Co to jest APT?

W cyberbezpieczeństwie istnieje ogromna liczba złośliwych zagrożeń. Wiele z tych zagrożeń tworzy złośliwe oprogramowanie, chociaż cyberprzestępcy mogą działać złośliwie na wiele innych sposobów. Poziom umiejętności między nimi jest jednak bardzo różny. Wielu „hakerów” to po prostu dzieciaki ze skryptów , które potrafią uruchamiać tylko istniejące narzędzia i nie mają umiejętności tworzenia własnych. Wielu hakerów ma umiejętności tworzenia złośliwego oprogramowania, chociaż dokładny kaliber jest bardzo różny. Jest jednak jeszcze jeden ekskluzywny poziom, APT.

APT to skrót od Advanced Persistent Threat. Są śmietanką dla hakerów i generalnie są najlepsi w branży. APT są nie tylko technicznie wykwalifikowani w opracowywaniu exploitów; wykorzystują również szereg innych umiejętności, w tym subtelność, cierpliwość i bezpieczeństwo operacyjne. Ogólnie przyjmuje się, że większość, jeśli nie wszystkie, APT to podmioty państw narodowych lub przynajmniej sponsorowane przez państwo. Założenie to opiera się na czasie, wysiłku i poświęceniu, jakie okazują, aby osiągnąć swój cel.

Odciski palców APT

Dokładne cele APT różnią się w zależności od kraju, APT i ataku. Większość hakerów kieruje się osobistymi korzyściami, dlatego włamują się i próbują jak najszybciej zdobyć jak najwięcej cennych danych. APT przeprowadzają sabotaż, szpiegostwo lub destrukcyjne ataki i są generalnie motywowane politycznie lub czasami ekonomicznie.

Podczas gdy większość cyberprzestępców jest zazwyczaj oportunistami, ataki APT są zwykle ciche lub nawet bardzo ukierunkowane. Zamiast po prostu opracowywać exploity dla znalezionych luk w zabezpieczeniach, zidentyfikują cel, opracują najlepszy sposób ich zainfekowania, a następnie zbadają i opracują exploit. Zazwyczaj te exploity będą bardzo starannie konfigurowane, aby były tak ciche i subtelne, jak to tylko możliwe. Minimalizuje to ryzyko wykrycia, co oznacza, że ​​exploit może zostać wykorzystany na innych wybranych celach, zanim zostanie wykryty i naprawiona luka w zabezpieczeniach.

Tworzenie exploitów to zajęcie techniczne i czasochłonne. To sprawia, że ​​jest to kosztowny biznes, zwłaszcza gdy mamy do czynienia z bardzo złożonymi systemami bez znanych luk. Ponieważ fundusze państw narodowych są dostępne dla APT, zazwyczaj mogą poświęcić dużo więcej czasu i wysiłku na identyfikację tych subtelnych, ale poważnych luk, a następnie opracować dla nich niezwykle złożone exploity.

Uznanie autorstwa jest trudne

Przypisanie ataku do jednej grupy lub państwa narodowego może być trudne. Wykonując szczegółowe analizy rzeczywiście używanego złośliwego oprogramowania, systemów wspierających, a nawet śledząc cele, możliwe jest dość pewne powiązanie poszczególnych szczepów złośliwego oprogramowania z APT i powiązanie tego APT z krajem.

Wiele z tych wysoce zaawansowanych exploitów współdzieli fragmenty kodu z innymi exploitami. Konkretne ataki mogą nawet wykorzystywać te same luki zero-day. Umożliwiają one łączenie i śledzenie incydentów, a nie pojedynczego, niezwykłego złośliwego oprogramowania.

Śledzenie wielu działań APT umożliwia zbudowanie mapy wybranych przez nie celów. To, w połączeniu ze znajomością napięć geopolitycznych, może przynajmniej zawęzić listę potencjalnych sponsorów państwowych. Dalsza analiza języka używanego w złośliwym oprogramowaniu może dać wskazówki, chociaż można je również sfałszować, aby zachęcić do błędnego przypisania.

Większość ataków cybernetycznych przeprowadzanych przez APT można zaprzeczyć, ponieważ nikt nie przyznaje się do nich. Pozwala to każdemu odpowiedzialnemu narodowi na wykonywanie działań, z którymi niekoniecznie chciałby być kojarzony lub oskarżany. Ponieważ większość grup APT jest z całą pewnością przypisywana do określonych państw narodowych i zakłada się, że te państwa narodowe mają jeszcze więcej informacji, na których można oprzeć to przypisanie, jest całkiem prawdopodobne, że każdy wie, kto jest za co odpowiedzialny. Gdyby jakikolwiek naród oficjalnie oskarżył inny o atak, prawdopodobnie znalazłby się na końcu odwetu. Udając głupiego, każdy może zachować swoje wiarygodne zaprzeczenie.

Przykłady

Wiele różnych grup nazywa APT innymi rzeczami, co komplikuje ich śledzenie. Niektóre nazwy to po prostu numerowane oznaczenia. Niektóre oparte są na powiązanych nazwach exploitów, które są oparte na nazwach stereotypowych.

Istnieje co najmniej 17 APT przypisywanych Chinom. Numer APT, taki jak APT 1, odnosi się do niektórych. APT 1 to także jednostka PLA 61398. Co najmniej dwóm chińskim APT nadano nazwy przedstawiające smoki: Double Dragon i Dragon Bridge. Jest też Numerowana Panda i Czerwony Apollo.

Wiele APT przypisywanych Iranowi ma w nazwie słowo „kotek”. Na przykład Helix Kitten, Charming Kitten, Remix Kitten i Pioneer Kitten. Rosyjski APT często zawiera imiona niedźwiedzi, w tym Fancy Bear, Cosy Bear, Bezerk Bear, Venomous Bear i Primitive Bear. Korea Północna została przypisana trzem APT: Ricochet Chollima, Lazarus Group i Kimsuky.

Izrael, Wietnam, Uzbekistan, Turcja i Stany Zjednoczone mają co najmniej jeden przypisany APT. APT przypisywany przez Stany Zjednoczone nazywa się Equation Group i uważa się, że jest jednostką TAO lub Tailored Access Operations NSA. Grupa bierze swoją nazwę od nazwy niektórych swoich exploitów i intensywnego używania szyfrowania.

Grupa równań jest powszechnie uważana za najbardziej zaawansowaną ze wszystkich APT. Wiadomo, że zablokował urządzenia i zmodyfikował je, aby zawierały złośliwe oprogramowanie. Zawierał również wiele elementów złośliwego oprogramowania, które były wyjątkowo zdolne do infekowania oprogramowania sprzętowego dysków twardych różnych producentów, umożliwiając złośliwemu oprogramowaniu utrzymywanie się po całkowitym wyczyszczeniu dysku, ponownej instalacji systemu operacyjnego i wszystkim innym niż zniszczenie dysku. Tego złośliwego oprogramowania nie można było wykryć ani usunąć, a jego opracowanie wymagałoby dostępu do kodu źródłowego oprogramowania wewnętrznego dysku.

Wniosek

APT oznacza Advanced Persistent Threat i jest terminem używanym w odniesieniu do wysoce zaawansowanych grup hakerskich, zazwyczaj z domniemanymi powiązaniami z państwami narodowymi. Poziom umiejętności, cierpliwości i poświęcenia okazywany przez APT nie ma sobie równych w świecie przestępczym. W połączeniu z często politycznymi celami jest całkiem jasne, że nie są to przeciętne grupy hakerskie dla pieniędzy. Zamiast uciekać się do głośnych naruszeń danych, APT są raczej subtelne i zacierają ślady w jak największym stopniu.

Ogólnie rzecz biorąc, przeciętny użytkownik nie musi się martwić o APT. Poświęcają swój czas tylko na cele, które są dla nich szczególnie cenne. Przeciętny człowiek nie ukrywa tajemnic, które państwo narodowe uważa za cenne. Tylko większe firmy, zwłaszcza te, które wykonują pracę rządową, oraz szczególnie wpływowi ludzie są realistycznie narażeni na atak. Oczywiście każdy powinien poważnie traktować swoje bezpieczeństwo, a także bezpieczeństwo swojej firmy.

Ogólny pogląd w świecie bezpieczeństwa jest jednak taki, że jeśli APT uzna, że ​​jesteś interesujący, będzie w stanie w jakiś sposób zhakować twoje urządzenia, nawet jeśli będą musieli poświęcić miliony dolarów czasu na badania i rozwój. Można to zaobserwować w nielicznych przypadkach złośliwego oprogramowania starannie zaprojektowanego do przeskakiwania „luk powietrznych”, takich jak robak Stuxnet .