Mis on APT?

Küberturvalisuses on suur hulk pahatahtlikke ohte. Paljud neist ohtudest kirjutavad pahavara, kuigi on palju muid viise, kuidas küberkurjategijad pahatahtlikud olla. Nende oskuste tase on siiski väga erinev. Paljud "häkkerid" on lihtsalt skriptilapsed , kes saavad käitada ainult olemasolevaid tööriistu ja neil puuduvad oskused omaenda loomiseks. Paljudel häkkeritel on pahavara loomise oskused, kuigi täpne kaliiber on metsikult erinev. Siiski on veel üks eksklusiivne tase, APT.

APT tähistab Advanced Persistent Threat. Nad on häkkerite jaoks parim ja üldiselt parimad selles valdkonnas. APT-d ei ole ainult tehniliselt oskuslikud ärakasutamise arendamiseks; nad kasutavad ka mitmesuguseid muid oskusi, sealhulgas peenust, kannatlikkust ja tööturvalisust. Üldiselt eeldatakse, et enamik, kui mitte kõik, APT-d on rahvusriikide osalejad või vähemalt riiklikult toetatud. See eeldus põhineb ajast, jõupingutustest ja pühendumusest, mida nad oma eesmärgi saavutamisel üles näitavad.

APT sõrmejäljed

APT täpsed eesmärgid sõltuvad riigist, APT-st ja rünnakust. Enamik häkkereid on motiveeritud isiklikust kasust ja seetõttu tungivad nad sisse ja püüavad võimalikult kiiresti hankida võimalikult palju väärtuslikke andmeid. APT-d sooritavad sabotaaži, spionaaži või häirivaid rünnakuid ning on üldiselt poliitiliselt või mõnikord majanduslikult motiveeritud.

Kui enamik ohus osalejaid on tavaliselt oportunistlikud, siis APT-d kipuvad olema vaiksed või isegi väga sihipärased. Selle asemel, et lihtsalt leitud haavatavuste jaoks ära töötada, tuvastavad nad sihtmärgi, leiavad, kuidas neid kõige paremini nakatada, ning seejärel uurivad ja arendavad ärakasutamist. Tavaliselt on need ärakasutamised väga hoolikalt seadistatud nii, et need oleksid võimalikult vaiksed ja peened. See minimeerib avastamise riski, mis tähendab, et ärakasutamist saab enne selle avastamist ja selle aluseks oleva haavatavuse parandamist kasutada teiste valitud sihtmärkide puhul.

Kasutusvõimaluste väljatöötamine on tehniline ja aeganõudev äri. See muudab selle kulukaks äriks, eriti kui tegemist on väga keerukate süsteemidega, millel puuduvad teadaolevad haavatavused. Kuna APT-dele on kättesaadavad rahvusriigi rahalised vahendid, saavad nad tavaliselt kulutada palju rohkem aega ja vaeva nende peente, kuid tõsiste haavatavuste tuvastamiseks ja seejärel nende jaoks äärmiselt keerukate ärakasutamiste väljatöötamiseks.

Omistamine on raske

Rünnaku omistamine ühele rühmale või rahvusriigile võib olla keeruline. Uurides põhjalikult kasutatud pahavara, tugisüsteeme ja isegi jälgimise sihtmärke, on võimalik üksikuid pahavara tüvesid üsna kindlalt APT-ga siduda ja seda APT-d riigiga siduda.

Paljud neist kõrgelt arenenud kasutusviisidest jagavad koodi bitte teistest äpardustest. Konkreetsed rünnakud võivad isegi kasutada samu nullpäeva turvaauke. Need võimaldavad vahejuhtumeid linkida ja jälgida, mitte ühekordse, erakordse pahavarana.

Paljude APT tegevuste jälgimine võimaldab koostada nende valitud sihtmärkide kaardi. See koos geopoliitiliste pingete tundmisega võib potentsiaalsete riiklike sponsorite nimekirja vähemalt kitsendada. Pahavaras kasutatava keele täiendav analüüs võib anda vihjeid, kuigi neid saab ka võltsida, et soodustada valesti omistamist.

Enamik APT-de küberrünnakuid on üsna eitatav, sest keegi ei oma neid. See võimaldab igal vastutustundlikul riigil teha tegusid, millega ta ei tahaks olla seotud või milles teda süüdistatakse. Kuna enamik APT rühmi on kindlalt omistatud konkreetsetele rahvusriikidele ja eeldatakse, et neil rahvusriikidel on selle omistamise aluseks veelgi rohkem teavet, on üsna tõenäoline, et kõik teavad, kes mille eest vastutab. Kui mõni riik süüdistaks ametlikult teist rünnakus, oleks ta tõenäoliselt kättemaksuga seotud omistusse sattunud. Lolli mängides saavad kõik säilitada oma usutava eitamise.

Näited

Paljud erinevad rühmad nimetavad APT-sid muudeks asjadeks, mis muudab nende jälgimise keeruliseks. Mõned nimed on lihtsalt nummerdatud nimetused. Mõned põhinevad lingitud ärakasutamisnimedel, põhinevad stereotüüpsetel nimedel.

Hiinale omistatakse vähemalt 17 APT-d. APT number, näiteks APT 1, viitab mõnele. APT 1 on ka spetsiaalselt PLA-üksus 61398. Vähemalt kahele Hiina APT-le on antud draakonid sisaldavad nimed: Double Dragon ja Dragon Bridge. Seal on ka Numbered Panda ja Red Apollo.

Paljude Iraanile omistatud APT-de nimes on "kassipoeg". Näiteks Helix Kitten, Charming Kitten, Remix Kitten ja Pioneer Kitten. Vene APT-l on sageli karunimesid, sealhulgas Fancy Bear, Cozy Bear, Bezerk Bear, Venomous Bear ja Primitive Bear. Põhja-Koreale on omistatud kolm APT-d: Ricochet Chollima, Lazarus Group ja Kimsuky.

Iisraelile, Vietnamile, Usbekistanile, Türgile ja Ameerika Ühendriikidele on omistatud vähemalt üks APT. USA-le omistatud APT-d nimetatakse Equation Groupiks, mis arvatakse olevat NSA TAO või kohandatud juurdepääsu operatsioonide üksus. Rühm on saanud oma nime mõne selle ärakasutamise nimest ja krüptimise rohkest kasutamisest.

Võrrandirühma peetakse üldiselt kõigist APT-dest kõige arenenumaks. On teada, et see keelas seadmed ja muutis neid pahavara sisaldamiseks. Sellel oli ka mitu pahavara tükki, mis olid ainulaadselt võimelised nakatama erinevate tootjate kõvaketaste püsivara, võimaldades pahavaral püsida kogu draivi kustutamise, operatsioonisüsteemi uuesti installimise ja kõige muu peale draivi hävitamise. Seda pahavara oli võimatu tuvastada ega eemaldada ning selle arendamiseks oleks vaja juurdepääsu draivi püsivara lähtekoodile.

Järeldus

APT tähistab Advanced Persistent Threat ja seda terminit kasutatakse kõrgelt arenenud häkkimisrühmade kohta, millel on üldiselt väidetavad sidemed rahvusriikide vahel. APT-de oskuste, kannatlikkuse ja pühendumuse tase on kuritegelikus maailmas võrreldamatu. Koos sageli poliitiliste sihtmärkidega on üsna selge, et need pole teie keskmised raha eest häkkimise grupid. Selle asemel, et minna valju andmerikkumistele, kipuvad APT-d olema peened ja katavad oma jälgi nii palju kui võimalik.

Tavaliselt ei pea tavakasutaja APT-de pärast muretsema. Nad veedavad oma aega ainult nende jaoks eriti väärtuslike sihtmärkide jaoks. Tavainimene ei varja saladusi, mida rahvusriik väärtuslikuks peab. Ainult suuremad ettevõtted, eriti need, kes teevad valitsuse tööd, ja eriti mõjukad inimesed on reaalselt ohustatud. Loomulikult peaksid kõik oma ja ka ettevõtte turvalisust tõsiselt võtma.

Üldine arvamus turvamaailmas on aga see, et kui APT otsustab, et olete huvitav, saavad nad teie seadmeid kuidagi häkkida, isegi kui nad peavad kulutama uurimis- ja arendustegevusele miljoneid dollareid. Seda võib näha üksikutel juhtudel, kui pahavara on hoolikalt kavandatud „õhuvahede” hüppamiseks, näiteks Stuxneti uss .