Çfarë është një APT?

Në sigurinë kibernetike, ka një numër të madh kërcënimesh me qëllim të keq. Shumë nga këto kërcënime shkruajnë malware, megjithëse ka shumë mënyra të tjera që kriminelët kibernetikë të jenë keqdashës. Megjithatë, niveli i aftësive midis tyre ndryshon shumë. Shumë "hakerë" janë thjesht fëmijë të skriptit , të aftë të ekzekutojnë vetëm mjetet ekzistuese dhe nuk kanë aftësitë për të krijuar të tyren. Shumë hakerë kanë aftësitë për të krijuar malware të tyre, megjithëse kalibri i saktë ndryshon shumë. Sidoqoftë, ekziston një nivel më ekskluziv, APT.

APT qëndron për Kërcënim të Përparuar të Përparuar. Ata janë ajka e të korrave për hakerat dhe në përgjithësi janë më të mirat në biznes. APT-të nuk janë vetëm teknikisht të aftë në zhvillimin e shfrytëzimit; ata përdorin gjithashtu një sërë aftësish të tjera, duke përfshirë hollësinë, durimin dhe sigurinë operacionale. Në përgjithësi, supozohet se shumica, nëse jo të gjitha, APT-të janë aktorë të shtetit-komb ose të paktën të sponsorizuar nga shteti. Ky supozim është ndërtuar nga koha, përpjekja dhe përkushtimi që ata tregojnë në arritjen e qëllimit të tyre.

Gjurmët e gishtërinjve të një APT

Qëllimet e sakta të një APT ndryshojnë sipas vendit, APT-së dhe sulmit. Shumica e hakerëve janë të motivuar nga përfitimi personal dhe kështu hyjnë dhe përpiqen të rrëmbejnë sa më shumë të dhëna të vlefshme sa më shpejt që të jetë e mundur. APT-të kryejnë sabotim, spiunazh ose sulme përçarëse dhe në përgjithësi janë të motivuara politikisht ose ndonjëherë ekonomikisht.

Ndërsa shumica e aktorëve të kërcënimit janë zakonisht oportunistë, APT-të priren të jenë të qetë apo edhe shumë të synuar. Në vend që thjesht të zhvillojnë shfrytëzime për dobësitë që gjejnë, ata do të identifikojnë një objektiv, do të gjejnë mënyrën më të mirë për t'i infektuar ato dhe më pas do të hulumtojnë dhe zhvillojnë një shfrytëzim. Në mënyrë tipike, këto shfrytëzime do të konfigurohen me shumë kujdes për të qenë sa më të qetë dhe delikate të jetë e mundur. Kjo minimizon rrezikun e zbulimit, që do të thotë se shfrytëzimi mund të përdoret në objektiva të tjerë të zgjedhur përpara se të zbulohet dhe të rregullohet cenueshmëria themelore.

Zhvillimi i shfrytëzimeve është një biznes teknik dhe kërkon kohë. Kjo e bën atë një biznes të shtrenjtë, veçanërisht kur kemi të bëjmë me sisteme shumë komplekse pa dobësi të njohura. Meqenëse fondet e shtetit-komb janë të disponueshme për APT-të, ata zakonisht mund të shpenzojnë shumë më shumë kohë dhe përpjekje për të identifikuar këto dobësi delikate por të rënda dhe më pas duke zhvilluar shfrytëzime jashtëzakonisht komplekse për ta.

Atribuimi është i vështirë

Atribuimi i një sulmi ndaj një grupi ose shteti-komb mund të jetë i vështirë. Duke kryer zhytje të thella në malware-in aktual të përdorur, sistemet mbështetëse dhe madje edhe objektivat e gjurmimit, mund të jetë e mundur të lidhni lloje individuale të malware me një APT me mjaft besim dhe ta lidhni atë APT me një vend.

Shumë nga këto shfrytëzime shumë të avancuara ndajnë copa kodi nga shfrytëzime të tjera. Sulmet specifike madje mund të përdorin të njëjtat dobësi të ditës zero. Këto lejojnë që incidentet të lidhen dhe gjurmohen dhe jo si një malware i jashtëzakonshëm i vetëm.

Ndjekja e shumë veprimeve nga një APT bën të mundur krijimin e një harte të objektivave të tyre të zgjedhur. Kjo, e kombinuar me njohjen e tensioneve gjeopolitike, të paktën mund të ngushtojë listën e sponsorëve të mundshëm shtetërorë. Analiza e mëtejshme e gjuhës së përdorur brenda malware mund të japë sugjerime, megjithëse këto gjithashtu mund të falsifikohen për të inkurajuar keqpërdorimin.

Shumica e sulmeve kibernetike nga APT-të vijnë me një mohim të besueshëm, sepse askush nuk është në pronësi të tyre. Kjo i lejon çdo kombi përgjegjës të kryejë veprime me të cilat nuk do të donte domosdoshmërisht të lidhej ose të akuzohej. Për shkak se shumica e grupeve të APT-së i atribuohen me besim shteteve-kombe të veçanta dhe supozohet se ato shtete-kombe kanë edhe më shumë informacion për ta bazuar atë atribuim, ka të ngjarë që të gjithë ta dinë se kush është përgjegjës për çfarë. Nëse ndonjë komb akuzon zyrtarisht një tjetër për një sulm, ai ka të ngjarë të marrë fundin e një atribuimi hakmarrës. Duke luajtur memec, të gjithë mund të mbajnë mohimin e tyre të besueshëm.

Shembuj

Shumë grupe të ndryshme i emërtojnë APT-të gjëra të tjera, gjë që e ndërlikon ndjekjen e tyre. Disa emra janë vetëm emërtime të numëruara. Disa janë të bazuara në emrat e shfrytëzuar të lidhura janë të bazuara në emra stereotipikë.

Ka të paktën 17 APT që i atribuohen Kinës. Një numër APT, si APT 1, u referohet disave. APT 1 është gjithashtu specifikisht PLA Unit 61398. Të paktën dy APT-ve kineze u janë dhënë emra që shfaqin dragonj: Double Dragon dhe Dragon Bridge. Ka edhe Panda me numër dhe Apollo të Kuq.

Shumë APT që i atribuohen Iranit kanë "kotele" në emër. Për shembull, Helix Kitten, Charming Kitten, Remix Kitten dhe Pioneer Kitten. APT ruse shpesh përmban emra ariu, duke përfshirë Fancy Bear, Cozy Bear, Bezerk Bear, Venomous Bear dhe Primitive Bear. Koreja e Veriut i është atribuar tre APT-ve: Ricochet Chollima, Lazarus Group dhe Kimsuky.

Izraeli, Vietnami, Uzbekistani, Turqia dhe Shtetet e Bashkuara kanë të paktën një APT të atribuar. Një APT e atribuar në SHBA quhet Equation Group, e cila besohet të jetë njësia TAO ose Tailored Access Operations e NSA. Grupi e ka marrë emrin nga emri i disa prej shfrytëzimeve të tij dhe përdorimi i madh i enkriptimit.

Grupi i ekuacioneve në përgjithësi konsiderohet si më i avancuari nga të gjitha APT-të. Dihet se ka ndaluar pajisjet dhe i ka modifikuar ato për të përfshirë malware. Ai kishte gjithashtu pjesë të shumta malware që ishin në mënyrë unike të afta të infektonin firmware-in e hard disqeve nga prodhues të ndryshëm, duke lejuar që malware të vazhdonte përgjatë fshirjeve të plota të disqeve, riinstalimeve të sistemit operativ dhe çdo gjëje tjetër përveç shkatërrimit të disqeve. Ky malware ishte i pamundur të zbulohej ose hiqej dhe do të kërkonte qasje në kodin burimor të firmuerit të diskut për t'u zhvilluar.

konkluzioni

APT qëndron për Kërcënim të Përparuar të Përparuar dhe është një term që përdoret për t'iu referuar grupeve shumë të avancuara të hakerave, përgjithësisht me lidhje të supozuara shtet-komb. Niveli i aftësisë, durimit dhe përkushtimit të treguar nga APT-të është i pakrahasueshëm në botën kriminale. Kombinuar me objektivat shpeshherë politikë, është shumë e qartë se këto nuk janë grupet tuaja mesatare të hakerave për para. Në vend që të shkojnë për shkelje të të dhënave me zë të lartë, APT-të priren të jenë delikate dhe të mbulojnë gjurmët e tyre sa më shumë që të jetë e mundur.

Në përgjithësi, përdoruesi mesatar nuk ka nevojë të shqetësohet për APT-të. Ata e kalojnë kohën e tyre vetëm në objektiva që janë veçanërisht të vlefshëm për ta. Njeriu mesatar nuk i fsheh sekretet që një shtet-komb i konsideron të vlefshme. Janë vetëm kompanitë më të mëdha, veçanërisht ato që bëjnë punë qeveritare, dhe veçanërisht njerëzit me ndikim që realisht janë në rrezik për t'u shënjestruar. Sigurisht, të gjithë duhet ta marrin seriozisht sigurinë e tyre, si dhe sigurinë e kompanisë së tyre.

Pikëpamja e përgjithshme në botën e sigurisë, megjithatë, është se nëse një APT vendos që ju jeni interesant, ata do të jenë në gjendje të hakojnë pajisjet tuaja disi, edhe nëse duhet të shpenzojnë miliona dollarë kohë në R&D. Kjo mund të shihet në disa raste të malware që janë projektuar me kujdes për të kapërcyer "boshllëqet e ajrit" siç është krimbi Stuxnet .