APT란 무엇입니까?

사이버 보안에는 수많은 악의적인 위협이 있습니다. 사이버 범죄자가 악의적일 수 있는 다른 많은 방법이 있지만 이러한 위협 중 다수는 맬웨어를 작성합니다. 그러나 그들 사이의 기술 수준은 많이 다릅니다. 많은 "해커" 는 기존 도구만 실행할 수 있고 자체적으로 만들 수 있는 기술이 부족한 스크립트 키디 일 뿐입니다 . 많은 해커가 멀웨어를 만드는 기술을 가지고 있지만 정확한 수준은 크게 다릅니다. 그러나 APT라는 독점 계층이 하나 더 있습니다.

APT는 Advanced Persistent Threat의 약자입니다. 그것들은 해커들에게 최고의 작물이며 일반적으로 업계 최고입니다. APT는 기술적으로 익스플로잇 개발에 능숙한 것이 아닙니다. 그들은 또한 미묘함, 인내심 및 운영 보안을 포함한 다양한 다른 기술을 사용합니다. 일반적으로 전부는 아니지만 대부분의 APT는 국가 행위자이거나 최소한 국가의 후원을 받는 것으로 간주됩니다. 이러한 가정은 목표를 달성하기 위해 그들이 보여주는 시간, 노력 및 헌신에서 비롯됩니다.

APT의 지문

APT의 정확한 목표는 국가, APT 및 공격에 따라 다릅니다. 대부분의 해커는 개인적인 이익을 위해 동기를 부여하므로 침입하여 가능한 한 빨리 많은 귀중한 데이터를 얻으려고 합니다. APT는 사보타주, 스파이 활동 또는 방해 공격을 수행하며 일반적으로 정치적 또는 때때로 경제적 동기가 있습니다.

대부분의 위협 활동가는 일반적으로 기회주의적이지만 APT는 조용하거나 매우 표적이 되는 경향이 있습니다. 발견한 취약점에 대한 익스플로잇을 개발하는 것보다 대상을 식별하고 감염시키는 최선의 방법을 찾은 다음 익스플로잇을 연구하고 개발합니다. 일반적으로 이러한 익스플로잇은 최대한 조용하고 미묘하도록 매우 신중하게 구성됩니다. 이렇게 하면 탐지 위험이 최소화됩니다. 즉, 익스플로잇이 발견되고 근본적인 취약점이 수정되기 전에 다른 선택된 대상에서 익스플로잇을 사용할 수 있습니다.

익스플로잇 개발은 기술적이고 시간이 많이 걸리는 사업입니다. 이것은 특히 알려진 취약성이 없는 매우 복잡한 시스템을 다룰 때 비용이 많이 드는 사업입니다. APT는 국가 자금을 사용할 수 있기 때문에 일반적으로 이러한 미묘하지만 심각한 취약점을 식별한 다음 매우 복잡한 익스플로잇을 개발하는 데 훨씬 더 많은 시간과 노력을 들일 수 있습니다.

속성은 어렵다

특정 그룹이나 국가에 공격을 돌리는 것은 어려울 수 있습니다. 사용된 실제 맬웨어, 지원 시스템 및 추적 대상에 대해 심층 분석을 수행함으로써 개별 맬웨어 변종을 상당히 자신 있게 APT에 연결하고 해당 APT를 국가에 연결할 수 있습니다.

이러한 고급 익스플로잇 중 다수는 다른 익스플로잇의 코드 일부를 공유합니다. 특정 공격은 동일한 제로데이 취약점을 악용할 수도 있습니다. 이를 통해 사고를 일회성 특수 악성코드가 아닌 연결하고 추적할 수 있습니다.

APT에서 많은 활동을 추적하면 선택한 대상의 맵을 구축할 수 있습니다. 이것은 지정학적 긴장에 대한 지식과 결합하여 적어도 잠재적 국가 후원자 목록을 좁힐 수 있습니다. 맬웨어 내에서 사용된 언어에 대한 추가 분석은 힌트를 제공할 수 있지만 잘못된 속성을 조장하기 위해 위조될 수도 있습니다.

APT의 대부분의 사이버 공격은 아무도 소유하지 않기 때문에 그럴듯한 거부 가능성이 있습니다. 이를 통해 각 책임 있는 국가는 연관되거나 비난받기를 원하지 않는 행동을 수행할 수 있습니다. 대부분의 APT 그룹은 자신 있게 특정 국가에 귀속되며 해당 국가가 해당 귀속을 기반으로 할 더 많은 정보를 가지고 있다고 가정하기 때문에 모든 사람이 누가 무엇에 대한 책임이 있는지 알고 있을 가능성이 높습니다. 어떤 국가가 공식적으로 다른 국가의 공격을 비난했다면 보복적 책임을 져야 할 것입니다. 멍청한 척함으로써 모든 사람은 그럴듯한 거부 가능성을 유지하게 됩니다.

예

많은 그룹이 APT에 다른 이름을 붙여 추적을 복잡하게 만듭니다. 일부 이름은 번호가 매겨진 명칭일 뿐입니다. 일부는 연결된 익스플로잇 이름을 기반으로 하고 일부는 전형적인 이름을 기반으로 합니다.

중국에 기인한 APT가 최소 17개 있습니다. APT 1과 같은 APT 번호는 일부를 나타냅니다. APT 1은 구체적으로 PLA Unit 61398이기도 합니다. 최소 두 개의 중국 APT에 드래곤이 등장하는 이름이 지정되었습니다: Double Dragon과 Dragon Bridge. Numbered Panda와 Red Apollo도 있습니다.

이란에 기인한 많은 APT는 이름에 "고양이"가 포함되어 있습니다. 예를 들어 Helix Kitten, Charming Kitten, Remix Kitten 및 Pioneer Kitten이 있습니다. 러시아 APT에는 Fancy Bear, Cozy Bear, Bezerk Bear, Venomous Bear, Primitive Bear 등의 곰 이름이 자주 등장합니다. 북한은 Ricochet Chollima, Lazarus Group 및 Kimsuky의 세 가지 APT로 간주됩니다.

이스라엘, 베트남, 우즈베키스탄, 터키, 미국에는 최소 하나의 귀속 APT가 있습니다. 미국 속성 APT는 NSA의 TAO 또는 Tailored Access Operations 단위로 여겨지는 Equation Group이라고 합니다. 이 그룹은 일부 익스플로잇의 이름과 암호화를 많이 사용하여 이름을 얻었습니다.

방정식 그룹은 일반적으로 모든 APT 중에서 가장 발전된 것으로 간주됩니다. 장치를 차단하고 악성 코드를 포함하도록 수정한 것으로 알려져 있습니다. 또한 다양한 제조업체의 하드 드라이브 펌웨어를 고유하게 감염시킬 수 있는 여러 가지 맬웨어가 있어 전체 드라이브 지우기, 운영 체제 재설치 및 드라이브 파괴 이외의 모든 작업에서 맬웨어가 지속될 수 있습니다. 이 맬웨어는 탐지하거나 제거하는 것이 불가능했으며 개발하려면 드라이브 펌웨어의 소스 코드에 액세스해야 했습니다.

결론

APT는 지능형 지속 위협(Advanced Persistent Threat)의 약자이며 일반적으로 국가와 연결되어 있다고 주장되는 고도로 발전된 해킹 그룹을 지칭하는 데 사용되는 용어입니다. APT가 보여주는 기술, 인내 및 헌신의 수준은 범죄 세계에서 타의 추종을 불허합니다. 종종 정치적 목표와 결합하여 이들은 일반적인 돈을 위한 해킹 그룹이 아님이 매우 분명합니다. 큰 소리로 데이터 유출을 시도하는 대신 APT는 미묘하고 가능한 한 흔적을 숨기는 경향이 있습니다.

일반적으로 일반 사용자는 APT에 대해 걱정할 필요가 없습니다. 그들은 자신에게 특히 가치 있는 목표에만 시간을 보냅니다. 보통 사람은 국가가 중요하다고 여기는 비밀을 숨기지 않습니다. 더 큰 회사, 특히 정부 업무를 수행하는 회사, 특히 현실적으로 표적이 될 위험이 있는 영향력 있는 사람들입니다. 물론 모든 사람은 회사의 보안뿐 아니라 자신의 보안도 중요하게 생각해야 합니다.

그러나 보안 업계의 일반적인 견해는 APT가 귀하가 관심이 있다고 판단하면 R&D에 수백만 달러를 투자해야 하는 경우에도 어떻게든 귀하의 장치를 해킹할 수 있다는 것입니다. 이는 Stuxnet 웜 과 같은 "에어 갭"을 뛰어넘도록 신중하게 설계된 맬웨어의 몇 가지 사례에서 볼 수 있습니다 .