Kas ir APT?

Kiberdrošības jomā pastāv liels skaits ļaunprātīgu draudu. Daudzi no šiem draudiem rada ļaunprātīgu programmatūru, lai gan ir daudz citu veidu, kā kibernoziedznieki var būt ļaunprātīgi. Tomēr prasmju līmenis starp tām ir ļoti atšķirīgs. Daudzi “hakeri” ir tikai skriptu bērni , kuri spēj palaist tikai esošos rīkus un viņiem trūkst prasmju, lai izveidotu savus. Daudziem hakeriem ir prasmes izveidot ļaunprātīgu programmatūru, lai gan precīzs kalibrs ir ļoti atšķirīgs. Tomēr ir vēl viens ekskluzīvs līmenis, APT.

APT apzīmē Advanced Persistent Threat. Tie ir hakeru raža un parasti ir labākie šajā biznesā. APT ir ne tikai tehniski kvalificēti ekspluatācijas izstrādē; viņi izmanto arī virkni citu prasmju, tostarp smalkumu, pacietību un darbības drošību. Parasti tiek pieņemts, ka lielākā daļa, ja ne visi, APT ir nacionālas valsts dalībnieki vai vismaz valsts sponsorēti. Šis pieņēmums ir balstīts uz laiku, pūlēm un centību, ko viņi izrāda sava mērķa sasniegšanā.

APT pirkstu nospiedumi

Precīzi APT mērķi atšķiras atkarībā no valsts, APT un uzbrukuma. Lielāko daļu hakeru motivē personisks labums, tāpēc viņi ielaužas un cenšas pēc iespējas ātrāk iegūt pēc iespējas vairāk vērtīgu datu. APT veic sabotāžu, spiegošanu vai graujošus uzbrukumus un parasti ir politiski vai dažreiz ekonomiski motivēti.

Lai gan lielākā daļa apdraudējuma dalībnieku parasti ir oportūnistiski noskaņoti, APT parasti ir klusi vai pat ļoti mērķtiecīgi. Tā vietā, lai tikai izstrādātu ekspluatācijas iespējas atklātajām ievainojamībām, viņi noteiks mērķi, izdomās, kā vislabāk tos inficēt, un pēc tam izpētīs un izstrādās izmantojumu. Parasti šīs darbības tiek ļoti rūpīgi konfigurētas, lai tās būtu pēc iespējas klusākas un smalkas. Tas samazina atklāšanas risku, kas nozīmē, ka ekspluatāciju var izmantot citos izvēlētos mērķos, pirms tas tiek atklāts un pamatā esošā ievainojamība tiek novērsta.

Ekspluatāciju izstrāde ir tehnisks un laikietilpīgs bizness. Tas padara to par dārgu biznesu, it īpaši, strādājot ar ļoti sarežģītām sistēmām bez zināmām ievainojamībām. Tā kā APT ir pieejami nacionālo valstu līdzekļi, viņi parasti var pavadīt daudz vairāk laika un pūļu, lai identificētu šīs smalkās, bet nopietnās ievainojamības un pēc tam izstrādātu ārkārtīgi sarežģītus ekspluatācijas veidus.

Attiecināšana ir grūta

Var būt grūti attiecināt uzbrukumu uz kādu grupu vai nacionālu valsti. Padziļināti iedziļinoties faktiskajā izmantotajā ļaunprogrammatūrā, atbalsta sistēmās un pat izsekošanas mērķos, var būt iespējams diezgan pārliecinoši saistīt atsevišķus ļaunprātīgas programmatūras celmus ar APT un saistīt šo APT ar valsti.

Daudzi no šiem ļoti uzlabotajiem paņēmieniem koplieto koda bitus no citiem ekspluatācijas veidiem. Konkrēti uzbrukumi var pat izmantot tās pašas nulles dienas ievainojamības. Tie ļauj incidentus saistīt un izsekot, nevis kā vienreizēju, neparastu ļaunprātīgu programmatūru.

Daudzu darbību izsekošana no APT ļauj izveidot izvēlēto mērķu karti. Tas kopā ar zināšanām par ģeopolitisko spriedzi var vismaz sašaurināt iespējamo valsts sponsoru sarakstu. Ļaunprātīgajā programmā izmantotās valodas papildu analīze var sniegt mājienus, lai gan tos var arī viltot, lai veicinātu nepareizu attiecināšanu.

Lielākā daļa APT kiberuzbrukumu ir ticami noliedzami, jo neviens tos nepieder. Tas ļauj katrai atbildīgajai nācijai veikt darbības, ar kurām tā ne vienmēr vēlētos būt saistīta vai apsūdzēta. Tā kā lielākā daļa APT grupu tiek droši attiecinātas uz konkrētām nacionālajām valstīm un tiek pieņemts, ka šīm nacionālajām valstīm ir vēl vairāk informācijas, uz kuru balstīt šo attiecinājumu, ir diezgan iespējams, ka visi zina, kurš par ko ir atbildīgs. Ja kāda valsts oficiāli apsūdzētu kādu citu uzbrukumā, tā, visticamāk, nonāktu atriebības piedēvēšanas virzienā. Spēlējot stulbu, katrs saglabā savu ticamo noliedzamību.

Piemēri

Daudzas dažādas grupas nosauc APT citas lietas, kas sarežģī to izsekošanu. Daži nosaukumi ir tikai numurēti apzīmējumi. Daži no tiem ir balstīti uz saistītiem izmantošanas nosaukumiem, kuru pamatā ir stereotipiski nosaukumi.

Uz Ķīnu ir attiecināti vismaz 17 APT. APT numurs, piemēram, APT 1, attiecas uz dažiem. APT 1 ir arī īpaši PLA vienība 61398. Vismaz diviem ķīniešu APT ir doti nosaukumi ar pūķiem: Double Dragon un Dragon Bridge. Ir arī numurētā panda un sarkanais Apollo.

Daudzu uz Irānu attiecināto APT nosaukumā ir “kaķēns”. Piemēram, Helix Kitten, Charming Kitten, Remix Kitten un Pioneer Kitten. Krievu APT bieži izmanto lāču vārdus, tostarp Fancy Bear, Cozy Bear, Bezerk Bear, Venomous Bear un Primitive Bear. Ziemeļkoreja ir attiecināta uz trim APT: Ricochet Chollima, Lazarus Group un Kimsuky.

Izraēlai, Vjetnamai, Uzbekistānai, Turcijai un ASV ir vismaz viens attiecināts APT. ASV piešķirto APT sauc par Equation Group, kas, domājams, ir NSA TAO jeb pielāgotās piekļuves operāciju vienība. Grupa savu nosaukumu ieguvusi no dažu tās ekspluatāciju nosaukuma un intensīvās šifrēšanas izmantošanas.

Vienādojumu grupa parasti tiek uzskatīta par vismodernāko no visiem APT. Ir zināms, ka tas ir aizliedzis ierīces un pārveidojis tās, lai iekļautu ļaunprātīgu programmatūru. Tajā bija arī vairākas ļaunprātīgas programmatūras daļas, kas unikāli spēja inficēt dažādu ražotāju cieto disku programmaparatūru, ļaujot ļaunprātīgai programmatūrai saglabāties visā diska dzēšanas laikā, operētājsistēmas atkārtotas instalēšanas laikā un jebko, kas nav diska iznīcināšana. Šo ļaunprātīgo programmatūru nebija iespējams noteikt vai noņemt, un tās izstrādei būtu nepieciešama piekļuve diskdziņa programmaparatūras avota kodam.

Secinājums

APT apzīmē Advanced Persistent Threat un ir termins, ko lieto, lai apzīmētu ļoti attīstītas hakeru grupas, parasti ar iespējamām saitēm starp nacionālajām valstīm. APT parādītais prasmju, pacietības un centības līmenis ir nepārspējams kriminālajā pasaulē. Apvienojumā ar bieži politiskiem mērķiem ir diezgan skaidrs, ka tās nav jūsu vidējās uzlaušanas grupas. Tā vietā, lai veiktu skaļus datu pārkāpumus, APT mēdz būt smalki un pēc iespējas vairāk aptver savus ceļus.

Parasti vidusmēra lietotājam nav jāuztraucas par APT. Viņi pavada savu laiku tikai tiem mērķiem, kas viņiem ir īpaši vērtīgi. Parastais cilvēks neslēpj noslēpumus, ko nacionāla valsts uzskata par vērtīgiem. Tikai lielāki uzņēmumi, jo īpaši tie, kas veic valdības darbu, un īpaši ietekmīgi cilvēki ir reāli pakļauti riskam tikt vērsti. Protams, ikvienam ir nopietni jāuztver sava, kā arī sava uzņēmuma drošība.

Tomēr vispārējais uzskats drošības pasaulē ir tāds, ka, ja APT nolems, ka esat interesants, viņi varēs kaut kā uzlauzt jūsu ierīces, pat ja viņiem būs jāpavada miljoniem dolāru laika pētniecībai un attīstībai. To var redzēt dažos gadījumos, kad ļaunprātīga programmatūra ir rūpīgi izstrādāta, lai pārvarētu "gaisa spraugas", piemēram, Stuxnet tārps .