Ce este un APT?

În securitatea cibernetică, există un număr mare de amenințări rău intenționate. Multe dintre aceste amenințări scriu malware, deși există o mulțime de alte moduri prin care infractorii cibernetici pot fi rău intenționați. Cu toate acestea, nivelul de calificare dintre ei variază foarte mult. Mulți „hackeri” sunt doar niște copii de scripturi , capabili doar să ruleze instrumentele existente și nu au abilitățile de a le crea propriile lor. Mulți hackeri au abilitățile de a-și crea malware, deși calibrul exact variază foarte mult. Totuși, există încă un nivel exclusiv, APT.

APT înseamnă Advanced Persistent Threat. Ei sunt crema de top pentru hackeri și, în general, sunt cei mai buni din domeniu. APT-urile nu sunt doar calificate din punct de vedere tehnic în dezvoltarea exploit-urilor; de asemenea, folosesc o serie de alte abilități, inclusiv subtilitatea, răbdarea și securitatea operațională. În general, se presupune că majoritatea, dacă nu toate, APT-urile sunt actori de stat național sau cel puțin sponsorizate de stat. Această presupunere este construită din timpul, efortul și dăruirea de care dau dovadă pentru a-și atinge scopul.

Amprentele unui APT

Obiectivele precise ale unui APT variază în funcție de țară, APT și atac. Majoritatea hackerilor sunt motivați de câștigul personal și astfel intră și încearcă să obțină cât mai multe date valoroase cât mai repede posibil. APT-urile efectuează sabotaj, spionaj sau atacuri perturbatoare și sunt în general motivate politic sau uneori economic.

În timp ce majoritatea actorilor de amenințări sunt de obicei oportuniști, APT-urile tind să fie tăcute sau chiar foarte vizate. În loc să dezvolte doar exploatări pentru vulnerabilitățile pe care le găsesc, ei vor identifica o țintă, vor găsi cel mai bun mod de a le infecta și apoi vor cerceta și dezvolta un exploit. De obicei, aceste exploit-uri vor fi foarte atent configurate pentru a fi cât mai silențioase și subtile posibil. Acest lucru minimizează riscul de detectare, ceea ce înseamnă că exploit-ul poate fi utilizat pe alte ținte alese înainte de a fi descoperit și vulnerabilitatea de bază remediată.

Dezvoltarea exploit-urilor este o afacere tehnică și consumatoare de timp. Acest lucru o face o afacere costisitoare, mai ales atunci când aveți de-a face cu sisteme extrem de complexe fără vulnerabilități cunoscute. Deoarece fondurile statelor naționale sunt disponibile pentru APT, aceștia pot de obicei cheltui mult mai mult timp și efort identificând aceste vulnerabilități subtile, dar severe și apoi dezvoltă exploatări extrem de complexe pentru ele.

Atribuirea este grea

Atribuirea unui atac oricărui grup sau stat național poate fi dificilă. Efectuând analize profunde în malware-ul efectiv utilizat, sistemele suport și chiar urmărirea țintelor, este posibil să se conecteze tulpini individuale de malware la un APT destul de sigur și să se conecteze acel APT la o țară.

Multe dintre aceste exploit-uri foarte avansate partajează fragmente de cod din alte exploit-uri. Atacurile specifice pot folosi chiar aceleași vulnerabilități zero-day. Acestea permit ca incidentele să fie conectate și urmărite mai degrabă decât ca un malware extraordinar și unic.

Urmărirea multor acțiuni dintr-un APT face posibilă construirea unei hărți a țintelor alese. Acest lucru, combinat cu cunoașterea tensiunilor geopolitice, poate cel puțin restrânge lista potențialilor sponsori ai statului. O analiză ulterioară a limbajului folosit în malware poate oferi indicii, deși acestea pot fi, de asemenea, falsificate pentru a încuraja atribuirea greșită.

Majoritatea atacurilor cibernetice din partea APT-urilor vin cu o negație plauzibilă, deoarece nimeni nu le face față. Acest lucru permite fiecărei națiuni responsabile să efectueze acțiuni cu care nu ar dori neapărat să fie asociată sau acuzată. Deoarece majoritatea grupurilor APT sunt atribuite cu încredere unor state naționale specifice și se presupune că acele state naționale au și mai multe informații pe care să se bazeze acea atribuire, este destul de probabil ca toată lumea să știe cine este responsabil pentru ce. Dacă vreo națiune ar acuza oficial o altă națiune de un atac, probabil că ar fi în fața unei atribuții de represalii. Jucând prost, toată lumea ajunge să-și păstreze negarea plauzibilă.

Exemple

Multe grupuri diferite numesc APT-uri și alte lucruri, ceea ce complică urmărirea lor. Unele nume sunt doar denumiri numerotate. Unele se bazează pe nume de exploatare legate se bazează pe nume stereotipe.

Există cel puțin 17 APT-uri atribuite Chinei. Un număr APT, cum ar fi APT 1, se referă la unele. APT 1 este, de asemenea, în mod specific Unitatea PLA 61398. Cel puțin două APT-uri chinezești au primit nume care prezintă dragoni: Double Dragon și Dragon Bridge. Există, de asemenea, Numbered Panda și Red Apollo.

Multe APT-uri atribuite Iranului prezintă „pisoi” în nume. De exemplu, Helix Kitten, Charming Kitten, Remix Kitten și Pioneer Kitten. APT rusesc prezintă adesea nume de urși, inclusiv Fancy Bear, Cozy Bear, Bezerk Bear, Venomous Bear și Primitive Bear. Coreea de Nord a fost atribuită a trei APT-uri: Ricochet Chollima, Lazarus Group și Kimsuky.

Israelul, Vietnamul, Uzbekistanul, Turcia și Statele Unite au cel puțin un APT atribuit. Un APT atribuit de SUA se numește Equation Group, despre care se crede că este TAO sau unitatea Tailored Access Operations a NSA. Grupul își trage numele de la numele unora dintre exploatările sale și de la utilizarea grea a criptării.

Grupul de ecuații este, în general, considerat cel mai avansat dintre toate APT-urile. Se știe că a interzis dispozitive și le-a modificat pentru a include malware. Avea, de asemenea, mai multe bucăți de malware care erau capabile în mod unic să infecteze firmware-ul hard disk-urilor de la diverși producători, permițând malware-ului să persistă prin ștergere completă a unității, reinstalări ale sistemului de operare și orice altceva decât distrugerea unității. Acest malware a fost imposibil de detectat sau eliminat și ar fi necesitat acces la codul sursă al firmware-ului unității pentru a se dezvolta.

Concluzie

APT înseamnă Advanced Persistent Threat și este un termen folosit pentru a se referi la grupuri de hacking foarte avansate, în general cu presupuse legături între statul național. Nivelul de îndemânare, răbdare și dăruire demonstrat de APT este de neegalat în lumea criminală. În combinație cu țintele adesea politice, este destul de clar că acestea nu sunt grupurile tale obișnuite de hacking pentru bani. În loc să caute încălcări puternice de date, APT-urile tind să fie subtile și să-și acopere urmele cât mai mult posibil.

În general, utilizatorul obișnuit nu trebuie să-și facă griji în privința APT-urilor. Ei își petrec timpul doar pe ținte care sunt deosebit de valoroase pentru ei. Omul obișnuit nu ascunde secrete pe care un stat național le consideră valoroase. Numai companiile mai mari, în special cele care fac activități guvernamentale și oamenii influenți în mod realist, riscă să fie vizați. Desigur, fiecare ar trebui să-și ia în serios securitatea, precum și securitatea companiei.

Viziunea generală în lumea securității este însă că, dacă un APT decide că ești interesant, va putea să-ți pirateze dispozitivele cumva, chiar dacă trebuie să cheltuiască milioane de dolari în cercetare și dezvoltare. Acest lucru poate fi văzut în câteva cazuri în care programele malware au fost proiectate cu atenție pentru a sări „golurile de aer”, cum ar fi viermele Stuxnet .