Τι είναι το APT;

Στην ασφάλεια στον κυβερνοχώρο, υπάρχει ένας τεράστιος αριθμός κακόβουλων απειλών. Πολλές από αυτές τις απειλές γράφουν κακόβουλο λογισμικό, αν και υπάρχουν πολλοί άλλοι τρόποι για να είναι κακόβουλοι οι εγκληματίες του κυβερνοχώρου. Ωστόσο, το επίπεδο δεξιοτήτων μεταξύ τους ποικίλλει πολύ. Πολλοί «χάκερς» είναι απλώς παιδάκια σεναρίου , που μπορούν να τρέξουν μόνο υπάρχοντα εργαλεία και δεν έχουν τις δεξιότητες να φτιάξουν τα δικά τους. Πολλοί χάκερ έχουν τις δεξιότητες να δημιουργήσουν το κακόβουλο λογισμικό τους, αν και το ακριβές διαμέτρημα ποικίλλει πάρα πολύ. Υπάρχει ένα ακόμη αποκλειστικό επίπεδο, ωστόσο, το APT.

Το APT σημαίνει Advanced Persistent Threat. Αποτελούν την αφρόκρεμα για τους χάκερ και γενικά είναι τα καλύτερα στην επιχείρηση. Τα APT δεν είναι μόνο τεχνικά καταρτισμένα στην ανάπτυξη exploit. χρησιμοποιούν επίσης μια σειρά από άλλες δεξιότητες, συμπεριλαμβανομένης της λεπτότητας, της υπομονής και της λειτουργικής ασφάλειας. Σε γενικές γραμμές, θεωρείται ότι οι περισσότεροι, αν όχι όλοι, οι APT είναι φορείς εθνικών κρατών ή τουλάχιστον χρηματοδοτούνται από το κράτος. Αυτή η υπόθεση βασίζεται στον χρόνο, την προσπάθεια και την αφοσίωση που δείχνουν στην επίτευξη του στόχου τους.

Δακτυλικά αποτυπώματα ενός APT

Οι ακριβείς στόχοι ενός APT διαφέρουν ανά χώρα, APT και επίθεση. Οι περισσότεροι χάκερ παρακινούνται από προσωπικό κέρδος και έτσι εισβάλλουν και προσπαθούν να αρπάξουν όσο το δυνατόν περισσότερα πολύτιμα δεδομένα. Τα APT εκτελούν επιθέσεις δολιοφθοράς, κατασκοπείας ή αναστάτωσης και έχουν γενικά πολιτικά ή μερικές φορές οικονομικά κίνητρα.

Ενώ οι περισσότεροι παράγοντες απειλής είναι συνήθως ευκαιριακά, τα APT τείνουν να είναι ήσυχα ή ακόμη και πολύ στοχευμένα. Αντί να αναπτύσσουν απλώς εκμεταλλεύσεις για τα τρωτά σημεία που βρίσκουν, θα εντοπίσουν έναν στόχο, θα βρουν τον καλύτερο τρόπο για να τα μολύνουν και στη συνέχεια θα ερευνήσουν και θα αναπτύξουν ένα exploit. Συνήθως, αυτά τα exploit θα ρυθμιστούν πολύ προσεκτικά ώστε να είναι όσο το δυνατόν πιο ήσυχα και διακριτικά. Αυτό ελαχιστοποιεί τον κίνδυνο ανίχνευσης, που σημαίνει ότι το exploit μπορεί να χρησιμοποιηθεί σε άλλους επιλεγμένους στόχους προτού ανακαλυφθεί και διορθωθεί η υποκείμενη ευπάθεια.

Η ανάπτυξη των exploits είναι μια τεχνική και χρονοβόρα επιχείρηση. Αυτό την καθιστά μια δαπανηρή επιχείρηση, ειδικά όταν αντιμετωπίζετε εξαιρετικά πολύπλοκα συστήματα χωρίς γνωστά τρωτά σημεία. Καθώς τα κεφάλαια των εθνικών κρατών είναι διαθέσιμα στα APT, μπορούν συνήθως να ξοδέψουν πολύ περισσότερο χρόνο και προσπάθεια για να εντοπίσουν αυτές τις λεπτές αλλά σοβαρές ευπάθειες και στη συνέχεια να αναπτύξουν εξαιρετικά πολύπλοκες εκμεταλλεύσεις για αυτούς.

Η απόδοση είναι δύσκολη

Η απόδοση μιας επίθεσης σε οποιαδήποτε ομάδα ή έθνος-κράτος μπορεί να είναι δύσκολη. Εκτελώντας βαθιές καταδύσεις στο πραγματικό κακόβουλο λογισμικό που χρησιμοποιείται, τα συστήματα υποστήριξης, ακόμη και τους στόχους παρακολούθησης, μπορεί να είναι δυνατή η σύνδεση μεμονωμένων τύπων κακόβουλου λογισμικού σε ένα APT με αρκετή σιγουριά και η σύνδεση αυτού του APT με μια χώρα.

Πολλά από αυτά τα εξαιρετικά προηγμένα exploit μοιράζονται κομμάτια κώδικα από άλλα exploits. Συγκεκριμένες επιθέσεις μπορεί ακόμη και να κάνουν χρήση των ίδιων τρωτών σημείων zero-day. Αυτά επιτρέπουν τη σύνδεσ�� και την παρακολούθηση των περιστατικών και όχι ως ένα έκτακτο κακόβουλο λογισμικό.

Η παρακολούθηση πολλών ενεργειών από ένα APT καθιστά δυνατή τη δημιουργία ενός χάρτη των επιλεγμένων στόχων τους. Αυτό, σε συνδυασμό με τη γνώση των γεωπολιτικών εντάσεων, μπορεί τουλάχιστον να περιορίσει τη λίστα των πιθανών κρατικών χορηγών. Περαιτέρω ανάλυση της γλώσσας που χρησιμοποιείται στο κακόβουλο λογισμικό μπορεί να δώσει υποδείξεις, αν και αυτές μπορούν επίσης να παραποιηθούν για να ενθαρρύνουν την εσφαλμένη απόδοση.

Οι περισσότερες επιθέσεις στον κυβερνοχώρο από APT έρχονται με εύλογη άρνηση, επειδή κανείς δεν τους ανήκει. Αυτό επιτρέπει σε κάθε υπεύθυνο έθνος να εκτελεί ενέργειες με τις οποίες δεν θα ήθελε απαραίτητα να συνδεθεί ή να κατηγορηθεί. Επειδή οι περισσότερες ομάδες APT αποδίδονται με σιγουριά σε συγκεκριμένα έθνη-κράτη, και θεωρείται ότι αυτά τα έθνη-κράτη έχουν ακόμη περισσότερες πληροφορίες για να βασίσουν αυτήν την απόδοση, είναι εύλογα πιθανό ότι όλοι γνωρίζουν ποιος είναι υπεύθυνος για τι. Εάν κάποιο έθνος κατηγορούσε επίσημα κάποιο άλλο για επίθεση, πιθανότατα θα δεχόταν μια αντίποινα. Παίζοντας χαζοί, όλοι μπορούν να διατηρήσουν την εύλογη άρνησή τους.

Παραδείγματα

Πολλές διαφορετικές ομάδες ονομάζουν άλλα πράγματα στα APT, γεγονός που περιπλέκει την παρακολούθηση τους. Ορισμένα ονόματα είναι απλώς αριθμημένοι προσδιορισμοί. Ορισμένα βασίζονται σε συνδεδεμένα ονόματα εκμετάλλευσης βασίζονται σε στερεότυπα ονόματα.

Υπάρχουν τουλάχιστον 17 APT που αποδίδονται στην Κίνα. Ένας αριθμός APT, όπως το APT 1, αναφέρεται σε κάποιους. Το APT 1 είναι επίσης συγκεκριμένα PLA Unit 61398. Τουλάχιστον δύο κινεζικά APT έχουν πάρει ονόματα με δράκους: Double Dragon και Dragon Bridge. Υπάρχει επίσης το Numbered Panda και το Red Apollo.

Πολλά APT που αποδίδονται στο Ιράν περιλαμβάνουν "γατάκι" στο όνομα. Για παράδειγμα, Helix Kitten, Charming Kitten, Remix Kitten και Pioneer Kitten. Το Russian APT έχει συχνά ονόματα αρκούδων, όπως Fancy Bear, Cozy Bear, Bezerk Bear, Venomous Bear και Primitive Bear. Η Βόρεια Κορέα έχει αποδοθεί σε τρία APT: Ricochet Chollima, Lazarus Group και Kimsuky.

Το Ισραήλ, το Βιετνάμ, το Ουζμπεκιστάν, η Τουρκία και οι Ηνωμένες Πολιτείες έχουν τουλάχιστον ένα αποδιδόμενο APT. Ένα APT που αποδίδεται στις ΗΠΑ ονομάζεται Equation Group, το οποίο πιστεύεται ότι είναι η μονάδα TAO ή Tailored Access Operations της NSA. Η ομάδα πήρε το όνομά της από το όνομα ορισμένων από τα κατορθώματά της και τη βαριά χρήση κρυπτογράφησης.

Η ομάδα εξισώσεων θεωρείται γενικά ως η πιο προηγμένη από όλα τα APT. Είναι γνωστό ότι απαγόρευσε συσκευές και τις τροποποίησε ώστε να περιλαμβάνει κακόβουλο λογισμικό. Είχε επίσης πολλά κομμάτια κακόβουλου λογισμικού που ήταν μοναδικά ικανά να μολύνουν το υλικολογισμικό των σκληρών δίσκων από διάφορους κατασκευαστές, επιτρέποντας στο κακόβουλο λογισμικό να παραμείνει σε πλήρη σκουπίσματα δίσκου, επανεγκαταστάσεις λειτουργικού συστήματος και οτιδήποτε άλλο εκτός από την καταστροφή δίσκου. Αυτό το κακόβουλο λογισμικό ήταν αδύνατο να εντοπιστεί ή να αφαιρεθεί και θα χρειαζόταν πρόσβαση στον πηγαίο κώδικα του υλικολογισμικού της μονάδας για να αναπτυχθεί.

συμπέρασμα

Το APT σημαίνει Advanced Persistent Threat και είναι ένας όρος που χρησιμοποιείται για να αναφέρεται σε εξαιρετικά προηγμένες ομάδες hacking, γενικά με υποτιθέμενους συνδέσμους εθνικών κρατών. Το επίπεδο δεξιοτήτων, υπομονής και αφοσίωσης που επιδεικνύουν οι APT είναι απαράμιλλο στον εγκληματικό κόσμο. Σε συνδυασμό με τους συχνά πολιτικούς στόχους, είναι ξεκάθαρο ότι αυτοί δεν είναι οι μέσες ομάδες σας για χάκερ για χρήματα. Αντί να κάνουν δυνατές παραβιάσεις δεδομένων, τα APT τείνουν να είναι διακριτικά και να καλύπτουν τα ίχνη τους όσο το δυνατόν περισσότερο.

Γενικά, ο μέσος χρήστης δεν χρειάζεται να ανησυχεί για τα APT. Ξοδεύουν το χρόνο τους μόνο σε στόχους που είναι ιδιαίτερα πολύτιμοι για αυτούς. Ο μέσος άνθρωπος δεν κρύβει μυστικά που ένα έθνος-κράτος θεωρεί πολύτιμα. Μόνο οι μεγαλύτερες εταιρείες, ειδικά εκείνες που κάνουν κυβερνητικό έργο, και ιδιαίτερα οι άνθρωποι με επιρροή, κινδυνεύουν ρεαλιστικά να στοχοποιηθούν. Φυσικά, όλοι θα πρέπει να λάβουν σοβαρά υπόψη την ασφάλειά τους, όπως και την ασφάλεια της εταιρείας τους.

Η γενική άποψη στον κόσμο της ασφάλειας, ωστόσο, είναι ότι εάν ένας APT αποφασίσει ότι είστε ενδιαφέροντες, θα μπορέσει να χακάρει τις συσκευές σας με κάποιο τρόπο, ακόμα κι αν χρειαστεί να ξοδέψουν εκατομμύρια δολάρια για χρόνο στην Ε&Α. Αυτό μπορεί να φανεί στις λίγες περιπτώσεις κακόβουλου λογισμικού που έχει σχεδιαστεί προσεκτικά για να μεταπηδήσει "κενά αέρα" όπως το worm Stuxnet .