Зміст:
Атака на комп'ютерну мережу вже не є заголовком новин, але існує інший тип атаки, який піднімає проблеми кібербезпеки на наступний рівень. Ці атаки називаються розширеними стійкими загрозами (APT). Дізнайтеся, чим вони відрізняються від повсякденних загроз і чому вони здатні завдати стільки шкоди в нашому огляді деяких гучних справ, які мали місце за останні кілька років. (Для фонового читання перегляньте 5 найстрашніших загроз техніці.)
Що таке APT?
Термін "вдосконалена стійка загроза" (APT) може означати зловмисника значними засобами, організацією та мотивацією для здійснення стійкої кібератаки проти цілі.
APT, не дивно, є вдосконаленим, наполегливим та загрозливим. Він вдосконалений, оскільки використовує приховані та багаторазові методи атаки для компрометації цілі, найчастіше високоцінного корпоративного чи урядового ресурсу. Цей тип атаки також важко виявити, видалити та віднести до конкретного зловмисника. Що ще гірше, після того, як ціль буде порушена, часто створюються бекдори, щоб забезпечити зловмиснику постійний доступ до компрометованої системи.
APT вважаються стійкими в тому сенсі, що зловмисник може витрачати місяці на збирання розвідки про ціль і використання цієї розвідки для запуску декількох атак протягом тривалого періоду часу. Це загрожує тим, що винуватці часто отримують надзвичайно чутливу інформацію, наприклад, про розташування атомних електростанцій або кодексів, щоб прорватися до підрядників оборони США.
Атака APT, як правило, має три основні цілі:
- Крадіжка конфіденційної інформації з цілі
- Спостереження за ціллю
- Саботаж цілі
Винуватці APT часто використовують надійні з'єднання для отримання доступу до мереж та систем. Ці зв'язки можуть бути знайдені, наприклад, через співчутливого інсайдера чи мимоволі працівника, який стає здобиччю під час фішинг-атаки.
Чим відрізняються APT?
APT багато в чому відрізняються від інших кібератак. По-перше, APT часто використовують спеціалізовані інструменти та методи вторгнення - наприклад, експлуатування уразливості, віруси, черв'яки та руткіти - розроблені спеціально для проникнення в цільову організацію. Крім того, APT часто запускають декілька атак одночасно, щоб порушити їх цілі та забезпечити постійний доступ до цільових систем, іноді включаючи приманку, щоб обдурити ціль, думаючи, що атака успішно відбита.
По-друге, атаки APT відбуваються протягом тривалих періодів часу, протягом яких зловмисники рухаються повільно і тихо, щоб уникнути виявлення. На відміну від швидкої тактики багатьох нападів, розпочатих типовими кіберзлочинцями, метою APT є залишатися невиявленими, рухаючись «низько і повільно» при постійному спостереженні та взаємодії, поки зловмисники не досягнуть визначених цілей.
По-третє, APT розроблені таким чином, щоб задовольнити вимоги шпигунства та / або диверсій, зазвичай за участю прихованих державних суб'єктів. Завдання APT включає збирання військової, політичної чи економічної розвідки, конфіденційні дані або загрозу комерційної таємниці, зрив операцій або навіть знищення обладнання.
По-четверте, ЗПТ спрямовані на обмежений спектр дуже цінних цілей. Атаки APT були розпочаті проти державних установ та об'єктів, підрядників оборони та виробників високотехнологічної продукції. Організації та компанії, які підтримують та експлуатують національну інфраструктуру, також є ймовірними цілями.
Деякі приклади APT
Операція "Аврора" була однією з перших широко розрекламованих APT; серія нападів на американські компанії була складною, цілеспрямованою, вкрадливою і покликана маніпулювати цілями.Атаки, проведені в середині 2009 року, використовували вразливість браузера Internet Explorer, що дало змогу зловмисникам отримати доступ до комп'ютерних систем та завантажити зловмисне програмне забезпечення на ці системи. Комп'ютерні системи були підключені до віддаленого сервера, а інтелектуальна власність була викрадена у компаній, серед яких Google, Northrop Grumman та Dow Chemical. (Прочитайте про інші згубні атаки у зловмисному програмному забезпеченні: черв'яки, трояни та боти, о мій!)
Stuxnet був першим APT, який застосував кібератаку для порушення фізичної інфраструктури. Вважається, що він був розроблений США та Ізраїлем, черв'як Stuxnet орієнтувався на промислові системи управління іранської атомної електростанції.
Хоча, здається, Stuxnet був розроблений для нападу на іранські ядерні споруди, він поширився далеко за мету своєї мети, а також може бути використаний проти промислових об'єктів у західних країнах, включаючи США.
Одним з найвідоміших прикладів APT було порушення RSA, компанії з комп'ютерної та мережевої безпеки. У березні 2011 р. RSA витікала, коли її проникла атака підводного фішингу, яка зачепила своїх співробітників і призвела до величезного лову для кібератак.
У відкритому листі до RSA, опублікованому клієнтами на веб-сайті компанії в березні 2011 року, виконавчий голова Art Coviello заявив, що витончена атака APT витягла цінну інформацію, пов’язану з двофакторним продуктом аутентифікації SecurID, який використовували віддалені працівники для безпечного доступу до мережі своєї компанії .
"Хоча в цей час ми впевнені, що витягнута інформація не дає змоги успішної прямої атаки на когось із наших клієнтів RSA SecurID, ця інформація потенційно може бути використана для зниження ефективності поточної двофакторної автентифікації в рамках більш широкої програми ", - сказав Ковіелло.
Але, як виявилося, Coviello помилявся, оскільки численні клієнти жетонів RSA SecurID, включаючи оборонного гіганта США Lockheed Martin, повідомили про напади внаслідок порушення RSA. Прагнучи обмежити шкоду, RSA погодилася замінити жетони для своїх ключових клієнтів.
Куди APT?
Одне певне: APT буде продовжуватися. Поки є крадіжка конфіденційної інформації, організовані групи будуть їздити за нею. І поки існуватимуть нації, відбуватимуться шпигунство та саботаж - фізичний чи кібер.
Вже є продовження дії хробака Stuxnet, який отримав назву Duqu, який був виявлений восени 2011 року. Як і сплячий агент, Дюк швидко вбудовався в ключові промислові системи та збирає розвідку та пропонує свій час. Будьте впевнені, він вивчає проектні документи, щоб знайти слабкі місця для майбутніх атак.
Загрози безпеці 21 століття
Безумовно, Stuxnet, Duqu та їхні спадкоємці все частіше будуть нападати на уряди, операторів критичної інфраструктури та фахівців з інформаційної безпеки. Настав час поставитись до цих загроз так само серйозно, як щоденні проблеми інформаційної безпеки повсякденного життя 21 століття.