Що таке APT?

У сфері кібербезпеки існує величезна кількість шкідливих загроз. Багато з цих загроз створюють зловмисне програмне забезпечення, хоча існує багато інших способів виявлення зловмисників у кіберзлочинців. Однак рівень навичок у них дуже різний. Багато «хакерів» — це просто дітки зі сценаріїв , які можуть лише запускати наявні інструменти та не мають навичок, щоб створити власні. Багато хакерів володіють навичками створення шкідливих програм, хоча точний калібр дуже різний. Є ще один ексклюзивний рівень, APT.

APT означає Advanced Persistent Threat. Вони є найкращими для хакерів і, як правило, найкращі в бізнесі. APT не лише мають технічну підготовку в розробці експлойтів; вони також використовують ряд інших навичок, включаючи тонкість, терпіння та оперативну безпеку. Загалом вважається, що більшість, якщо не всі, APT є акторами національної держави або принаймні спонсоруються державою. Це припущення базується на часі, зусиллях і відданості, які вони демонструють у досягненні своєї мети.

Відбитки пальців APT

Точні цілі APT залежать від країни, APT і атаки. Більшість хакерів керуються особистою вигодою, тому проникають і намагаються якомога швидше отримати якомога більше цінних даних. APT здійснюють диверсії, шпигунство або підривні атаки, і зазвичай вони мають політичні або іноді економічні мотиви.

У той час як більшість суб’єктів загрози зазвичай є опортуністичними, APT мають тенденцію бути тихими або навіть дуже цілеспрямованими. Замість того, щоб просто розробляти експлойти для знайдених вразливостей, вони визначать ціль, вирішать, як найкраще їх заразити, а потім дослідять і розроблять експлойт. Як правило, ці експлойти будуть дуже ретельно налаштовані, щоб бути максимально тихими та непомітними. Це мінімізує ризик виявлення, тобто експлойт можна використовувати на інших вибраних цілях до його виявлення та усунення основної вразливості.

Розробка експлойтів є технічною справою, що потребує багато часу. Це робить його дорогим бізнесом, особливо коли мова йде про дуже складні системи без відомих вразливостей. Оскільки для APT доступні кошти національної держави, вони зазвичай можуть витратити набагато більше часу та зусиль на виявлення цих тонких, але серйозних уразливостей, а потім на розробку надзвичайно складних експлойтів для них.

Атрибуція складна

Віднести напад до однієї групи чи національної держави може бути важко. Виконуючи глибокі занурення у фактичне використання зловмисного програмного забезпечення, підтримуючі системи та навіть цілі відстеження, можна досить впевнено пов’язати окремі штами зловмисного програмного забезпечення з APT і пов’язати цей APT з країною.

Багато з цих високорозвинених експлойтів поділяють фрагменти коду з інших експлойтів. Конкретні атаки можуть навіть використовувати ті самі вразливості нульового дня. Це дозволяє пов’язувати та відстежувати інциденти, а не як одноразове незвичайне шкідливе програмне забезпечення.

Відстеження багатьох дій з APT дає змогу створити карту вибраних цілей. Це, у поєднанні зі знанням геополітичної напруженості, може принаймні звузити список потенційних державних спонсорів. Подальший аналіз мови, яка використовується в зловмисному програмному забезпеченні, може дати підказки, хоча вони також можуть бути підроблені, щоб сприяти неправильному віднесенню.

Більшість кібератак з боку APT приходять із правдоподібним запереченням, оскільки ніхто не відповідає за них. Це дозволяє кожній відповідальній нації вчиняти дії, з якими вона не обов’язково хотіла б, щоб її асоціювали чи звинувачували. Оскільки більшість груп APT впевнено віднесено до певних національних держав, і передбачається, що ці національні держави мають ще більше інформації, на основі якої це віднесення, цілком імовірно, що всі знають, хто за що відповідає. Якби будь-яка нація офіційно звинуватила іншу в нападі, вона, ймовірно, опинилася б на місці у відповідь. Прикидаючись дурнем, кожен може зберегти своє правдоподібне заперечення.

Приклади

Багато різних груп називають APT іншими словами, що ускладнює їх відстеження. Деякі імена є просто номерними позначеннями. Деякі з них базуються на зв’язаних назвах експлойтів, заснованих на стереотипних назвах.

Існує принаймні 17 APT, приписуваних Китаю. Номер APT, наприклад APT 1, відноситься до деяких. APT 1 також є підрозділом PLA 61398. Принаймні два китайських APT отримали назви з зображенням драконів: Double Dragon і Dragon Bridge. Також є Numbered Panda та Red Apollo.

У назві багатьох APT, які приписують Ірану, є «кошеня». Наприклад, Helix Kitten, Charming Kitten, Remix Kitten і Pioneer Kitten. Російський APT часто містить імена ведмедів, зокрема Fancy Bear, Cozy Bear, Bezerk Bear, Venomous Bear і Primitive Bear. Північну Корею приписують трьом APT: Ricochet Chollima, Lazarus Group і Kimsuky.

Ізраїль, В'єтнам, Узбекистан, Туреччина та Сполучені Штати мають принаймні одну приписану APT. APT, приписуваний США, називається Equation Group, яка, як вважають, є TAO або Tailored Access Operations підрозділу NSA. Свою назву група отримала від назви деяких експлойтів і інтенсивного використання шифрування.

Група рівнянь, як правило, вважається найдосконалішою з усіх APT. Відомо, що він блокував пристрої та модифікував їх, щоб включити зловмисне програмне забезпечення. У ньому також було кілька шкідливих програм, які мали унікальну здатність заражати вбудоване програмне забезпечення жорстких дисків різних виробників, дозволяючи зловмисному програмному забезпеченню зберігатися під час повного стирання диска, перевстановлення операційної системи та будь-чого іншого, окрім знищення диска. Це зловмисне програмне забезпечення було неможливо виявити чи видалити, і для розробки потрібен був доступ до вихідного коду мікропрограми накопичувача.

Висновок

APT розшифровується як Advanced Persistent Threat і є терміном, який використовується для позначення високорозвинених хакерських груп, як правило, з імовірними зв’язками з національною державою. Рівень майстерності, терпіння та відданості, продемонстровані APT, не мають собі рівних у кримінальному світі. У поєднанні з часто політичними цілями цілком очевидно, що це не звичайні групи хакерів заради грошей. Замість того, щоб йти на гучні витоки даних, APT намагаються бути непомітними та максимально маскувати сліди.

Зазвичай пересічному користувачеві не потрібно турбуватися про APT. Вони витрачають свій час лише на ті цілі, які для них особливо цінні. Пересічна людина не приховує секретів, які національна держава вважає цінними. Лише більші компанії, особливо ті, які виконують державну роботу, і особливо впливові люди реально ризикують стати мішенями. Звичайно, кожен повинен серйозно ставитися до своєї безпеки, а також до безпеки своєї компанії.

Однак загальна думка у світі безпеки полягає в тому, що якщо APT вирішить, що ви цікаві, вони зможуть якимось чином зламати ваші пристрої, навіть якщо їм доведеться витратити мільйони доларів часу на дослідження та розробки. Це можна побачити в кількох випадках ретельно розробленого зловмисного програмного забезпечення, щоб перетинати «повітряні проміжки», як-от хробак Stuxnet .