APT คืออะไร?

ในการรักษาความปลอดภัยทางไซเบอร์ มีภัยคุกคามที่เป็นอันตรายจำนวนมาก ภัยคุกคามเหล่านี้จำนวนมากเขียนมัลแวร์ แม้ว่าจะมีวิธีอื่นมากมายที่อาชญากรไซเบอร์จะทำอันตรายได้ แม้ว่าระดับทักษะระหว่างพวกเขาจะแตกต่างกันมาก “แฮ็กเกอร์” จำนวนมากเป็นเพียงเด็กเล่นสคริปต์ เรียกใช้เครื่องมือที่มีอยู่ได้เท่านั้นและขาดทักษะในการสร้างเครื่องมือของตนเอง แฮ็กเกอร์หลายคนมีทักษะในการสร้างมัลแวร์ แม้ว่าขนาดที่แน่นอนจะแตกต่างกันไปก็ตาม มีระดับพิเศษอีกหนึ่งระดับคือ APT

APT ย่อมาจาก Advanced Persistent Threat พวกเขาเป็นเป้าหมายหลักของแฮ็กเกอร์และโดยทั่วไปแล้วดีที่สุดในธุรกิจ APT ไม่เพียงแต่มีทักษะด้านเทคนิคในการพัฒนาการหาประโยชน์เท่านั้น พวกเขายังใช้ทักษะอื่นๆ อีกหลายอย่าง เช่น ความละเอียดอ่อน ความอดทน และความปลอดภัยในการปฏิบัติงาน โดยทั่วไป สันนิษฐานว่า APT ส่วนใหญ่หากไม่ใช่ทั้งหมดเป็นผู้ดำเนินการของรัฐชาติหรืออย่างน้อยก็ได้รับการสนับสนุนจากรัฐ สมมติฐานนี้สร้างขึ้นจากเวลา ความพยายาม และความทุ่มเทที่พวกเขาแสดงให้เห็นในการบรรลุเป้าหมาย

ลายนิ้วมือของ APT

เป้าหมายที่แม่นยำของ APT จะแตกต่างกันไปในแต่ละประเทศ APT และการโจมตี แฮ็กเกอร์ส่วนใหญ่มีแรงจูงใจจากผลประโยชน์ส่วนตัว ดังนั้นแฮ็กเกอร์จึงพยายามเจาะข้อมูลที่มีค่าให้ได้มากที่สุดโดยเร็วที่สุด APT ทำการก่อวินาศกรรม จารกรรม หรือโจมตีก่อกวน และโดยทั่วไปมีแรงจูงใจทางการเมืองหรือบางครั้งทางเศรษฐกิจ

ในขณะที่ผู้คุกคามส่วนใหญ่มักจะฉวยโอกาส แต่ APT มักจะเงียบหรือตกเป็นเป้าหมายอย่างมาก แทนที่จะพัฒนาช่องโหว่เพื่อหาช่องโหว่ที่พวกเขาพบ พวกเขาจะระบุเป้าหมาย หาวิธีที่ดีที่สุดในการแพร่ระบาด จากนั้นจึงทำการวิจัยและพัฒนาช่องโหว่ โดยปกติแล้ว การหาประโยชน์เหล่านี้จะได้รับการกำหนดค่าอย่างระมัดระวังเพื่อให้เงียบและละเอียดอ่อนที่สุดเท่าที่จะเป็นไปได้ สิ่งนี้ช่วยลดความเสี่ยงในการตรวจจับ หมายความว่าสามารถใช้ช่องโหว่กับเป้าหมายอื่นที่เลือกไว้ก่อนที่จะถูกค้นพบและแก้ไขช่องโหว่พื้นฐาน

การพัฒนาช่องโหว่เป็นธุรกิจด้านเทคนิคและใช้เวลานาน สิ่งนี้ทำให้เป็นธุรกิจที่มีราคาแพง โดยเฉพาะอย่างยิ่งเมื่อต้องรับมือกับระบบที่มีความซับซ้อนสูงโดยไม่มีช่องโหว่ที่ทราบ เนื่องจากกองทุนของรัฐมีให้บริการสำหรับ APT โดยทั่วไปพวกเขาสามารถใช้เวลาและความพยายามมากขึ้นในการระบุช่องโหว่ที่บอบบางแต่รุนแรงเหล่านี้ และพัฒนาช่องโหว่ที่ซับซ้อนอย่างยิ่งสำหรับพวกเขา

การแสดงที่มาเป็นเรื่องยาก

การโจมตีกลุ่มใดกลุ่มหนึ่งหรือรัฐชาติอาจเป็นเรื่องยาก ด้วยการเจาะลึกถึงมัลแวร์ที่ใช้จริง ระบบสนับสนุน และแม้แต่การติดตามเป้าหมาย จึงสามารถเชื่อมโยงมัลแวร์แต่ละสายพันธุ์เข้ากับ APT ได้อย่างมั่นใจ และเชื่อมโยง APT นั้นกับประเทศหนึ่งๆ

การหาประโยชน์ขั้นสูงเหล่านี้จำนวนมากใช้โค้ดบางส่วนร่วมกันจากการหาประโยชน์อื่นๆ การโจมตีแบบเจาะจงอาจใช้ประโยชน์จากช่องโหว่ซีโร่เดย์เดียวกัน สิ่งเหล่านี้ทำให้สามารถเชื่อมโยงและติดตามเหตุการณ์ที่เกิดขึ้นแทนที่จะเป็นมัลแวร์พิเศษที่เกิดขึ้นครั้งเดียว

การติดตามการกระทำหลายอย่างจาก APT ทำให้สามารถสร้างแผนที่ของเป้าหมายที่เลือกได้ เมื่อรวมกับความรู้เรื่องความตึงเครียดทางภูมิรัฐศาสตร์ อย่างน้อยก็สามารถจำกัดรายชื่อผู้ให้การสนับสนุนของรัฐได้ การวิเคราะห์เพิ่มเติมเกี่ยวกับภาษาที่ใช้ในมัลแวร์สามารถให้คำแนะนำได้ แม้ว่าสิ่งเหล่านี้อาจถูกปลอมแปลงขึ้นเพื่อกระตุ้นให้เกิดการระบุแหล่งที่มาที่ไม่ถูกต้อง

การโจมตีทางไซเบอร์ส่วนใหญ่จาก APT มาพร้อมกับความเป็นไปได้ที่ปฏิเสธไม่ได้เพราะไม่มีใครเป็นเจ้าของ สิ่งนี้ทำให้แต่ละประเทศที่รับผิดชอบสามารถดำเนินการที่ไม่จำเป็นต้องเกี่ยวข้องกับหรือถูกกล่าวหา เนื่องจากกลุ่ม APT ส่วนใหญ่ได้รับการระบุแหล่งที่มาอย่างมั่นใจว่ามาจากรัฐชาติใดรัฐหนึ่ง และสันนิษฐานว่ารัฐชาติเหล่านั้นมีข้อมูลมากกว่าที่จะอิงตามการระบุแหล่งที่มา จึงมีความเป็นไปได้พอสมควรที่ทุกคนจะรู้ว่าใครเป็นผู้รับผิดชอบในสิ่งใด หากประเทศใดกล่าวหาอย่างเป็นทางการว่าอีกฝ่ายเป็นการโจมตี ด้วยการเล่นเป็นใบ้ ทุกคนจะต้องรักษาการปฏิเสธที่เป็นไปได้

ตัวอย่าง

กลุ่มต่างๆ มากมายตั้งชื่อ APT ให้กับสิ่งอื่นๆ ซึ่งทำให้การติดตามพวกเขาซับซ้อนขึ้น บางชื่อเป็นเพียงหมายเลขกำกับ บางชื่ออิงตามชื่อการหาประโยชน์ที่เชื่อมโยงโดยอิงตามชื่อโปรเฟสเซอร์

มี APT อย่างน้อย 17 รายการที่มาจากประเทศจีน หมายเลข APT เช่น APT 1 หมายถึงบางส่วน APT 1 ยังเป็น PLA Unit 61398 โดยเฉพาะอีกด้วย APT ภาษาจีนอย่างน้อยสองตัวได้รับชื่อที่มีมังกร: Double Dragon และ Dragon Bridge นอกจากนี้ยังมีแพนด้าหมายเลขและอพอลโลสีแดง

APT จำนวนมากที่มาจากอิหร่านมีคุณลักษณะ "ลูกแมว" ในชื่อ ตัวอย่างเช่น Helix Kitten, Charming Kitten, Remix Kitten และ Pioneer Kitten APT ของรัสเซียมักมีชื่อหมี เช่น Fancy Bear, Cozy Bear, Bezerk Bear, Venomous Bear และ Primitive Bear เกาหลีเหนือมีสาเหตุมาจาก APT สามตัว ได้แก่ Ricochet Chollima, Lazarus Group และ Kimsuky

อิสราเอล เวียดนาม อุซเบกิสถาน ตุรกี และสหรัฐอเมริกามี APT อย่างน้อยหนึ่งรายการ APT ที่มาจากสหรัฐอเมริกาเรียกว่า Equation Group ซึ่งเชื่อว่าเป็นหน่วย TAO หรือ Tailored Access Operations ของ NSA กลุ่มนี้ได้ชื่อมาจากชื่อของการใช้ประโยชน์บางอย่างและการใช้การเข้ารหัสอย่างหนัก

โดยทั่วไปแล้วกลุ่มสมการถือเป็นกลุ่มขั้นสูงที่สุดในบรรดา APT ทั้งหมด เป็นที่ทราบกันดีว่ามีอุปกรณ์ขัดขวางและแก้ไขให้มีมัลแวร์ นอกจากนี้ยังมีมัลแวร์หลายชิ้นที่สามารถติดไวรัสเฟิร์มแวร์ของฮาร์ดไดรฟ์จากผู้ผลิตหลายราย ทำให้มัลแวร์คงอยู่ตลอดการล้างไดรฟ์ทั้งหมด การติดตั้งระบบปฏิบัติการใหม่ และสิ่งอื่นๆ นอกเหนือจากการทำลายไดรฟ์ มัลแวร์นี้ไม่สามารถตรวจจับหรือลบออกได้ และจำเป็นต้องเข้าถึงซอร์สโค้ดของเฟิร์มแวร์ไดรฟ์เพื่อพัฒนา

บทสรุป

APT ย่อมาจาก Advanced Persistent Threat และเป็นคำที่ใช้เรียกกลุ่มแฮ็กขั้นสูง ซึ่งโดยทั่วไปมักมีความเชื่อมโยงกับรัฐชาติที่ถูกกล่าวหา ระดับของทักษะ ความอดทน และความทุ่มเทที่แสดงโดย APT นั้นไม่มีที่เปรียบในโลกของอาชญากร เมื่อรวมกับเป้าหมายทางการเมืองที่มักเป็นเป้าหมาย เห็นได้ชัดว่าคนเหล่านี้ไม่ใช่กลุ่มแฮ็กเพื่อเงินทั่วไปของคุณ แทนที่จะไปละเมิดข้อมูลดัง APT มักจะละเอียดอ่อนและครอบคลุมเส้นทางของพวกเขามากที่สุด

โดยทั่วไป ผู้ใช้ทั่วไปไม่จำเป็นต้องกังวลเกี่ยวกับ APT พวกเขาใช้เวลากับเป้าหมายที่มีค่าเป็นพิเศษสำหรับพวกเขาเท่านั้น คนทั่วไปไม่ปกปิดความลับที่รัฐชาติเห็นว่ามีค่า มีเพียงบริษัทขนาดใหญ่ โดยเฉพาะบริษัทที่ทำงานในรัฐบาล และโดยเฉพาะอย่างยิ่งผู้มีอิทธิพลเท่านั้นที่มีความเสี่ยงที่จะตกเป็นเป้าหมาย แน่นอนว่าทุกคนควรให้ความสำคัญกับความปลอดภัยของตน รวมถึงความปลอดภัยของบริษัทอย่างจริงจัง

อย่างไรก็ตาม มุมมองทั่วไปในโลกแห่งความปลอดภัยก็คือ หาก APT ตัดสินว่าคุณน่าสนใจ พวกเขาจะสามารถแฮ็กอุปกรณ์ของคุณได้ แม้ว่าพวกเขาจะต้องใช้เวลาหลายล้านดอลลาร์ในการวิจัยและพัฒนาก็ตาม สิ่งนี้สามารถเห็นได้ในบางกรณีของมัลแวร์ที่ได้ รับการออกแบบอย่างระมัดระวังเพื่อข้าม "ช่องว่างอากาศ" เช่นเวิร์ม Stuxnet