Kazalo:
- Kaj je APT?
- Kako se APT-ji razlikujejo?
- Nekaj primerov APT-jev
- Kam APT?
- Varnostne grožnje 21. stoletja
Napad na računalniško omrežje ni več novice o naslovih, vendar obstaja drugačna vrsta napada, ki skrbi za kibernetsko varnost na naslednjo raven. Te napade imenujemo napredne trajne grožnje (APT). V našem pregledu nekaterih odmevnih primerov, ki so se zgodili v zadnjih nekaj letih, ugotovite, kako se razlikujejo od vsakodnevnih groženj in zakaj lahko povzročijo toliko škode. (Za branje v ozadju si oglejte 5 najbolj strašnih nevarnosti v tehniki.)
Kaj je APT?
Izraz napredna vztrajna grožnja (APT) se lahko nanaša na napadalca z velikimi sredstvi, organizacijo in motivacijo za izvajanje trajnega kibernetskega napada na tarčo.
Ni presenetljivo, da je APT napreden, vztrajen in grozi. Napreden je zato, ker uporablja prikrite in večkratne metode napada za ogrožanje cilja, pogosto korporativnega ali vladnega vira velike vrednosti. Tudi to vrsto napada je težko zaznati, odstraniti in pripisati določenemu napadalcu. Še huje pa je, da ko se tarča prebije, se pogosto ustvarijo ozadja, ki bi napadalcu omogočila stalen dostop do ogroženega sistema.
APT veljajo za obstojne v smislu, da lahko napadalec več mesecev zbira podatke o tarči in jih uporablja za izvajanje več napadov v daljšem časovnem obdobju. Grozi, ker so storilci pogosto po zelo občutljivih informacijah, kot je postavitev jedrskih elektrarn ali kodek, vdrli v ameriške obrambne izvajalce.
Napad APT ima na splošno tri glavne cilje:
- Kraja občutljivih informacij s cilja
- Nadzor cilja
- Sabotaža meta
Storilci APT-jev pogosto uporabljajo zaupanja vredne povezave za dostop do omrežij in sistemov. Te povezave je mogoče najti na primer prek naklonjenega notranjega sodelavca ali nenamernega zaposlenega, ki postane plen lažnega napada.
Kako se APT-ji razlikujejo?
APT se od mnogih kibernetskih napadov razlikujejo na več načinov. Prvič, APT-ji pogosto uporabljajo prilagojena orodja in tehnike vdorov - kot so izkoriščenosti ranljivosti, virusi, črvi in rootkiti - zasnovani posebej za prodor v ciljno organizacijo. Poleg tega APT-ji pogosto sprožijo več napadov hkrati, da kršijo svoje cilje in zagotovijo stalni dostop do ciljnih sistemov, včasih tudi privabilec, s katerim lahko tarčo prepričajo, da je napad uspešno odvrnjen.
Drugič, napadi APT se pojavljajo v daljšem časovnem obdobju, v katerem se napadalci premikajo počasi in tiho, da se izognejo odkrivanju. V nasprotju s hitro taktiko številnih napadov, ki jih sprožijo tipični kibernetski kriminalci, je cilj APT ostati neopažen s premikanjem "nizko in počasi" z nenehnim spremljanjem in interakcijo, dokler napadalci ne dosežejo zastavljenih ciljev.
Tretjič, APT so zasnovani tako, da izpolnjujejo zahteve vohunjenja in / ali sabotaže, ki običajno vključujejo prikrite državne akterje. Cilj APT vključuje zbiranje vojaške, politične ali gospodarske obveščevalne službe, zaupne podatke ali grožnjo poslovne skrivnosti, motnje delovanja ali celo uničenje opreme.
Četrtič, APT so usmerjeni v omejen obseg zelo dragocenih ciljev. Začeli so se napadi APT na vladne agencije in objekte, obrambne izvajalce in proizvajalce visokotehnoloških izdelkov. Verjetne tarče so tudi organizacije in podjetja, ki vzdržujejo in upravljajo z nacionalno infrastrukturo.
Nekaj primerov APT-jev
Operacija Aurora je bila ena prvih široko oglaševanih APT; serija napadov na ameriška podjetja je bila prefinjena, usmerjena, prikrita in zasnovana za manipuliranje s cilji.Napadi, izvedeni sredi leta 2009, so v brskalniku Internet Explorer izkoristili ranljivost, ki je napadalcem omogočila dostop do računalniških sistemov in prenos teh zlonamernih programov. Računalniški sistemi so bili povezani z oddaljenim strežnikom, intelektualno lastnino pa so ukradli podjetjem, med katerimi so bili tudi Google, Northrop Grumman in Dow Chemical. (Preberite o drugih škodljivih napadih v zlonamerni programski opremi: črvi, trojanci in boti, oh moj!)
Stuxnet je bil prvi APT, ki je uporabil kiberatni napad za motenje fizične infrastrukture. Črv Stuxnet, za katerega verjamejo, da sta ga razvila ZDA in Izrael, je ciljal na industrijske nadzorne sisteme iranske jedrske elektrarne.
Čeprav se zdi, da je Stuxnet razvit za napad na iranske jedrske objekte, se je razširil daleč preko predvidenega cilja in ga je mogoče uporabiti tudi proti industrijskim objektom v zahodnih državah, vključno z ZDA.
Eden najvidnejših primerov APT je bila kršitev RSA, podjetja za računalniško in omrežno varnost. Marca 2011 je RSA sprožila puščanje, ko ga je prodrl napad z lažnim lažnim napadom, ki je zasul enega zaposlenega in povzročil ogromen ulov kibernetskih napadalcev.
Izvršni predsednik Art Coviello je v odprtem pismu RSA, ki so ga stranke objavile na spletni strani podjetja, dejal, da je s prefinjenim napadom APT izvlekel dragocene informacije, povezane z izdelkom za preverjanje pristnosti z dvema faktorjema SecurID, ki ga uporabljajo oddaljeni delavci za varen dostop do omrežja njihovega podjetja .
"Čeprav smo trenutno prepričani, da pridobljene informacije ne omogočajo uspešnega neposrednega napada na katerega koli od naših odjemalcev RSA SecurID, bi se te informacije potencialno lahko uporabile za zmanjšanje učinkovitosti sedanjega dvofaktorskega preverjanja pristnosti kot dela širšega napada, "je dejal Coviello.
Toda Coviello se je glede tega zmotil, saj so številni kupci žetonov RSA SecurID, vključno z ameriškim obrambnim gigantom Lockheed Martin, poročali o napadih zaradi kršitve RSA. V prizadevanju za omejitev škode je RSA privolila v zamenjavo žetonov za svoje ključne kupce.
Kam APT?
Gotovo je eno: APT-ji se bodo nadaljevali. Dokler bodo kradle občutljive informacije, bodo organizirane skupine šle po njih. In dokler bodo države obstajale, bodo špijonaže in sabotaže - fizične ali kibernetske.
Že obstaja spremljanje črvov Stuxnet, ki so ga poimenovali Duqu, ki so ga odkrili jeseni leta 2011. Tako kot uspavalno sredstvo se je Duqu hitro vključil v ključne industrijske sisteme in zbiral inteligenco in ponujal svoj čas. Bodite prepričani, da preučuje oblikovalske dokumente, da bi našel šibke točke za prihodnje napade.
Varnostne grožnje 21. stoletja
Zagotovo bodo Stuxnet, Duqu in njihovi dediči vse bolj napadali vlade, upravljavce kritične infrastrukture in strokovnjake za informacijsko varnost. Čas je, da te grožnje jemljemo tako resno kot temeljni problemi informacijske varnosti vsakodnevnega življenja v 21. stoletju.
