Πίνακας περιεχομένων:
- Τι είναι το APT;
- Πώς είναι τα APT διαφορετικά;
- Μερικά παραδείγματα APT
- Πού είναι τα APT;
- Απειλές ασφάλειας του 21ου αιώνα
Μια επίθεση σε ένα δίκτυο υπολογιστών δεν είναι πλέον επικεφαλής ειδήσεις, αλλά υπάρχει ένας διαφορετικός τύπος επίθεσης που παίρνει ανησυχίες για την ασφάλεια στον κυβερνοχώρο στο επόμενο επίπεδο. Οι επιθέσεις αυτές ονομάζονται προηγμένες επίμονες απειλές (APT). Μάθετε πώς διαφέρουν από τις καθημερινές απειλές και γιατί είναι σε θέση να προκαλέσουν τόσα πολλά ζημιά στην ανασκόπηση ορισμένων περιπτώσεων υψηλού προφίλ που έχουν συμβεί τα τελευταία χρόνια. (Για ανάγνωση στο παρασκήνιο, ελέγξτε τις 5 πιο τρομακτικές απειλές στην τεχνολογία)
Τι είναι το APT;
Ο όρος προχωρημένη επίμονη απειλή (APT) μπορεί να αναφέρεται σε έναν εισβολέα με ουσιαστικά μέσα, οργάνωση και κίνητρο για να πραγματοποιήσει μια παρατεταμένη κυβερνοαπεικόνιση ενάντια σε έναν στόχο.
Ένα APT, δεν αποτελεί έκπληξη, είναι προχωρημένο, επίμονο και απειλητικό. Προχωράει επειδή χρησιμοποιεί μεθόδους μυστικότητας και πολλαπλών επιθέσεων για να υπονομεύσει έναν στόχο, συχνά έναν εταιρικό ή κυβερνητικό πόρο υψηλής αξίας. Αυτός ο τύπος επίθεσης είναι επίσης δύσκολο να εντοπιστεί, να αφαιρεθεί και να αποδοθεί σε έναν συγκεκριμένο εισβολέα. Ακόμα χειρότερο, μόλις παραβιαστεί ένας στόχος, συχνά δημιουργούνται backdoors για να παρέχεται στον εισβολέα συνεχής πρόσβαση στο συμβιβασμένο σύστημα.
Τα APT θεωρούνται επίμονα, υπό την έννοια ότι ο εισβολέας μπορεί να περάσει μήνες συλλέγοντας πληροφορίες σχετικά με τον στόχο και να χρησιμοποιήσει αυτή την ευφυΐα για να ξεκινήσει πολλαπλές επιθέσεις για μεγάλο χρονικό διάστημα. Απειλείται επειδή οι δράστες είναι συχνά μετά από εξαιρετικά ευαίσθητες πληροφορίες, όπως η διάταξη των πυρηνικών σταθμών παραγωγής ηλεκτρικής ενέργειας ή οι κώδικες για να σπάσουν τους αμυντικούς εργολάβους των ΗΠΑ.
Μια επίθεση APT γενικά έχει τρεις κύριους στόχους:
- Κλοπή ευαίσθητων πληροφοριών από τον στόχο
- Επιτήρηση του στόχου
- Σαμποτάζ του στόχου
Οι δράστες των APT χρησιμοποιούν συχνά αξιόπιστες συνδέσεις για να αποκτήσουν πρόσβαση σε δίκτυα και συστήματα. Αυτές οι συνδέσεις μπορούν να βρεθούν, για παράδειγμα, μέσω ενός συμπαθητικού εμπιστευτικού ή άγουρου υπαλλήλου που πέφτει θύμα μιας επίθεσης δόλιου phishing.
Πώς είναι τα APT διαφορετικά;
Οι APT διαφέρουν από τις άλλες κυβερνοεπιθέσεις με διάφορους τρόπους. Πρώτον, οι APT χρησιμοποιούν συχνά προσαρμοσμένα εργαλεία και τεχνικές εισβολής - όπως εκμεταλλεύσεις ευπάθειας, ιούς, σκουλήκια και rootkits - ειδικά σχεδιασμένα για να διεισδύσουν στον οργανισμό-στόχο. Επιπλέον, οι APT εκκινούν συχνά πολλαπλές επιθέσεις ταυτόχρονα για να παραβιάσουν τους στόχους τους και να εξασφαλίσουν τη συνεχή πρόσβαση σε στοχευμένα συστήματα, μερικές φορές συμπεριλαμβάνοντας ένα στόμα για να εξαπατήσουν τον στόχο να σκεφτούν ότι η επίθεση έχει απωθηθεί επιτυχώς.
Δεύτερον, οι επιθέσεις APT συμβαίνουν σε μεγάλες χρονικές περιόδους κατά τις οποίες οι εισβολείς κινούνται αργά και ήσυχα για να αποφύγουν την ανίχνευση. Σε αντίθεση με την ταχεία τακτική πολλών επιθέσεων που ξεκίνησαν οι τυπικοί εγκληματίες του κυβερνοχώρου, ο στόχος του APT είναι να παραμείνει ανυπόγραφος, μετακινώντας "χαμηλά και αργά" με συνεχή παρακολούθηση και αλληλεπίδραση μέχρι να επιτύχουν οι επιτιθέμενοι τους καθορισμένους στόχους.
Τρίτον, τα APTs έχουν σχεδιαστεί για να ικανοποιούν τις απαιτήσεις της κατασκοπείας και / ή του δολιοφθορισμού, συνήθως με τη συμμετοχή συγκεκαλυμμένων κρατικών φορέων. Ο στόχος ενός APT περιλαμβάνει συλλογή στρατιωτικών, πολιτικών ή οικονομικών πληροφοριών, εμπιστευτικά δεδομένα ή απειλή εμπορικού μυστικού, διακοπή λειτουργιών ή ακόμη και καταστροφή εξοπλισμού.
Τέταρτον, οι APT στοχεύουν σε περιορισμένο φάσμα πολύτιμων στόχων. Οι επιθέσεις APT έχουν ξεκινήσει ενάντια στις κυβερνητικές υπηρεσίες και εγκαταστάσεις, στους υπευθύνους της άμυνας και στους κατασκευαστές προϊόντων υψηλής τεχνολογίας. Οι οργανισμοί και οι εταιρείες που διατηρούν και λειτουργούν την εθνική υποδομή είναι επίσης πιθανοί στόχοι.
Μερικά παραδείγματα APT
Η λειτουργία Aurora ήταν μία από τις πρώτες ευρέως δημοσιευμένες APT. η σειρά επιθέσεων εναντίον αμερικανικών εταιρειών ήταν εξελιγμένη, στοχευμένη, μυστική και σχεδιασμένη για να χειραγωγήσει τους στόχους.Οι επιθέσεις, που διεξήχθησαν στα μέσα του 2009, εκμεταλλεύτηκαν μια ευπάθεια στο πρόγραμμα περιήγησης Internet Explorer, επιτρέποντας στους εισβολείς να αποκτήσουν πρόσβαση σε συστήματα υπολογιστών και να μεταφορτώσουν κακόβουλα προγράμματα σε αυτά τα συστήματα. Τα συστήματα υπολογιστών συνδέθηκαν με έναν απομακρυσμένο διακομιστή και η κληρονομική ιδιοκτησία κλέφθηκε από τις εταιρείες, στις οποίες περιλαμβάνονται οι Google, η Northrop Grumman και η Dow Chemical. (Διαβάστε για άλλες επιζήμιες επιθέσεις στο κακόβουλο λογισμικό: Worms, Trojans and Bots, Oh My!)
Το Stuxnet ήταν το πρώτο APT που χρησιμοποίησε ένα cyberattack για να διαταράξει τη φυσική υποδομή. Πιστεύεται ότι έχουν αναπτυχθεί από τις Ηνωμένες Πολιτείες και το Ισραήλ, ο σκουλήκι Stuxnet στοχεύει τα βιομηχανικά συστήματα ελέγχου ενός ιρανικού πυρηνικού σταθμού.
Αν και το Stuxnet φαίνεται να έχει αναπτυχθεί για να επιτεθεί σε ιρανικές πυρηνικές εγκαταστάσεις, έχει εξαπλωθεί πολύ πέρα από τον επιδιωκόμενο στόχο του και θα μπορούσε επίσης να χρησιμοποιηθεί έναντι βιομηχανικών εγκαταστάσεων στις δυτικές χώρες, συμπεριλαμβανομένων των Ηνωμένων Πολιτειών.
Ένα από τα πιο σημαντικά παραδείγματα μιας APT ήταν η παραβίαση της RSA, μιας εταιρείας ηλεκτρονικών υπολογιστών και ασφάλειας δικτύων. Τον Μάρτιο του 2011, η RSA έσκασε μια διαρροή όταν διαρρήχτηκε από μια επίθεση δόλιου phishing που γαντζώθηκε ένας από τους υπαλλήλους της και οδήγησε σε μια τεράστια αλιευμάτων για cyberattackers.
Σε μια ανοικτή επιστολή προς την RSA που δημοσίευσαν οι πελάτες στην ιστοσελίδα της εταιρείας τον Μάρτιο του 2011, ο εκτελεστικός πρόεδρος Art Coviello δήλωσε ότι μια εξελιγμένη επίθεση APT εξήγαγε πολύτιμες πληροφορίες σχετικά με το προϊόν SecurID ταυτότητας δύο παραγόντων που χρησιμοποίησαν οι απομακρυσμένοι εργαζόμενοι για ασφαλή πρόσβαση στο δίκτυο της εταιρείας .
"Ενώ επί του παρόντος είμαστε βέβαιοι ότι οι πληροφορίες που εξάγονται δεν επιτρέπουν μια επιτυχημένη άμεση επίθεση σε οποιονδήποτε από τους πελάτες μας RSA SecurID, αυτές οι πληροφορίες θα μπορούσαν ενδεχομένως να χρησιμοποιηθούν για να μειώσουν την αποτελεσματικότητα μίας τρέχουσας υλοποίησης ταυτότητας δύο παραγόντων ως μέρος μιας ευρύτερης επίθεση, "είπε ο Coviello.
Ο Coviello, ωστόσο, αποδείχθηκε λανθασμένος, καθώς πολλοί πελάτες Token SecurID, συμπεριλαμβανομένου του αμερικανικού αμυντικού γίγαντα Lockheed Martin, ανέφεραν επιθέσεις που προκλήθηκαν από την παραβίαση του RSA. Σε μια προσπάθεια περιορισμού των ζημιών, η RSA συμφώνησε να αντικαταστήσει τα μάρκες για τους βασικούς πελάτες της.
Πού είναι τα APT;
Ένα πράγμα είναι βέβαιο: τα APTs θα συνεχιστούν. Όσο υπάρχουν ευαίσθητες πληροφορίες για να κλέψουν, οργανωμένες ομάδες θα πάνε μετά από αυτό. Και όσο υπάρχουν έθνη, θα υπάρξει κατασκοπεία και σαμποτάζ - σωματική ή κυβερνητική.
Υπάρχει ήδη μια συνέχεια στο σκουλήκι Stuxnet, που ονομάστηκε Duqu, το οποίο ανακαλύφθηκε το φθινόπωρο του 2011. Όπως ένας υπάλληλος που κοιμάται, η Duqu ενσωματώνεται γρήγορα σε βασικά βιομηχανικά συστήματα και συγκεντρώνει νοημοσύνη και καλύπτει το χρόνο της. Να είστε σίγουροι ότι μελετά τα έγγραφα σχεδιασμού για να βρει αδύναμα σημεία για μελλοντικές επιθέσεις.
Απειλές ασφάλειας του 21ου αιώνα
Βεβαίως, οι Stuxnet, Duqu και οι κληρονόμοι τους θα πλήξουν όλο και περισσότερο τις κυβερνήσεις, τους φορείς εκμετάλλευσης κρίσιμης υποδομής και τους επαγγελματίες της ασφάλειας πληροφοριών. Ήρθε η ώρα να λάβουμε αυτές τις απειλές τόσο σοβαρά όσο τα κοσμικά προβλήματα ασφάλειας της καθημερινής ζωής του 21ου αιώνα.
