Оглавление:
- Что такое APT?
- Чем отличаются APT?
- Некоторые примеры APT
- Куда идут APT?
- Угрозы безопасности XXI века
Атака на компьютерную сеть больше не является заголовком новостей, но есть другой тип атаки, который поднимает проблемы кибербезопасности на следующий уровень. Эти атаки называются расширенными постоянными угрозами (APT). Узнайте, чем они отличаются от повседневных угроз и почему они способны нанести такой большой ущерб, в нашем обзоре некоторых громких случаев, которые произошли за последние несколько лет. (Для справочного чтения проверьте 5 самых страшных угроз в технологии.)
Что такое APT?
Термин расширенная постоянная угроза (APT) может относиться к злоумышленнику, обладающему значительными средствами, организацией и мотивацией для осуществления устойчивой кибератаки против цели.
APT, что неудивительно, продвинутый, настойчивый и угрожающий. Он продвинут, потому что использует скрытность и множественные методы атаки, чтобы скомпрометировать цель, часто ценный корпоративный или правительственный ресурс. Этот тип атаки также трудно обнаружить, удалить и приписать конкретному злоумышленнику. Хуже того, когда цель нарушена, часто создаются бэкдоры, чтобы предоставить злоумышленнику постоянный доступ к скомпрометированной системе.
APT считаются постоянными в том смысле, что злоумышленник может тратить месяцы на сбор информации о цели и использовать ее для запуска нескольких атак в течение продолжительного периода времени. Это угрожает, потому что преступники часто получают очень секретную информацию, такую как схема расположения атомных электростанций или коды для взлома американских оборонных подрядчиков.
Атака APT обычно имеет три основные цели:
- Кража конфиденциальной информации от цели
- Наблюдение за целью
- Саботаж цели
Исполнители APT часто используют доверенные соединения для получения доступа к сетям и системам. Эти связи могут быть обнаружены, например, через сочувствующего инсайдера или невольного сотрудника, который становится жертвой фишинг-атаки.
Чем отличаются APT?
APT отличаются от других кибератак по ряду причин. Во-первых, APT часто используют настраиваемые инструменты и методы проникновения, такие как уязвимости, вирусы, черви и руткиты, специально разработанные для проникновения в целевую организацию. Кроме того, APT часто запускают несколько атак одновременно, чтобы прорвать свои цели и обеспечивать постоянный доступ к целевым системам, иногда включая приманку, чтобы заставить цель думать, что атака была успешно отражена.
Во-вторых, атаки APT происходят в течение длительных периодов времени, в течение которых злоумышленники двигаются медленно и тихо, чтобы избежать обнаружения. В отличие от быстрой тактики многих атак, предпринимаемых типичными киберпреступниками, цель APT - оставаться незамеченными, двигаясь «медленно и медленно» с непрерывным мониторингом и взаимодействием, пока злоумышленники не достигнут своих определенных целей.
В-третьих, APT предназначены для удовлетворения требований шпионажа и / или саботажа, обычно с участием тайных государственных деятелей. Целью APT является сбор военной, политической или экономической разведки, конфиденциальных данных или угрозы коммерческой тайны, срыв операций или даже уничтожение оборудования.
В-четвертых, APT направлены на ограниченный круг очень ценных целей. APT-атаки были начаты против правительственных учреждений и объектов, оборонных подрядчиков и производителей высокотехнологичной продукции. Организации и компании, которые поддерживают и эксплуатируют национальную инфраструктуру, также являются вероятными целями.
Некоторые примеры APT
Операция «Аврора» была одной из первых широко разрекламированных APT; серия атак на американские компании была сложной, целенаправленной, скрытой и предназначенной для манипулирования целями.Атаки, проведенные в середине 2009 года, использовали уязвимость в браузере Internet Explorer, позволяя злоумышленникам получить доступ к компьютерным системам и загрузить вредоносное ПО в эти системы. Компьютерные системы были подключены к удаленному серверу, а интеллектуальная собственность была украдена у таких компаний, как Google, Northrop Grumman и Dow Chemical. (Читайте о других вредоносных атаках в вредоносном ПО: Worms, Trojans и Bots, Oh My!)
Stuxnet был первым APT, который использовал кибератаку для разрушения физической инфраструктуры. Считается, что червь Stuxnet был разработан Соединенными Штатами и Израилем и предназначался для систем промышленного контроля на иранской атомной электростанции.
Хотя Stuxnet, по-видимому, был разработан для нападения на иранские ядерные объекты, он вышел далеко за пределы предполагаемой цели и мог также использоваться против промышленных объектов в западных странах, включая Соединенные Штаты.
Одним из наиболее ярких примеров APT было нарушение RSA, компании по компьютерной и сетевой безопасности. В марте 2011 года RSA обнаружила утечку, когда она была атакована фишинг-атакой, которая зацепила одного из его сотрудников и вызвала огромный улов для кибератакеров.
В открытом письме RSA, опубликованном клиентами на веб-сайте компании в марте 2011 года, исполнительный председатель Арт Ковиелло сказал, что изощренная атака APT позволила извлечь ценную информацию, связанную с его продуктом двухфакторной аутентификации SecurID, который используется удаленными работниками для безопасного доступа к сети их компании.,
«Хотя в настоящее время мы уверены, что извлеченная информация не позволяет провести успешную прямую атаку на кого-либо из наших клиентов RSA SecurID, эта информация потенциально может быть использована для снижения эффективности текущей реализации двухфакторной аутентификации как части более широкой атака ", сказал Ковиелло.
Но Ковиелло, как оказалось, ошибался, так как многочисленные клиенты токенов RSA SecurID, включая американского гиганта обороны Lockheed Martin, сообщали о атаках, вызванных взломом RSA. Стремясь ограничить ущерб, RSA согласилась заменить токены для своих ключевых клиентов.
Куда идут APT?
Одно можно сказать наверняка: APT продолжатся. Пока есть конфиденциальная информация для кражи, организованные группы будут преследовать ее. И пока существуют нации, будут шпионаж и саботаж - физический или кибернетический.
Уже есть продолжение червя Stuxnet, получившего название Duqu, который был обнаружен осенью 2011 года. Как спящий агент, Duqu быстро внедряется в ключевые промышленные системы и собирает сведения и тратит время. Будьте уверены, что он изучает проектные документы, чтобы найти слабые места для будущих атак.
Угрозы безопасности XXI века
Безусловно, Stuxnet, Duqu и их наследники будут все чаще преследовать правительства, операторов критически важных инфраструктур и специалистов по информационной безопасности. Настало время отнестись к этим угрозам так же серьезно, как и к повседневным проблемам информационной безопасности повседневной жизни в XXI веке.
