Artykuł pochodzi z wydania: Wrzesień 2021
Istnieje klasa ataków przeprowadzanych na znaczące cele, które realizowane są w sposób strategiczny, taktycznie zaplanowane i wdrażane przez długi czas – miesiące, a nawet lata. Są to ataki planowane z wyprzedzeniem, przygotowaną infrastrukturą oraz narzędziami. Te ataki to Advanced Persistent Threat (APT).
Dzisiejsze cyberataki to wyrafinowane, strategiczne, wszechstronne i zautomatyzowane działania, potencjalnie inicjowane przez osoby szukające informacji do wykradzenia. Zorganizowane mogą być przez grupę przestępczą lub nawet agencję rządową. Celem takiego ataku są ważne organizacje i ich systemy komputerowe zawierające cenne, ściśle tajne dane mogące obejmować patenty, tajemnice wojskowe i wrażliwe informacje finansowe. Intencją ataku APT może być nie tylko kradzież danych, ale także sabotowanie infrastruktury firmy, a nawet całego państwa. Strategia ataków APT obejmuje użycie zaawansowanych narzędzi, które utrzymują cyberprzestępców w ukryciu i stwarzają możliwości dotarcia do wrażliwych zasobów. Skradzione dane mogą być dalej wykorzystywane do szpiegostwa i wymuszeń. Atak APT wymaga znacznie więcej zasobów finansowych i ludzkich niż standardowy atak cybernetyczny. Zwykle ma wsparcie finansowe dużej organizacji przestępczej lub agencji rządowej.
> Istota APT
Definicyjnie ataki APT są złożonymi, długotrwałymi i wielostopniowymi działaniami kierowanymi przeciwko konkretnym osobom, organizacjom lub firmom. Mają one dokładnie określone wytyczne – uszkodzenie bądź kradzież poufnych danych lub przeniknięcie do infrastruktury ofiary w celu prowadzenia bieżącego monitoringu organizacji i przepływu informacji wewnętrznych. Aby lepiej zrozumieć ich naturę, wyjaśnijmy, czym się charakteryzują:
Advanced (zaawansowany) – hakerzy stojący za cyberatakiem mają do dyspozycji pełne spektrum narzędzi oraz technik wywiadowczych. Mogą one obejmować oprogramowanie komercyjne oraz otwarte technologie (open source). Wykorzystują znane i nieznane techniki włamań komputerowych, a także łączą techniki informatyczne z tradycyjnymi operacjami wywiadowczymi (często są to ataki opracowane lub zlecone przez państwowe agencje wywiadowcze). Podczas gdy poszczególne komponenty ataku mogą nie być uważane za szczególnie „zaawansowane” (np. komponenty szkodliwego oprogramowania generowane z powszechnie dostępnych narzędzi, jak Metasploit lub wykorzystanie łatwo dostępnych materiałów dotyczących exploitów), to ich operatorzy zazwyczaj, po uzyskaniu dostępu, wykorzystują bardziej zaawansowane narzędzia zgodnie z wymaganiami. Często łączą wiele metod, narzędzi i technik, aby dotrzeć do celu, przejąć go oraz zachować do niego dostęp. Atakujący wykazują także skupienie na bezpieczeństwie operacyjnym prowadzonego ataku, co również odróżnia ich od „mniej zaawansowanych” napastników.
Persistent (trwały) – hakerzy mają określony cel. Nie szukają wszelkich możliwych informacji, nie eksfiltrują wszystkich dostępnych systemów, nie poszukują korzyści finansowych. Wybór ofiary odbywa się poprzez stały monitoring przeciwnika i interakcję, tak aby osiągnąć zdefiniowane cele strategiczne. To oznacza, że nie mamy tu do czynienia z nawałem ciągłych ataków i kolejnych prób ze złośliwym oprogramowaniem. W rzeczywistości stosowane jest podejście „nisko i wolno” (ang. low and slow), które zazwyczaj jest bardziej skuteczne. Jeśli operator ataku utraci dostęp do zdobytego systemu, zwykle próbuje go odzyskać i najczęściej kończy się to dla niego powodzeniem. Jednym z taktycznych celów operatora jest utrzymanie długoterminowego dostępu do zdobytego systemu. I to jest jeden z podstawowych wyznaczników ataku APT, w przeciwieństwie do klasycznych zagrożeń, które potrzebują dostępu tylko do wykonania określonego pojedynczego zadania.
Threat (zagrożenie) – atakujący stanowią zagrożenie, ponieważ mają zarówno możliwości, jak i determinację. Ataki APT są zawsze bardzo dobrze skoordynowane, prowadzone przez zespoły ludzkie, a nie przez bezmyślne zautomatyzowane boty. Hakerzy mają określony cel, są wykwalifikowani, zmotywowani, zorganizowani i dobrze finansowani.
[…]
Ireneusz Tarnowski
Autor jest ekspertem w zakresie analizy i reagowania na cyberzagrożenia. Analizując zagrożenia w cyberprzestrzeni oraz techniki, taktyki i procedury w atakach, ocenia potencjalny wpływ na organizację i opracowuje plany reakcji na pojawiające się ataki i zagrożenia. Miłośnik defensywnego podejścia do cyberbezpieczeństwa.