemas informáticos de generación futura . 79 : 337–349. doi : 10.1016/j.future.2017.06.021.
10. "Amenazas persistentes avanzadas (APT)". Gobernanza de TI . Archivado desde el original el 11 de agosto de 2019 . Consultado el 11 de agosto de 2019 .
11. "Conciencia avanzada sobre amenazas persistentes" (PDF) . TrendMicro Inc. Archivado (PDF) desde el original el 10 de junio de 2016 . Consultado el 11 de agosto de 2019 .
12. "Explicado: amenaza persistente avanzada (APT)". Laboratorios Malwarebytes . 26 de julio de 2016. Archivado desde el original el 9 de mayo de 2019 . Consultado el 11 de agosto de 2019 .
13. "Evaluación del tráfico saliente para descubrir amenazas persistentes avanzadas" (PDF) . Instituto Tecnológico SANS. Archivado desde el original (PDF) el 26 de junio de 2013 . Consultado el 14 de abril de 2013 .
14. "Presentación de la investigación de inteligencia sobre amenazas cibernéticas de Forrester". Investigación de Forrester. Archivado desde el original el 15 de abril de 2014 . Consultado el 14 de abril de 2014 .
15. Beim, Jared (2018). "Hacer cumplir una prohibición de espionaje internacional" . Revista de Derecho Internacional de Chicago . 18 : 647–672. ProQuest  2012381493. Archivado desde el original el 22 de mayo de 2021 . Consultado el 18 de enero de 2023 .
16. "Amenazas persistentes avanzadas: aprenda el ABC de las APT - Parte A". Trabajos seguros . Archivado desde el original el 7 de abril de 2019 . Consultado el 23 de enero de 2017 .
17. Olavsrud, Thor (30 de abril de 2012). "Los ataques dirigidos aumentaron y se volvieron más diversos en 2011". Revista CIO . Archivado desde el original el 14 de abril de 2021 . Consultado el 14 de abril de 2021 .
18. "Una crisis en evolución". Semana de negocios. 10 de abril de 2008. Archivado desde el original el 10 de enero de 2010 . Consultado el 20 de enero de 2010 .
19. "La nueva amenaza del espionaje electrónico". Semana de negocios. 10 de abril de 2008. Archivado desde el original el 18 de abril de 2011 . Consultado el 19 de marzo de 2011 .
20. Rosenbach, Marcel; Schulz, Thomas; Wagner, Wieland (19 de enero de 2010). "Google bajo ataque: el alto costo de hacer negocios en China". El Spiegel . Archivado desde el original el 21 de enero de 2010 . Consultado el 20 de enero de 2010 .
21. "El comandante analiza una década de poder cibernético del DOD". DEPARTAMENTO DE DEFENSA DE EE. UU . Archivado desde el original el 19 de septiembre de 2020 . Consultado el 28 de agosto de 2020 .
22. "Bajo ciberamenaza: contratistas de defensa". Bloomberg.com . Semana de negocios. 6 de julio de 2009. Archivado desde el original el 11 de enero de 2010 . Consultado el 20 de enero de 2010 .
23. "Comprensión de la amenaza persistente avanzada". Tom Parker. 4 de febrero de 2010. Archivado desde el original el 18 de febrero de 2010 . Consultado el 4 de febrero de 2010 .
24. "Amenaza persistente avanzada (u operaciones de fuerza informatizadas)" (PDF) . Usenix, Michael K. Daly. 4 de noviembre de 2009. Archivado (PDF) desde el original el 11 de mayo de 2021 . Consultado el 4 de noviembre de 2009 .
25. "Anatomía de una amenaza persistente avanzada (APT)". Dell SecureWorks. Archivado desde el original el 5 de marzo de 2016 . Consultado el 21 de mayo de 2012 .
26. González, Joaquín Jay III; Kemp, Roger L. (16 de enero de 2019). Ciberseguridad: escritos actuales sobre amenazas y protección. McFarland. pag. 69.ISBN​ 978-1-4766-7440-7.
27. Ingerman, Bret; Yang, Catherine (31 de mayo de 2011). "Diez problemas de TI principales, 2011". Revisión de Educause. Archivado desde el original el 14 de abril de 2021 . Consultado el 14 de abril de 2021 .
28. McMahon, Dave; Rohozinski, Rafal. "El proyecto del espacio oscuro: I+D de defensa de Canadá - Informe del contratista del Centro de ciencias de seguridad DRDC CSS CR 2013-007" (PDF) . publicaciones.gc.ca . Archivado (PDF) desde el original el 5 de noviembre de 2016 . Consultado el 1 de abril de 2021 .
29. "Superar las amenazas de malware evasivas y avanzadas". Trabajos seguros . Perspectivas de Secureworks. Archivado desde el original el 7 de abril de 2019 . Consultado el 24 de febrero de 2016 .
30. EMAGCOMSECURITY (9 de abril de 2015). "Grupo APT (amenaza persistente avanzada)". Archivado desde el original el 15 de enero de 2019 . Consultado el 15 de enero de 2019 .
31. "APT1: Exponiendo una de las unidades de ciberespionaje de China". Mandante. 2013. Archivado desde el original el 2 de febrero de 2015 . Consultado el 19 de febrero de 2013 .
32. "¿Qué son las técnicas de acceso inicial de MITRE ATT&CK?". GitGuardian: detección automatizada de secretos . 8 de junio de 2021. Archivado desde el original el 29 de noviembre de 2023 . Consultado el 13 de octubre de 2023 .
33. Blanchard, Ben (19 de febrero de 2013). "China dice que las acusaciones de piratería informática de Estados Unidos carecen de pruebas técnicas". Reuters. Archivado desde el original el 14 de abril de 2021 . Consultado el 14 de abril de 2021 .
34. Deibert, R.; Rohozinski, R.; Manchanda, A.; Villeneuve, N.; Walton, G (28 de marzo de 2009). "Seguimiento de GhostNet: investigación de una red de ciberespionaje". Centro Munk de Estudios Internacionales, Universidad de Toronto . Archivado desde el original el 27 de diciembre de 2023 . Consultado el 27 de diciembre de 2023 .
35. RicMessier (30 de octubre de 2013). Certificación GSEC GIAC Security Essentials Todos. McGraw Hill Profesional, 2013. p. xxv. ISBN 978-0-07-182091-2.
36. "Anatomía de un ataque APT (amenaza persistente avanzada)". Ojo de fuego . Archivado desde el original el 7 de noviembre de 2020 . Consultado el 14 de noviembre de 2020 .
37. "Inteligencia sobre amenazas en una ciberdefensa activa (Parte 1)". Futuro grabado . 18 de febrero de 2015. Archivado desde el original el 20 de junio de 2021 . Consultado el 10 de marzo de 2021 .
38. "Inteligencia sobre amenazas en una ciberdefensa activa (Parte 2)". Futuro grabado . 24 de febrero de 2015. Archivado desde el original el 27 de febrero de 2021 . Consultado el 10 de marzo de 2021 .
39. "Un enfoque de investigación centrado en el contexto sobre el phishing y la tecnología operativa en sistemas de control industrial | Journal of Information Warfare". www.jinfowar.com . Archivado desde el original el 31 de julio de 2021 . Consultado el 31 de julio de 2021 .
40. Mozur, Pablo; Buckley, Chris (26 de agosto de 2021). "Espías a sueldo: la nueva generación de piratas informáticos de China combina espionaje y espíritu empresarial". Los New York Times . ISSN  0362-4331. Archivado desde el original el 27 de agosto de 2021 . Consultado el 27 de agosto de 2021 .
41. Stone, Jeff (5 de octubre de 2020). "Los espías extranjeros utilizan empresas fachada para disfrazar su piratería, tomando prestada una vieja táctica de camuflaje". ciberscoop.com . Ciberscoop. Archivado desde el original el 22 de marzo de 2021 . Consultado el 11 de octubre de 2020 .
42. "Buckeye: equipo de espionaje utilizó herramientas de grupo de ecuaciones antes de la fuga de Shadow Brokers". Symantec . 7 de mayo de 2019. Archivado desde el original el 7 de mayo de 2019 . Consultado el 23 de julio de 2019 .
43. "APT17: Esconderse a plena vista: FireEye y Microsoft exponen una táctica de ofuscación" (PDF) . Ojo de fuego . Mayo de 2015. Archivado desde el original (PDF) el 24 de noviembre de 2023 . Consultado el 21 de marzo de 2021 .
44. "Actores de amenazas con sede en China" (PDF) . Oficina de Seguridad de la Información del Departamento de Salud y Servicios Humanos de EE. UU . 16 de agosto de 2023. Archivado (PDF) desde el original el 29 de diciembre de 2023 . Consultado el 29 de abril de 2024 .
45. van Dantzig, Martín; Schamper, Erik (19 de diciembre de 2019). "Wocao APT20" (PDF) . fox-it.com . Grupo NCC . Archivado desde el original (PDF) el 22 de marzo de 2021 . Consultado el 23 de diciembre de 2019 .
46. Vijayan, Jai (19 de diciembre de 2019). "Grupo de ciberespionaje con sede en China dirigido a organizaciones en 10 países". www.darkreading.com . Lectura oscura. Archivado desde el original el 7 de mayo de 2021 . Consultado el 12 de enero de 2020 .
47. Lyngaas, Sean (10 de agosto de 2021). "Los piratas informáticos chinos se hicieron pasar por iraníes para violar objetivos israelíes, dice FireEye". www.cyberscoop.com . Archivado desde el original el 29 de noviembre de 2023 . Consultado el 15 de agosto de 2021 .
48. "El Tesoro sanciona a piratas informáticos vinculados a China por atacar infraestructura crítica de EE. UU.". Departamento del Tesoro de EE.UU. 19 de marzo de 2024. Archivado desde el original el 25 de marzo de 2024 . Consultado el 25 de marzo de 2024 .
49. Lyngaas, Sean (16 de octubre de 2020). "Google ofrece detalles sobre el grupo de piratería chino que atacó la campaña de Biden". Ciberscoop . Archivado desde el original el 7 de mayo de 2021 . Consultado el 16 de octubre de 2020 .
50. Hui, Sylvia (25 de marzo de 2024). "Estados Unidos y el Reino Unido anuncian sanciones por ataques vinculados a China contra legisladores y organismos de control electoral". Associated Press . Archivado desde el original el 25 de marzo de 2024 . Consultado el 25 de marzo de 2024 .
51. Lyngaas, Sean (12 de febrero de 2019). "¿País correcto, grupo equivocado? Los investigadores dicen que no fue APT10 quien pirateó la empresa de software noruega". www.cyberscoop.com . Ciberscoop. Archivado desde el original el 7 de mayo de 2021 . Consultado el 16 de octubre de 2020 .
52. Naraine, Ryan (2 de marzo de 2021). "Microsoft: múltiples días cero de Exchange Server bajo ataque de un grupo de piratería chino". semana de seguridad.com . Medios comerciales por cable. Archivado desde el original el 6 de julio de 2023 . Consultado el 3 de marzo de 2021 .
53. Burt, Tom (2 de marzo de 2021). "Nuevos ciberataques contra Estados-nación". blogs.microsoft.com . Microsoft. Archivado desde el original el 2 de marzo de 2021 . Consultado el 3 de marzo de 2021 .
54. Gatlan, Sergiu (19 de julio de 2021). "Estados Unidos y sus aliados acusan oficialmente a China de ataques a Microsoft Exchange". Computadora que suena . Archivado desde el original el 25 de marzo de 2024 . Consultado el 25 de marzo de 2024 .
55. "Double Dragon APT41, una doble operación de espionaje y cibercrimen". Ojo de fuego . 16 de octubre de 2019. Archivado desde el original el 7 de mayo de 2021 . Consultado el 14 de abril de 2020 .
56. "La oficina nombra a los culpables del ransomware". www.taipeitimes.com . Tiempos de Taipei. 17 de mayo de 2020. Archivado desde el original el 22 de marzo de 2021 . Consultado el 22 de mayo de 2020 .
57. Tartar, Mathieu; Smolár, Martín (21 de mayo de 2020). "No hay" fin del juego "para el Grupo Winnti". www.welivesecurity.com . Vivimos la Seguridad. Archivado desde el original el 22 de marzo de 2021 . Consultado el 22 de mayo de 2020 .
58. Greenberg, Andy (6 de agosto de 2020). "Los piratas informáticos chinos han saqueado la industria de semiconductores de Taiwán". Cableado . Archivado desde el original el 22 de marzo de 2021 . Consultado el 7 de agosto de 2020 .
59. Nichols, Shaun (20 de octubre de 2021). "'Los piratas informáticos de LightBasin pasaron 5 años escondidos en redes de telecomunicaciones ". Objetivo tecnológico . Archivado desde el original el 29 de noviembre de 2023 . Consultado el 8 de abril de 2022 .
60. Ilascu, Ionut (19 de octubre de 2021). "El grupo de piratería LightBasin viola 13 telecomunicaciones globales en dos años". Computadora que suena . Archivado desde el original el 24 de julio de 2023 . Consultado el 8 de abril de 2022 .
61. Sabin, Sam (26 de octubre de 2022). "Nueva campaña de desinformación pro-China apunta a las elecciones de 2022: Informe". Axios . Archivado desde el original el 26 de octubre de 2022 . Consultado el 27 de octubre de 2022 .
62. Chen, Joey (12 de mayo de 2020). "Tropic Trooper's Back: USBferry Attack apunta a entornos con espacios abiertos". blog.trendmicro.com . Tendencia Micro. Archivado desde el original el 22 de marzo de 2021 . Consultado el 16 de mayo de 2020 .
63. Cimpanu, Catalín. "Los piratas informáticos apuntan a las redes aisladas del ejército taiwanés y filipino". ZDnet . Archivado desde el original el 22 de marzo de 2021 . Consultado el 16 de mayo de 2020 .
64. Inteligencia, Microsoft Threat (24 de mayo de 2023). "Volt Typhoon apunta a infraestructura crítica de EE. UU. con técnicas de subsistencia de la tierra". Blog de seguridad de Microsoft . Archivado desde el original el 17 de enero de 2024 . Consultado el 26 de mayo de 2023 .
65. Montalbano, Elizabeth (1 de septiembre de 2020). "Pioneer Kitten APT vende acceso a la red corporativa". Publicación de amenaza . Archivado desde el original el 22 de marzo de 2021 . Consultado el 3 de septiembre de 2020 .
66. "APT39, ITG07, Chafer, Remix Kitten, Grupo G0087 | MITRE ATT&CK®". ataque.mitre.org . Archivado desde el original el 30 de diciembre de 2022 . Consultado el 30 de diciembre de 2022 .
67. "Informe sobre amenazas globales de Crowdstrike 2020" (PDF) . crowdstrike.com . 2020. Archivado (PDF) desde el original el 14 de marzo de 2020 . Consultado el 30 de diciembre de 2020 .
68. Kyle Alspach (4 de febrero de 2022). "Microsoft revela nuevos detalles sobre el grupo de hackers ruso Gamaredon". VentureBeat . Archivado desde el original el 6 de febrero de 2022 . Consultado el 22 de marzo de 2022 .
69. Charlie Osborne (21 de marzo de 2022). "Ucrania advierte sobre ataques de InvisiMole vinculados a piratas informáticos rusos patrocinados por el estado". ZDNet . Archivado desde el original el 22 de marzo de 2022 . Consultado el 22 de marzo de 2022 .
70. Warren Mercer; Vítor Ventura (23 de febrero de 2021). "Gamaredon: cuando los estados nacionales no pagan todas las facturas". Cisco . Archivado desde el original el 19 de marzo de 2022 . Consultado el 22 de marzo de 2022 .
71. "Adversario: Oso venenoso - Actor de amenaza". Universo Adversario de Crowdstrike . Consultado el 22 de marzo de 2022 .
72. Warren Mercer; Pablo Rascagneres; Vítor Ventura (29 de junio de 2020). "PROMETHIUM amplía el alcance global con StrongPity3 APT". Cisco . Archivado desde el original el 22 de marzo de 2022 . Consultado el 22 de marzo de 2022 .
73. "Ecuación: la estrella de la muerte de la galaxia del malware". Laboratorio Kaspersky . 16 de febrero de 2015. Archivado desde el original el 11 de julio de 2019 . Consultado el 23 de julio de 2019 .
74. Gallagher, Sean (3 de octubre de 2019). "Kaspersky encuentra una operación de piratería en Uzbekistán... porque el grupo utilizó Kaspersky AV". arstechnica.com . Ars Técnica. Archivado desde el original el 22 de marzo de 2021 . Consultado el 5 de octubre de 2019 .
75. Panda, Ankit. "Capacidades cibernéticas ofensivas e inteligencia en salud pública: Vietnam, APT32 y COVID-19". thediplomat.com . El diplomático. Archivado desde el original el 22 de marzo de 2021 . Consultado el 29 de abril de 2020 .
76. Tanriverdi, Hakan; Zierer, Max; Más húmedo, Ann-Kathrin; Biermann, Kai; Nguyen, Thi Do (8 de octubre de 2020). Nierle, Verena; Schöffel, Robert; Wreschniok, Lisa (eds.). "Alineados en la mira de los hackers vietnamitas". Bayerischer Rundfunk . Archivado desde el original el 22 de marzo de 2021 . Consultado el 11 de octubre de 2020 . En el caso de Bui, las huellas conducen a un grupo que presuntamente actúa en nombre del Estado vietnamita. Los expertos dan muchos nombres a este grupo: los más conocidos son APT 32 y Ocean Lotus. En conversaciones con una docena de especialistas en seguridad de la información, todos coincidieron en que se trata de un grupo vietnamita que espía, en particular, a sus propios compatriotas.
77. BushidoToken (20 de mayo de 2022). "Esquemas de denominación de grupos de amenazas en inteligencia sobre amenazas cibernéticas". Inteligencia curada. Archivado desde el original el 8 de diciembre de 2023 . Consultado el 21 de enero de 2024 .
78. "Informe de amenazas globales de CrowdStrike 2023" (PDF) . Golpe de multitud. Archivado (PDF) desde el original el 26 de marzo de 2024 . Consultado el 21 de enero de 2024 .
79. "Gatito rampante". Agencia de Desarrollo de Transacciones Electrónicas de Tailandia. Archivado desde el original el 29 de noviembre de 2022 . Consultado el 21 de enero de 2024 .
80. Lambert, John (18 de abril de 2023). "Microsoft cambia a una nueva taxonomía de nombres de actores de amenazas". Microsoft. Archivado desde el original el 22 de enero de 2024 . Consultado el 21 de enero de 2024 .

enlaces externos

Listas de grupos APT

• Mandiant: grupos de amenazas persistentes avanzadas
• La comunidad de seguridad MITRE ATT&CK realizó un seguimiento de las páginas de grupos persistentes avanzados