Шта је АПТ?

У сајбер безбедности постоји велики број злонамерних претњи. Многе од ових претњи пишу злонамерни софтвер, иако постоји много других начина да сајбер криминалци буду злонамерни. Међутим, ниво вештина између њих веома варира. Многи „хакери“ су само малишани са скриптама , способни само да покрећу постојеће алате и немају вештине да направе сопствене. Многи хакери имају вештине да направе свој малвер, иако тачан калибар веома варира. Међутим, постоји још један ексклузивни ниво, АПТ.

АПТ је скраћеница од Адванцед Персистент Тхреат. Они су најбољи за хакере и генерално су најбољи у послу. АПТ-и нису само технички вешти у развоју експлоатације; они такође користе низ других вештина, укључујући суптилност, стрпљење и оперативну сигурност. Уопштено говорећи, претпоставља се да су већина, ако не и сви, АПТ актери националне државе или барем спонзорисани од стране државе. Ова претпоставка је изграђена од времена, труда и посвећености које показују у постизању свог циља.

Отисци прстију АПТ-а

Прецизни циљеви АПТ-а варирају у зависности од земље, АПТ-а и напада. Већина хакера је мотивисана личном добити и зато проваљују и покушавају да зграбе што више вредних података што је пре могуће. АПТ-и врше саботажу, шпијунажу или ометајуће нападе и генерално су политички или понекад економски мотивисани.

Док је већина актера претњи обично опортунистички, АПТ-ови обично буду тихи или чак веома циљани. Уместо да само развијају експлоатације за рањивости које пронађу, они ће идентификовати мету, утврдити како да их најбоље заразе, а затим ће истражити и развити експлоатацију. Обично ће ови експлоати бити веома пажљиво конфигурисани да буду што тиши и суптилнији. Ово минимизира ризик од откривања, што значи да се експлоатација може користити на другим одабраним циљевима пре него што се открије и поправи основна рањивост.

Развијање експлоата је технички и дуготрајан посао. То га чини скупим послом, посебно када се ради о веома сложеним системима без познатих рањивости. Пошто су фондови националних држава доступни АПТ-овима, они обично могу потрошити много више времена и труда на идентификацију ових суптилних, али озбиљних рањивости, а затим на развијање изузетно сложених експлоатација за њих.

Приписивање је тешко

Приписивање напада било којој групи или националној држави може бити тешко. Извођењем дубљег урањања у стварни коришћени малвер, системе подршке, па чак и праћење циљева, могуће је прилично поуздано повезати појединачне врсте малвера са АПТ-ом и повезати тај АПТ са земљом.

Многи од ових веома напредних експлоатација деле делове кода из других експлоатација. Специфични напади могу чак користити исте рањивости нултог дана. Ово омогућава повезивање и праћење инцидената, а не као једнократни, изванредни малвер.

Праћење многих акција из АПТ-а омогућава да се направи мапа њихових изабраних циљева. Ово, у комбинацији са познавањем геополитичких тензија, може барем сузити листу потенцијалних државних спонзора. Даља анализа језика који се користи у малверу може дати наговештаје, мада се они такође могу лажирати како би се подстакло погрешно приписивање.

Већина сајбер-напада из АПТ-а долази са уверљивим порицањем јер их нико не признаје. Ово омогућава свакој одговорној нацији да изврши радње са којима не би нужно желела да буде повезана или оптужена. Будући да се већина АПТ група поуздано приписује одређеним националним државама, а претпоставља се да те националне државе имају још више информација на основу којих ту атрибуцију могу засновати, разумно је вероватно да сви знају ко је за шта одговоран. Ако би нека нација званично оптужила другу за напад, вероватно би била на удару осветничке атрибуције. Играјући се глупим, свако може да задржи своју веродостојну порицање.

Примери

Многе различите групе АПТ називају другим стварима, што отежава њихово праћење. Нека имена су само нумерисане ознаке. Неки су засновани на повезаним именима експлоатације засновани су на стереотипним именима.

Постоји најмање 17 АПТ-ова који се приписују Кини. АПТ број, као што је АПТ 1, се односи на неке. АПТ 1 је такође посебно ПЛА јединица 61398. Најмање два кинеска АПТ-а су добила имена која садрже змајеве: Доубле Драгон и Драгон Бридге. Ту су и Нумерирана панда и Црвени Аполо.

Многи АПТ-ови који се приписују Ирану имају „мачић“ у имену. На пример, Хелик Киттен, Цхарминг Киттен, Ремик Киттен и Пионеер Киттен. Руски АПТ често садржи имена медведа, укључујући Фанци Беар, Цоси Беар, Безерк Беар, Веномоус Беар и Примитиве Беар. Северној Кореји се приписују три АПТ-а: Рицоцхет Цхоллима, Лазарус Гроуп и Кимсуки.

Израел, Вијетнам, Узбекистан, Турска и Сједињене Државе имају најмање један АПТ. АПТ који приписује САД се зове Екуатион Гроуп, за коју се верује да је НСА ТАО или јединица за операције прилагођеног приступа. Група је добила име по имену неких од својих експлоата и интензивној употреби шифровања.

Група једначина се генерално сматра најнапреднијим од свих АПТ-ова. Познато је да су уређаји забранили и модификовали их тако да укључују малвер. Такође је имао више делова злонамерног софтвера који су били јединствено способни да заразе фирмвер чврстих дискова различитих произвођача, омогућавајући малверу да опстане током комплетног брисања дискова, поновне инсталације оперативног система и било чега осим уништавања диска. Овај злонамерни софтвер је било немогуће открити или уклонити и за развој му је био потребан приступ изворном коду фирмвера диск јединице.

Закључак

АПТ је скраћеница од Адванцед Персистент Тхреат и термин је који се користи за означавање високо напредних хакерских група, углавном са наводним везама између националне државе. Ниво вештине, стрпљења и посвећености који показују АПТ нема премца у свету криминала. У комбинацији са често политичким циљевима, прилично је јасно да ово нису ваше просечне групе које хакују за новац. Уместо да траже гласне повреде података, АПТ-ови имају тенденцију да буду суптилни и прикривају своје трагове што је више могуће.

Генерално, просечан корисник не мора да брине о АПТ-овима. Они троше своје време само на циљеве који су им посебно драгоцени. Просечан човек не крије тајне које национална држава сматра вредним. Само веће компаније, посебно оне које раде на владиним пословима, а посебно утицајни људи су реално у опасности да буду на мети. Наравно, свако треба озбиљно да схвати своју безбедност, као и безбедност своје компаније.

Међутим, општи став у свету безбедности је да ако АПТ одлучи да сте интересантни, моћи ће некако да хакује ваше уређаје, чак и ако морају да потроше милионе долара времена на истраживање и развој. Ово се може видети у неколико случајева малвера који је пажљиво дизајниран да прескочи „ваздушне празнине“ као што је црв Стукнет .