Obsah:
Útok na počítačové síti již není hlavní zprávou, ale existuje jiný typ útoku, který obavy o kybernetickou bezpečnost posouvá na další úroveň. Tyto útoky se nazývají pokročilé trvalé hrozby (APT). Zjistěte, jak se liší od každodenních hrozeb a proč jsou schopny způsobit tolik škody v našem přezkumu některých vysoce známých případů, ke kterým došlo v posledních několika letech. (Pro čtení na pozadí si přečtěte 5 nejstrašidelnějších hrozeb v technice.)
Co je to APT?
Termín pokročilá přetrvávající hrozba (APT) se může vztahovat na útočníka s podstatnými prostředky, organizací a motivací k provádění trvalého kybernetického útoku proti cíli.
APT není divu, že je pokročilý, vytrvalý a ohrožující. Je to pokročilé, protože využívá tajné a vícenásobné útokové metody ke kompromitaci cíle, často vysoce hodnotného podnikového nebo vládního zdroje. Tento typ útoku je také obtížné detekovat, odstranit a připsat konkrétnímu útočníkovi. Ještě horší je, že jakmile dojde k porušení cíle, často se vytvářejí zadní vrátky, aby útočníkovi poskytovaly nepřetržitý přístup ke kompromitovanému systému.
APT jsou považovány za perzistentní v tom smyslu, že útočník může strávit měsíce shromažďováním informací o cíli a používat tyto informace k zahájení více útoků po delší časové období. Je to hrozivé, protože pachatelé jsou často po vysoce citlivých informacích, jako je uspořádání jaderných elektráren nebo kódy, aby se rozbili na americké obranné dodavatele.
Útok APT má obecně tři primární cíle:
- Krádež citlivých informací z cíle
- Dohled nad cílem
- Sabotáž cíle
Pachatelé APT často používají důvěryhodná připojení k získání přístupu k sítím a systémům. Tato spojení lze najít například prostřednictvím sympatického zasvěceného nebo nevědomého zaměstnance, který se stává kořistí útoku oštěpem z kopí.
Jak se liší APT?
APT se liší od ostatních kybernetických útoků mnoha způsoby. Zaprvé, APT často používají přizpůsobené nástroje a techniky vniknutí - například zneužití zranitelnosti, viry, červy a rootkity - určené speciálně pro proniknutí do cílové organizace. Navíc APT často zahajují více útoků současně, aby porušily své cíle a zajistily nepřetržitý přístup k cíleným systémům, někdy včetně návnady, která podvede cíl, aby si myslel, že útok byl úspěšně odrazen.
Za druhé, k útokům APT dochází po dlouhou dobu, během níž se útočníci pohybují pomalu a tiše, aby se vyhnuli detekci. Na rozdíl od rychlé taktiky mnoha útoků zahájených typickými kybernetickými zločinci je cílem APT zůstat nezjištěno pohybem „nízko a pomalu“ s nepřetržitým sledováním a interakcemi, dokud útočníci nedosáhnou stanovených cílů.
Zatřetí, APT jsou navrženy tak, aby splňovaly požadavky na špionáž a / nebo sabotáž, obvykle zahrnující skryté státní aktéry. Cílem APT je shromažďování vojenských, politických nebo ekonomických zpravodajských informací, důvěrná data nebo obchodní tajemství, narušení operací nebo dokonce zničení vybavení.
Začtvrté, APT jsou zaměřeny na omezený rozsah vysoce cenných cílů. Útoky APT byly zahájeny proti vládním agenturám a zařízením, dodavatelům obrany a výrobcům high-tech produktů. Pravděpodobné cíle jsou také organizace a společnosti, které udržují a provozují národní infrastrukturu.
Některé příklady APT
Operace Aurora byla jedním z prvních široce propagovaných APT; řada útoků proti americkým společnostem byla sofistikovaná, cílená, tajná a navržená tak, aby manipulovala s cíli.Útoky provedené v polovině roku 2009 zneužily zranitelnost v prohlížeči Internet Explorer, což útočníkům umožnilo získat přístup k počítačovým systémům a stáhnout malware do těchto systémů. Počítačové systémy byly připojeny ke vzdálenému serveru a duševní vlastnictví bylo ukradeno společnostem, mezi které patřily Google, Northrop Grumman a Dow Chemical. (Přečtěte si o dalších škodlivých útocích v škodlivém softwaru: červi, trojské koně a boti, ach můj!)
Stuxnet byl první APT, který pomocí kybernetického útoku narušil fyzickou infrastrukturu. Podle předpokladu, že byl vyvinut Spojenými státy a Izraelem, se červ Stuxnet zaměřil na průmyslové kontrolní systémy íránské jaderné elektrárny.
Ačkoli se zdá, že Stuxnet byl vyvinut k útoku na íránská jaderná zařízení, rozšířil se daleko za zamýšlený cíl a mohl být také použit proti průmyslovým zařízením v západních zemích, včetně Spojených států.
Jedním z nejvýznamnějších příkladů APT bylo porušení společnosti RSA, společnosti zabývající se počítačovým a síťovým zabezpečením. V březnu 2011 došlo k úniku RSA, když jej pronikl útok oštěpem, který zahnal jednoho ze svých zaměstnanců a vyústil v obrovský úlovek pro kybernetické útočníky.
V otevřeném dopise společnosti RSA zaslaném zákazníky na webové stránky společnosti v březnu 2011 výkonný předseda Art Coviello uvedl, že sofistikovaný útok APT extrahoval cenné informace týkající se jeho dvoufaktorového autentizačního produktu SecurID, který vzdálení pracovníci používají k bezpečnému přístupu k síti společnosti. .
„V tuto chvíli jsme si jisti, že extrahované informace neumožňují úspěšný přímý útok na některého z našich zákazníků RSA SecurID, ale tyto informace by mohly být potenciálně použity ke snížení účinnosti současné implementace dvoufaktorové autentizace v rámci širšího útok, “řekl Coviello.
Ukázalo se však, že se Coviello mýlil, protože četní zákazníci tokenů RSA SecurID, včetně amerického obranného gigantu Lockheed Martin, hlásili útoky způsobené porušením RSA. Ve snaze omezit poškození se RSA dohodla na nahrazení tokenů pro své klíčové zákazníky.
Kde jsou APT?
Jedna věc je jistá: APT budou pokračovat. Dokud existují citlivé informace, které je možné ukrást, budou organizované skupiny následovat. A dokud budou existovat národy, bude existovat špionáž a sabotáž - fyzická nebo kybernetická.
Již existuje návaznost na červa Stuxnet, přezdívaného Duqu, který byl objeven na podzim roku 2011. Stejně jako spací agent se Duqu rychle začlenil do klíčových průmyslových systémů a shromažďuje inteligenci a ukrývá svůj čas. Ujišťujeme vás, že studuje návrhové dokumenty, aby našla slabá místa pro budoucí útoky.
Bezpečnostní hrozby 21. století
Stuxnet, Duqu a jejich dědici jistě budou stále více trápit vlády, provozovatele kritické infrastruktury a profesionály v oblasti bezpečnosti informací. Je na čase vzít tyto hrozby tak vážně jako všední problémy s bezpečností informací v každodenním životě v 21. století.
