Какво е APT?

В киберсигурността има огромен брой злонамерени заплахи. Много от тези заплахи пишат злонамерен софтуер, въпреки че има много други начини киберпрестъпниците да бъдат злонамерени. Нивото на умения между тях обаче варира много. Много „хакери“ са просто хлапета на скриптове , способни да изпълняват само съществуващи инструменти и им липсват уменията да направят свои собствени. Много хакери имат уменията да създават своя злонамерен софтуер, въпреки че точният калибър варира значително. Има обаче още едно изключително ниво, APT.

APT означава Advanced Persistent Threat. Те са каймакът на хакерите и като цяло са най-добрите в бизнеса. APT не са просто технически опитни в разработването на експлойти; те също така използват набор от други умения, включително финес, търпение и оперативна сигурност. Като цяло се приема, че повечето, ако не и всички, APTs са участници от националната държава или поне са спонсорирани от държавата. Това предположение се основава на времето, усилията и отдадеността, които показват при постигането на целта си.

Пръстови отпечатъци на APT

Точните цели на APT варират според държавата, APT и атаката. Повечето хакери са мотивирани от лична изгода и затова проникват и се опитват да вземат възможно най-бързо възможно най-много ценни данни. APT извършват саботаж, шпионаж или разрушителни атаки и обикновено са политически или понякога икономически мотивирани.

Докато повечето участници в заплахата обикновено са опортюнистични, APT са склонни да бъдат тихи или дори много насочени. Вместо просто да разработват експлойти за открити уязвимости, те ще идентифицират цел, ще измислят как най-добре да ги заразят и след това ще проучат и разработят експлойт. Обикновено тези експлойти ще бъдат много внимателно конфигурирани, за да бъдат възможно най-тихи и фини. Това минимизира риска от откриване, което означава, че експлойтът може да се използва върху други избрани цели, преди да бъде открит и основната уязвимост да бъде коригирана.

Разработването на подвизи е технически и отнемащ време бизнес. Това го прави скъп бизнес, особено когато се работи с изключително сложни системи без известни уязвимости. Тъй като средствата на националната държава са достъпни за APT, те обикновено могат да отделят много повече време и усилия за идентифициране на тези фини, но сериозни уязвимости и след това да разработят изключително сложни експлойти за тях.

Приписването е трудно

Приписването на атака на която и да е група или национална държава може да бъде трудно. Чрез извършване на дълбоки гмуркания в действително използвания злонамерен софтуер, поддържащите системи и дори цели за проследяване може да бъде възможно да се свържат отделни видове злонамерен софтуер с APT сравнително уверено и да се свърже този APT с държава.

Много от тези много напреднали експлойти споделят части от код от други експлойти. Конкретни атаки могат дори да използват същите уязвимости от нулевия ден. Те позволяват инцидентите да бъдат свързвани и проследявани, а не като еднократен, изключителен злонамерен софтуер.

Проследяването на много действия от APT прави възможно изграждането на карта на избраните от тях цели. Това, съчетано с познаването на геополитическото напрежение, може поне да стесни списъка с потенциални държавни спонсори. По-нататъшният анализ на езика, използван в рамките на злонамерения софтуер, може да даде намеци, въпреки че те също могат да бъдат фалшифицирани, за да насърчат неправилното приписване.

Повечето кибератаки от APTs идват с правдоподобно отричане, защото никой не ги притежава. Това позволява на всяка отговорна нация да извършва действия, с които не би искала непременно да бъде свързвана или обвинявана. Тъй като повечето APT групи са уверено приписани на конкретни национални държави и се предполага, че тези национални държави имат още повече информация, на която да базират това приписване, е разумно вероятно всеки да знае кой за какво е отговорен. Ако някоя нация официално обвини друга в нападение, тя вероятно ще бъде насочена към ответно приписване. Правейки се на тъп, всеки успява да запази правдоподобното си отричане.

Примери

Много различни групи наричат ​​APT други неща, което усложнява проследяването им. Някои имена са само номерирани обозначения. Някои се основават на свързани имена на експлойти, базирани на стереотипни имена.

Има най-малко 17 APT, приписвани на Китай. APT номер, като APT 1, се отнася за някои. APT 1 също е конкретно PLA Unit 61398. Най-малко два китайски APT са получили имена с дракони: Double Dragon и Dragon Bridge. Има също Numbered Panda и Red Apollo.

Много APT, приписвани на Иран, съдържат „коте“ в името. Например Helix Kitten, Charming Kitten, Remix Kitten и Pioneer Kitten. Руският APT често съдържа имена на мечки, включително Fancy Bear, Cozy Bear, Bezerk Bear, Venomous Bear и Primitive Bear. Северна Корея се приписва на три APT: Ricochet Chollima, Lazarus Group и Kimsuky.

Израел, Виетнам, Узбекистан, Турция и Съединените щати имат поне един приписан APT. APT, приписан на САЩ, се нарича Equation Group, за която се смята, че е TAO на NSA или Tailored Access Operations единица. Групата получава името си от името на някои от нейните експлойти и интензивното използване на криптиране.

Групата на уравненията обикновено се счита за най-модерната от всички APT. Известно е, че е блокирал устройства и ги е модифицирал, за да включва злонамерен софтуер. Освен това имаше множество части от злонамерен софтуер, които бяха уникално способни да заразят фърмуера на твърди дискове от различни производители, позволявайки на злонамерения софтуер да продължи при пълно изтриване на дискове, преинсталиране на операционна система и всичко друго освен унищожаване на дискове. Този зловреден софтуер беше невъзможен за откриване или премахване и щеше да изисква достъп до изходния код на фърмуера на устройството, за да бъде разработен.

Заключение

APT означава Advanced Persistent Threat и е термин, използван за означаване на много напреднали хакерски групи, обикновено с предполагаеми връзки между национални държави. Нивото на умения, търпение и отдаденост, показани от APTs, е несравнимо в престъпния свят. В комбинация с често политическите мишени, е доста ясно, че това не са средните групи за хакване за пари. Вместо да се стремят към шумни пробиви на данни, APT са склонни да бъдат фини и да прикриват следите си колкото е възможно повече.

Като цяло средният потребител не трябва да се тревожи за APT. Те прекарват времето си само в цели, които са особено ценни за тях. Обикновеният човек не крие тайни, които една национална държава смята за ценни. Само по-големите компании, особено тези, които вършат държавна работа, и особено влиятелните хора са реалистично изложени на риск да бъдат набелязани. Разбира се, всеки трябва да се отнася сериозно към своята сигурност, както и към сигурността на компанията си.

Общото мнение в света на сигурността обаче е, че ако APT реши, че сте интересен, те ще могат да хакнат устройствата ви по някакъв начин, дори ако трябва да похарчат милиони долари време в R&D. Това може да се види в малкото случаи на злонамерен софтуер, който е внимателно проектиран да прескача „въздушни пропуски“, като например червея Stuxnet .