Op het gebied van cyberbeveiliging zijn er een groot aantal kwaadaardige bedreigingen. Veel van deze bedreigingen schrijven malware, maar er zijn tal van andere manieren waarop cybercriminelen kwaadaardig kunnen zijn. Het vaardigheidsniveau tussen hen varieert echter enorm. Veel "hackers" zijn slechts scriptkiddies , kunnen alleen bestaande tools uitvoeren en missen de vaardigheden om hun eigen tools te maken. Veel hackers hebben de vaardigheden om hun malware te maken, hoewel het exacte kaliber enorm varieert. Er is echter nog een exclusief niveau, de APT.
APT staat voor Advanced Persistent Threat. Ze zijn het neusje van de zalm voor hackers en zijn over het algemeen de beste in de branche. APT's zijn niet alleen technisch bedreven in het ontwikkelen van exploits; ze gebruiken ook een reeks andere vaardigheden, waaronder subtiliteit, geduld en operationele veiligheid. Over het algemeen wordt aangenomen dat de meeste, zo niet alle, APT's actoren van de natiestaat zijn of op zijn minst door de staat worden gesponsord. Deze veronderstelling is gebaseerd op de tijd, moeite en toewijding die ze tonen bij het bereiken van hun doel.
Vingerafdrukken van een APT
De precieze doelen van een APT verschillen per land, APT en aanval. De meeste hackers worden gemotiveerd door persoonlijk gewin en breken dus in en proberen zo snel mogelijk zoveel mogelijk waardevolle gegevens te bemachtigen. APT's voeren sabotage-, spionage- of ontwrichtende aanvallen uit en zijn over het algemeen politiek of soms economisch gemotiveerd.
Hoewel de meeste bedreigingsactoren meestal opportunistisch zijn, zijn APT's meestal stil of zelfs zeer gericht. In plaats van alleen exploits te ontwikkelen voor kwetsbaarheden die ze vinden, zullen ze een doelwit identificeren, uitzoeken hoe ze het beste kunnen worden geïnfecteerd, en vervolgens een exploit onderzoeken en ontwikkelen. Doorgaans zullen deze exploits zeer zorgvuldig worden geconfigureerd om zo stil en subtiel mogelijk te zijn. Dit minimaliseert het risico op detectie, wat betekent dat de exploit kan worden gebruikt op andere gekozen doelen voordat deze wordt ontdekt en de onderliggende kwetsbaarheid wordt verholpen.
Het ontwikkelen van exploits is een technische en tijdrovende bezigheid. Dit maakt het een dure aangelegenheid, vooral als het gaat om zeer complexe systemen zonder bekende kwetsbaarheden. Aangezien nationale staatsfondsen beschikbaar zijn voor APT's, kunnen ze doorgaans veel meer tijd en moeite besteden aan het identificeren van deze subtiele maar ernstige kwetsbaarheden en vervolgens het ontwikkelen van uiterst complexe exploits voor hen.
Naamsvermelding is moeilijk
Het kan moeilijk zijn om een aanval toe te schrijven aan een bepaalde groep of natiestaat. Door diep te duiken in de feitelijk gebruikte malware, de ondersteunende systemen en zelfs het volgen van doelen, kan het mogelijk zijn om individuele malwarestammen vrij zeker aan een APT te koppelen en die APT aan een land te koppelen.
Veel van deze zeer geavanceerde exploits delen stukjes code van andere exploits. Specifieke aanvallen kunnen zelfs gebruikmaken van dezelfde zero-day-kwetsbaarheden. Hierdoor kunnen de incidenten worden gekoppeld en gevolgd in plaats van als eenmalige, buitengewone malware.
Het volgen van vele acties van een APT maakt het mogelijk om een kaart van hun gekozen doelen op te bouwen. Dit, gecombineerd met kennis van geopolitieke spanningen, kan de lijst van potentiële staatssponsors in ieder geval verkleinen. Verdere analyse van de taal die in de malware wordt gebruikt, kan hints geven, hoewel deze ook kunnen worden vervalst om verkeerde toewijzing aan te moedigen.
De meeste cyberaanvallen van APT's komen met een plausibele ontkenning, omdat niemand ze toegeeft. Dit stelt elke verantwoordelijke natie in staat om acties uit te voeren waarmee ze niet per se geassocieerd willen worden of waarvan ze niet beschuldigd willen worden. Omdat de meeste APT-groepen vol vertrouwen worden toegeschreven aan specifieke natiestaten, en wordt aangenomen dat die natiestaten nog meer informatie hebben om die toeschrijving op te baseren, is het redelijk waarschijnlijk dat iedereen weet wie waarvoor verantwoordelijk is. Als een land officieel een ander land zou beschuldigen van een aanval, zouden ze waarschijnlijk aan de ontvangende kant staan van een vergeldingstoeschrijving. Door dom te spelen, behoudt iedereen zijn plausibele ontkenning.
Voorbeelden
Veel verschillende groepen noemen APT's andere dingen, wat het volgen ervan bemoeilijkt. Sommige namen zijn slechts genummerde aanduidingen. Sommige zijn gebaseerd op gekoppelde exploitnamen en zijn gebaseerd op stereotiepe namen.
Er zijn ten minste 17 APT's toegeschreven aan China. Een APT-nummer, zoals APT 1, verwijst naar sommige. APT 1 is ook specifiek PLA Unit 61398. Ten minste twee Chinese APT's hebben namen gekregen met draken: Double Dragon en Dragon Bridge. Er is ook Numbered Panda en Red Apollo.
Veel APT's die aan Iran worden toegeschreven, hebben "kitten" in de naam. Bijvoorbeeld Helix Kitten, Charming Kitten, Remix Kitten en Pioneer Kitten. Russische APT heeft vaak berennamen, waaronder Fancy Bear, Cozy Bear, Bezerk Bear, Venomous Bear en Primitive Bear. Noord-Korea is toegeschreven aan drie APT's: Ricochet Chollima, Lazarus Group en Kimsuky.
Israël, Vietnam, Oezbekistan, Turkije en de Verenigde Staten hebben ten minste één toegeschreven APT. Een aan de VS toegeschreven APT wordt Equation Group genoemd, waarvan wordt aangenomen dat het de TAO of Tailored Access Operations-eenheid van de NSA is. De groep dankt zijn naam aan de naam van enkele van zijn exploits en het intensieve gebruik van codering.
Vergelijkingsgroep wordt algemeen beschouwd als de meest geavanceerde van alle APT's. Het is bekend dat het verboden apparaten heeft en deze heeft aangepast om malware op te nemen. Het bevatte ook meerdere soorten malware die als enige in staat waren om de firmware van harde schijven van verschillende fabrikanten te infecteren, waardoor de malware kon blijven bestaan tijdens het volledig wissen van schijven, het opnieuw installeren van het besturingssysteem en alles behalve het vernietigen van schijven. Deze malware was onmogelijk te detecteren of te verwijderen en zou toegang tot de broncode van de schijffirmware nodig hebben gehad om te ontwikkelen.
Conclusie
APT staat voor Advanced Persistent Threat en is een term die wordt gebruikt om te verwijzen naar zeer geavanceerde hackgroepen, meestal met vermeende banden tussen natiestaten. Het niveau van vaardigheid, geduld en toewijding van APT's is ongeëvenaard in de criminele wereld. Gecombineerd met de vaak politieke doelen, is het vrij duidelijk dat dit geen doorsnee hacking-for-money-groepen zijn. In plaats van te gaan voor luide datalekken, zijn APT's geneigd subtiel te zijn en hun sporen zoveel mogelijk uit te wissen.
Over het algemeen hoeft de gemiddelde gebruiker zich geen zorgen te maken over APT's. Ze besteden hun tijd alleen aan doelen die voor hen bijzonder waardevol zijn. De gemiddelde persoon verbergt geen geheimen die een natiestaat als waardevol beschouwt. Het zijn alleen grotere bedrijven, vooral bedrijven die overheidswerk doen, en vooral invloedrijke mensen die realistisch gezien het risico lopen het doelwit te worden. Natuurlijk moet iedereen zijn veiligheid, evenals die van zijn bedrijf, serieus nemen.
De algemene opvatting in de beveiligingswereld is echter dat als een APT besluit dat je interessant bent, ze je apparaten op de een of andere manier kunnen hacken, zelfs als ze miljoenen dollars aan R&D moeten besteden. Dit is te zien aan de weinige gevallen waarin malware zorgvuldig is ontworpen om door "air gaps" te springen, zoals de Stuxnet-worm .