Съдържание:
- Какво е APT?
- По какво се различават APT?
- Някои примери на APT
- Къде APT?
- Заплахи за сигурността на 21 век
Атаката срещу компютърна мрежа вече не е заглавна новина, но има различен тип атака, която извежда проблемите на киберсигурността на следващото ниво. Тези атаки се наричат напреднали постоянни заплахи (APT). Разберете как се различават от ежедневните заплахи и защо те могат да нанесат толкова големи щети в нашия преглед на някои важни случаи, възникнали през последните няколко години. (За четене на фона вижте 5-те най-страшни заплахи в техниката.)
Какво е APT?
Терминът "напреднала постоянна заплаха" (APT) може да се отнася до нападател със значителни средства, организация и мотивация за извършване на устойчива кибератака срещу цел.
APT, не е изненадващо, е напреднал, упорит и заплашителен. Той е усъвършенстван, защото използва методи за прикритие и множество атаки, за да компрометира цел, често ценен корпоративен или правителствен ресурс. Този тип атака също е трудно за откриване, премахване и приписване на конкретен нападател. Още по-лошото е, че след като целта бъде нарушена, често се създават задници, за да се осигури на нападателя постоянен достъп до компрометираната система.
APT се считат за постоянни в смисъл, че нападателят може да прекарва месеци в събиране на информация за целта и да използва това разузнаване за стартиране на множество атаки за продължителен период от време. Заплашително е, защото извършителите често след силно чувствителна информация, като оформлението на атомните електроцентрали или кодове, проникват в контрагентите за отбрана на САЩ.
Атаката срещу APT обикновено има три основни цели:
- Кражба на чувствителна информация от целта
- Наблюдение на целта
- Саботаж на целта
Извършителите на APT често използват надеждни връзки, за да получат достъп до мрежи и системи. Тези връзки могат да бъдат намерени например чрез симпатичен вътрешен или неволен служител, който става плячка за атака с фишинг на копие.
По какво се различават APT?
APT се различават от другите кибератаки по много начини. Първо, APT често използват персонализирани инструменти и техники за проникване - като експлоатация на уязвимост, вируси, червеи и руткити - създадени специално за проникване в целевата организация. В допълнение, APT често стартират множество атаки едновременно, за да нарушат целите си и да осигурят постоянен достъп до целеви системи, понякога включително примамка, която да подмами целта да мисли, че атаката е успешно отблъсната.
Второ, APT атаките се случват за дълги периоди от време, през които нападателите се движат бавно и тихо, за да избегнат откриването. За разлика от бързата тактика на много атаки, стартирани от типични киберпрестъпници, целта на APT е да останат неоткрити, като се движат „ниско и бавно“ с непрекъснат мониторинг и взаимодействие, докато нападателите постигнат определените си цели.
Трето, APT са проектирани да задоволят изискванията за шпионаж и / или саботаж, обикновено включващи прикрити държавни участници. Целта на APT включва събиране на военно, политическо или икономическо разузнаване, поверителни данни или заплаха за търговска тайна, прекъсване на операциите или дори унищожаване на оборудване.
Четвърто, APT са насочени към ограничен набор от изключително ценни цели. APT атаки започнаха срещу правителствени агенции и съоръжения, контрагенти по отбрана и производители на високотехнологични продукти. Вероятни цели са и организациите и компаниите, които поддържат и експлоатират национална инфраструктура.
Някои примери на APT
Операция "Аврора" беше една от първите широко рекламирани APT; поредицата от атаки срещу американски компании беше сложна, целенасочена, прикрита и предназначена да манипулира целите.Атаките, проведени в средата на 2009 г., използваха уязвимост в браузъра Internet Explorer, което даде възможност на нападателите да получат достъп до компютърни системи и да изтеглят злонамерен софтуер в тези системи. Компютърните системи бяха свързани с отдалечен сървър и интелектуалната собственост беше открадната от компаниите, включително Google, Northrop Grumman и Dow Chemical. (Прочетете за други вредни атаки в злонамерен софтуер: червеи, троянци и ботове, о, мой!)
Stuxnet беше първият APT, който използва кибератака, за да наруши физическата инфраструктура. Смята се, че е разработен от Съединените щати и Израел, червеят Stuxnet е насочен към индустриалните системи за контрол на иранска ядрена централа.
Въпреки че Stuxnet изглежда е разработен за нападение на ирански ядрени съоръжения, той се е разпрострял далеч от предвидената цел и може да се използва и срещу промишлени съоръжения в западни страни, включително САЩ.
Един от най-ярките примери за APT беше нарушението на RSA, компания за компютърна и мрежова сигурност. През март 2011 г. RSA изтича, когато е проникнала от нападение с копие, което закачи служителите си и доведе до огромен улов на кибератаци.
В отворено писмо до RSA, публикувано от клиенти на уебсайта на компанията през март 2011 г., изпълнителният председател Art Coviello заяви, че сложна APT атака е извлекла ценна информация, свързана с двуфакторния му продукт за удостоверяване SecurID, използван от отдалечени работници за сигурен достъп до мрежата на тяхната компания,
„Въпреки че понастоящем сме уверени, че извлечената информация не позволява успешна директна атака на някой от нашите клиенти на RSA SecurID, тази информация потенциално би могла да бъде използвана за намаляване на ефективността на настоящото двуфакторно удостоверяване на автентичността като част от по-широк атака - каза Ковиело.
Но се оказа, че Coviello греши в това, тъй като много клиенти на RSA SecurID маркери, включително американският отбранителен гигант Lockheed Martin, съобщават за атаки в резултат на нарушаване на RSA. В опит да ограничи щетите, RSA се съгласи да замени жетоните за своите ключови клиенти.
Къде APT?
Едно е сигурно: APT ще продължат. Докато има кражба на чувствителна информация, организираните групи ще продължат след нея. И докато съществуват нации, ще има шпионаж и саботаж - физически или кибер.
Вече има проследяване на червея Stuxnet, наречен Duqu, който беше открит през есента на 2011 г. Подобно на спящ агент, Дюк бързо се вгради в ключови индустриални системи и събира разузнавателна информация и предлага своя час. Бъдете сигурни, че изучава дизайнерските документи, за да намери слаби места за бъдещи атаки.
Заплахи за сигурността на 21 век
Със сигурност Stuxnet, Duqu и техните наследници все повече ще нападат правителства, оператори на критична инфраструктура и специалисти по сигурността на информацията. Време е да се вземат тези заплахи толкова сериозно, колкото обикновените проблеми на сигурността на информацията от ежедневието през 21 век.