Čo je APT?

V oblasti kybernetickej bezpečnosti existuje obrovské množstvo škodlivých hrozieb. Mnohé z týchto hrozieb vytvárajú malvér, aj keď existuje mnoho iných spôsobov, ako môžu počítačoví zločinci byť škodlivý. Úroveň zručností medzi nimi sa však veľmi líši. Mnoho „hackerov“ sú len deti so skriptami , ktoré dokážu spustiť iba existujúce nástroje a nemajú zručnosti na vytvorenie vlastných. Mnoho hackerov má schopnosti vytvoriť svoj malvér, hoci presný kaliber sa veľmi líši. Existuje však ešte jedna exkluzívna úroveň, APT.

APT znamená Advanced Persistent Threat. Pre hackerov sú smotánkou a vo všeobecnosti sú najlepší v biznise. APT nie sú len technicky zdatní vo vývoji exploitov; využívajú aj celý rad ďalších zručností vrátane jemnosti, trpezlivosti a prevádzkovej bezpečnosti. Vo všeobecnosti sa predpokladá, že väčšina, ak nie všetky, APT sú aktérmi národného štátu alebo aspoň štátom sponzorovanými. Tento predpoklad je vybudovaný z času, úsilia a odhodlania, ktoré prejavujú pri dosahovaní svojho cieľa.

Odtlačky prstov APT

Presné ciele APT sa líšia podľa krajiny, APT a útoku. Väčšina hackerov je motivovaná osobným ziskom, a preto sa snažia čo najrýchlejšie získať čo najviac cenných údajov. APT vykonávajú sabotáž, špionáž alebo rušivé útoky a sú vo všeobecnosti politicky alebo niekedy ekonomicky motivované.

Zatiaľ čo väčšina aktérov hrozieb je zvyčajne oportunistická, APT bývajú tiché alebo dokonca veľmi cielené. Namiesto toho, aby len vyvíjali exploity na nájdené zraniteľnosti, identifikujú cieľ, vymyslia, ako ich najlepšie infikovať, a potom vyskúmajú a vyvinú exploit. Zvyčajne budú tieto exploity veľmi starostlivo nakonfigurované tak, aby boli čo najtichšie a najjemnejšie. To minimalizuje riziko odhalenia, čo znamená, že exploit môže byť použitý na iné zvolené ciele skôr, ako bude odhalený a bude opravená základná zraniteľnosť.

Vývoj exploitov je technicky a časovo náročný biznis. To z neho robí nákladný biznis, najmä ak ide o veľmi zložité systémy bez známych zraniteľností. Keďže APT majú k dispozícii fondy národných štátov, môžu zvyčajne stráviť oveľa viac času a úsilia identifikáciou týchto jemných, ale závažných zraniteľností a následným vývojom mimoriadne zložitých spôsobov využitia.

Pripisovanie je ťažké

Pripísať útok ktorejkoľvek jednej skupine alebo národnému štátu môže byť ťažké. Uskutočnením hlbokých ponorov do skutočne používaného malvéru, podporných systémov a dokonca aj sledovania cieľov je možné pomerne spoľahlivo prepojiť jednotlivé kmene malvéru s APT a prepojiť tento APT s krajinou.

Mnohé z týchto vysoko pokročilých exploitov zdieľajú kúsky kódu z iných exploitov. Špecifické útoky môžu dokonca využívať rovnaké zraniteľnosti zero-day. Tie umožňujú, aby boli incidenty prepojené a sledované, a nie ako jednorazový, mimoriadny malvér.

Sledovanie mnohých akcií z APT umožňuje zostaviť mapu ich vybraných cieľov. To v spojení s poznaním geopolitického napätia môže aspoň zúžiť zoznam potenciálnych štátnych sponzorov. Ďalšia analýza jazyka používaného v rámci malvéru môže poskytnúť rady, aj keď tieto môžu byť tiež sfalšované, aby sa podporilo nesprávne priradenie.

Väčšina kybernetických útokov zo strany APT prichádza s hodnoverným popieraním, pretože ich nikto nepriznáva. To umožňuje každému zodpovednému národu vykonávať akcie, s ktorými by nevyhnutne nechcel byť spájaný alebo obviňovaný. Pretože väčšina skupín APT je s istotou priradená konkrétnym národným štátom a predpokladá sa, že tieto národné štáty majú ešte viac informácií, na ktorých môže toto priradenie založiť, je dosť pravdepodobné, že každý vie, kto je za čo zodpovedný. Ak by ktorýkoľvek národ oficiálne obvinil iný z útoku, pravdepodobne by bol na strane odvetného prisúdenia. Hraním hlúpeho si každý udrží svoju hodnovernú popierateľnosť.

Príklady

Mnoho rôznych skupín pomenúva APT iné veci, čo komplikuje ich sledovanie. Niektoré mená sú len očíslované označenia. Niektoré sú založené na prepojených exploitoch, sú založené na stereotypných menách.

Číne sa pripisuje najmenej 17 APT. Číslo APT, ako napríklad APT 1, sa vzťahuje na niektoré. APT 1 je tiež konkrétne jednotka PLA 61398. Najmenej dva čínske APT dostali mená s drakmi: Double Dragon a Dragon Bridge. Nechýba ani Numbered Panda a Red Apollo.

Mnoho APT pripisovaných Iránu obsahuje v názve „mačiatko“. Napríklad Helix Kitten, Charming Kitten, Remix Kitten a Pioneer Kitten. Ruský APT často obsahuje mená medveďov, vrátane Fancy Bear, Cozy Bear, Bezerk Bear, Venomous Bear a Primitive Bear. Severná Kórea bola pripísaná trom APT: Ricochet Chollima, Lazarus Group a Kimsuky.

Izrael, Vietnam, Uzbekistan, Turecko a Spojené štáty majú aspoň jeden priradený APT. APT priradené USA sa nazýva Equation Group, o ktorej sa predpokladá, že je to TAO alebo jednotka operácií prispôsobeného prístupu NSA. Skupina dostala svoje meno podľa názvu niektorých jej exploitov a intenzívneho využívania šifrovania.

Skupina rovníc je všeobecne považovaná za najpokročilejšiu zo všetkých APT. Je známe, že má zakázané zariadenia a upravuje ich tak, aby obsahovali malvér. Mal tiež viacero častí malvéru, ktoré boli jedinečne schopné infikovať firmvér pevných diskov od rôznych výrobcov, čo umožnilo, aby malvér pretrvával počas celého vymazania disku, preinštalovania operačného systému a čohokoľvek iného ako zničenia disku. Tento malvér nebolo možné zistiť ani odstrániť a jeho vývoj by vyžadoval prístup k zdrojovému kódu firmvéru jednotky.

Záver

APT je skratka pre Advanced Persistent Threat a je to termín používaný na označenie vysoko pokročilých hackerských skupín, vo všeobecnosti s údajnými prepojeniami medzi národnými štátmi. Úroveň zručností, trpezlivosti a obetavosti, ktorú preukazujú APT, nemá v kriminálnom svete obdoby. V kombinácii s často politickými cieľmi je celkom jasné, že to nie sú vaše priemerné hackovacie skupiny za peniaze. Namiesto hlasného narušenia údajov majú APT tendenciu byť nenápadní a zakrývajú svoje stopy čo najviac.

Vo všeobecnosti sa bežný používateľ nemusí obávať APT. Trávia čas len na cieľoch, ktoré sú pre nich obzvlášť cenné. Priemerný človek neskrýva tajomstvá, ktoré národný štát považuje za cenné. Sú to len väčšie spoločnosti, najmä tie, ktoré vykonávajú vládnu prácu, a najmä vplyvní ľudia, ktorým reálne hrozí, že budú terčom útokov. Samozrejme, každý by mal svoju bezpečnosť, ako aj bezpečnosť svojej firmy brať vážne.

Všeobecný názor v bezpečnostnom svete je však taký, že ak sa APT rozhodne, že ste zaujímavý, bude schopný nejako hacknúť vaše zariadenia, aj keď bude musieť minúť milióny dolárov času na výskum a vývoj. Vidno to na niekoľkých prípadoch, keď bol malvér starostlivo navrhnutý tak, aby preskočil „vzduchové medzery“, ako je napríklad červ Stuxnet .