V kibernetski varnosti obstaja ogromno zlonamernih groženj. Mnoge od teh groženj pišejo zlonamerno programsko opremo, čeprav obstaja veliko drugih načinov, kako so kibernetski kriminalci zlonamerni. Raven spretnosti med njimi pa se zelo razlikuje. Številni »hekerji« so samo skriptni otroci , ki lahko poganjajo samo obstoječa orodja in nimajo veščin, da bi izdelali svoja. Številni hekerji imajo spretnosti za izdelavo svoje zlonamerne programske opreme, čeprav se natančen kaliber zelo razlikuje. Obstaja pa še ena ekskluzivna raven, APT.
APT pomeni Advanced Persistent Threat. So smetana za hekerje in so na splošno najboljši v poslu. APT-ji niso samo tehnično usposobljeni za razvoj izkoriščanja; uporabljajo tudi vrsto drugih veščin, vključno s subtilnostjo, potrpežljivostjo in operativno varnostjo. Na splošno se domneva, da je večina, če ne vsi, APT akterji nacionalne države ali jih vsaj sponzorira država. Ta predpostavka temelji na času, trudu in predanosti, ki jih pokažejo pri doseganju svojega cilja.
Prstni odtisi APT
Natančni cilji APT se razlikujejo glede na državo, APT in napad. Večino hekerjev motivira osebna korist, zato vdrejo in poskušajo čim hitreje pridobiti čim več dragocenih podatkov. APT izvajajo sabotaže, vohunjenje ali moteče napade in so na splošno politično ali včasih ekonomsko motivirani.
Medtem ko je večina akterjev groženj običajno oportunističnih, so APT-ji ponavadi tihi ali celo zelo ciljno usmerjeni. Namesto da samo razvijajo izkoriščanja za ranljivosti, ki jih najdejo, bodo identificirali tarčo, ugotovili, kako jih najbolje okužiti, nato pa raziskovali in razvili izkoriščanje. Običajno bodo ti podvigi zelo skrbno konfigurirani, da bodo čim bolj tihi in subtilni. To zmanjša tveganje odkritja, kar pomeni, da je izkoriščanje mogoče uporabiti na drugih izbranih ciljih, preden se odkrije in osnovna ranljivost odpravi.
Razvijanje podvigov je tehničen in dolgotrajen posel. Zaradi tega je to drag posel, zlasti ko gre za zelo zapletene sisteme brez znanih ranljivosti. Ker so APT-jem na voljo sredstva nacionalne države, lahko običajno porabijo veliko več časa in truda za prepoznavanje teh subtilnih, a hudih ranljivosti in nato zanje razvijejo izjemno zapletene podvige.
Pripisovanje je težko
Pripisati napad kateri koli skupini ali nacionalni državi je lahko težko. Z izvajanjem poglobljenih potopov v dejansko uporabljeno zlonamerno programsko opremo, podporne sisteme in celo cilje sledenja je mogoče posamezne vrste zlonamerne programske opreme dokaj zanesljivo povezati z APT in ta APT povezati z državo.
Mnogi od teh zelo naprednih izkoriščanj si delijo delčke kode iz drugih izkoriščanj. Posebni napadi lahko celo uporabijo iste ranljivosti ničelnega dne. Ti omogočajo povezovanje in sledenje incidentov namesto enkratne, izredne zlonamerne programske opreme.
Sledenje številnim dejanjem iz APT omogoča sestavljanje zemljevida njihovih izbranih ciljev. To, v kombinaciji s poznavanjem geopolitičnih napetosti, lahko vsaj malo skrči seznam morebitnih sponzorjev države. Nadaljnja analiza jezika, uporabljenega v zlonamerni programski opremi, lahko da namige, čeprav jih je mogoče tudi ponarediti, da spodbudijo napačno pripisovanje.
Večino kibernetskih napadov APT-jev je mogoče zanikati, ker jih nihče ne priznava. To vsakemu odgovornemu narodu omogoča, da izvaja dejanja, za katera ne bi nujno želela biti povezana ali obtožena. Ker je večina skupin APT samozavestno pripisanih določenim nacionalnim državam in se domneva, da imajo te nacionalne države še več informacij, na podlagi katerih lahko utemeljijo to pripisovanje, je razumno verjetno, da vsi vedo, kdo je odgovoren za kaj. Če bi katera koli država uradno obtožila drugo za napad, bi bila verjetno deležna povračilnega pripisovanja. Če se igrajo neumni, lahko vsak obdrži svojo verodostojno zanikanje.
Primeri
Veliko različnih skupin poimenuje APT-je drugače, kar otežuje njihovo sledenje. Nekatera imena so samo oštevilčene oznake. Nekateri temeljijo na povezanih imenih izkoriščanja, ki temeljijo na stereotipnih imenih.
Kitajski je pripisanih vsaj 17 APT. Številka APT, kot je APT 1, se nanaša na nekatere. APT 1 je prav tako natančno enota PLA 61398. Vsaj dva kitajska APT-ja sta dobila imena z zmaji: Double Dragon in Dragon Bridge. Tu sta tudi Numbered Panda in Red Apollo.
Številni APT-ji, ki se pripisujejo Iranu, imajo v imenu »mucka«. Na primer Helix Kitten, Charming Kitten, Remix Kitten in Pioneer Kitten. Ruski APT pogosto vsebuje imena medvedov, vključno s Fancy Bear, Cosy Bear, Bezerk Bear, Venomous Bear in Primitive Bear. Severni Koreji so pripisali tri APT: Ricochet Chollima, Lazarus Group in Kimsuky.
Izrael, Vietnam, Uzbekistan, Turčija in Združene države imajo vsaj en pripisan APT. APT, ki ga pripisujejo ZDA, se imenuje Equation Group, za katero se domneva, da je NSA TAO ali Tailored Access Operations enota. Skupina je dobila ime po imenu nekaterih svojih podvigov in obsežni uporabi šifriranja.
Skupina Equation na splošno velja za najnaprednejšo od vseh APT. Znano je, da je preprečeval naprave in jih spreminjal tako, da so vključevale zlonamerno programsko opremo. Imel je tudi več kosov zlonamerne programske opreme, ki je bila edinstvena sposobna okužiti vdelano programsko opremo trdih diskov različnih proizvajalcev, kar je omogočilo, da je zlonamerna programska oprema vztrajala pri popolnem brisanju pogona, ponovni namestitvi operacijskega sistema in karkoli drugega kot uničenje pogona. Te zlonamerne programske opreme je bilo nemogoče odkriti ali odstraniti in bi za razvoj potreboval dostop do izvorne kode vdelane programske opreme pogona.
Zaključek
APT je kratica za Advanced Persistent Threat in je izraz, ki se uporablja za označevanje zelo naprednih hekerskih skupin, na splošno z domnevnimi povezavami med nacionalnimi državami. Raven spretnosti, potrpežljivosti in predanosti, ki jo izkazujejo APT, je v kriminalnem svetu neprimerljiva. V kombinaciji s pogosto političnimi tarčami je precej jasno, da to niso povprečne hekerske skupine za zaslužek. Namesto da bi se lotili glasnih kršitev podatkov, so APT-ji ponavadi subtilni in čim bolj prikrijejo svoje sledi.
Na splošno povprečnemu uporabniku ni treba skrbeti za APT. Svoj čas porabijo samo za tarče, ki so zanje še posebej dragocene. Povprečen človek ne skriva skrivnosti, ki jih nacionalna država šteje za dragocene. Samo večja podjetja, zlasti tista, ki opravljajo vladno delo, in zlasti vplivni ljudje so realno v nevarnosti, da bodo tarče. Seveda bi moral vsak resno vzeti svojo varnost, pa tudi varnost svojega podjetja.
Splošno mnenje v svetu varnosti pa je, da če se APT odloči, da ste zanimivi, bo lahko nekako vdrl v vaše naprave, tudi če bo moral porabiti milijone dolarjev časa za raziskave in razvoj. To je razvidno iz nekaj primerov zlonamerne programske opreme, ki je bila skrbno zasnovana za preskakovanje "zračnih vrzeli", kot je črv Stuxnet .
