Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

Передовые постоянные угрозы ( APT ) является незаметной угрозой актер , как правило, национальное государство или спонсируемый государством группы, которая получает несанкционированный доступ к компьютерной сети и остается незамеченными в течение длительного периода времени. [1] [2] В последнее время этот термин может также относиться к негосударственным спонсируемым группам, проводящим крупномасштабные целевые вторжения с конкретными целями. [3]

Мотивация таких субъектов угрозы обычно носит политический или экономический характер. В каждом крупном бизнес-секторе были зарегистрированы случаи кибератак со стороны продвинутых субъектов с конкретными целями, направленными на кражу, шпионаж или подрыв. Эти секторы включают правительство, оборону , финансовые услуги , юридические услуги , промышленность, телекоммуникации , потребительские товары и многие другие. [4] [5] [6] Некоторые группы используют традиционные векторы шпионажа , включая социальную инженерию , человеческий интеллект и проникновение.чтобы получить доступ к физическому местоположению, чтобы разрешить сетевые атаки. Целью этих атак является установка нестандартного вредоносного ПО . [7]

Среднее время ожидания, то есть время, в течение которого APT-атака остается незамеченной, сильно различается в зависимости от региона. FireEye сообщает, что среднее время ожидания на 2018 год в Северной и Южной Америке составляет 71 день, в регионе EMEA - 177 дней, а в Азиатско-Тихоокеанском регионе - 204 дня. [4] Это дает злоумышленникам значительное количество времени, чтобы пройти цикл атаки, распространиться и достичь своей цели.

Определение [ править ]

Определения того, что такое APT, могут различаться, но их можно резюмировать по указанным ниже требованиям:

  • Продвинутый  - Операторы, стоящие за угрозой, имеют в своем распоряжении полный спектр методов сбора разведданных. Они могут включать коммерческие компьютерные технологии и методы вторжения с открытым исходным кодом, но также могут распространяться на разведывательный аппарат государства. Хотя отдельные компоненты атаки нельзя считать особо «продвинутыми» (например, вредоносное ПОкомпоненты, созданные из общедоступных самодельных конструкторов вредоносных программ или с использованием легко добываемых материалов для эксплойтов), их операторы обычно могут получить доступ и разработать более продвинутые инструменты по мере необходимости. Они часто сочетают в себе несколько методов, инструментов и приемов нацеливания, чтобы достичь и скомпрометировать свою цель и сохранить доступ к ней. Операторы могут также продемонстрировать целенаправленную ориентацию на операционную безопасность, которая отличает их от «менее сложных» угроз. [3] [8] [9]
  • Настойчиво  - операторы преследуют конкретные цели, а не ищут информацию для получения финансовой или иной выгоды. Это различие подразумевает, что злоумышленники руководствуются внешними объектами. Таргетинг осуществляется посредством постоянного мониторинга и взаимодействия для достижения поставленных целей. Это не означает шквал постоянных атак и обновлений вредоносных программ. На самом деле, обычно более успешен подход «низко-медленно». Если оператор теряет доступ к своей цели, он обычно повторяет попытку доступа, и чаще всего успешно. Одна из целей оператора - поддерживать долгосрочный доступ к цели, в отличие от угроз, которым доступ нужен только для выполнения определенной задачи. [8] [10]
  • Угроза  - APT-атаки представляют собой угрозу, потому что у них есть и возможности, и цели. APT-атаки выполняются скоординированными действиями человека, а не бессмысленными и автоматизированными фрагментами кода. Операторы преследуют конкретную цель, они квалифицированы, мотивированы, организованы и хорошо финансируются. Актеры не ограничиваются группами, спонсируемыми государством. [3] [8]

История и цели [ править ]

Предупреждения против целевых, созданных с помощью социальной инженерии электронных писем, сбрасывающих троянских программ для извлечения конфиденциальной информации, были опубликованы организациями CERT Великобритании и США в 2005 году. Этот метод использовался в начале 1990-х годов и сам по себе не является APT. Термин «продвинутая постоянная угроза» был процитирован ВВС США в 2006 году [11], а полковник Грег Рэттрей был назван человеком, придумавшим этот термин. [12] Однако термин APT использовался операторами связи несколько лет назад. [ необходима цитата ]

Stuxnet компьютерный червь , который ориентирована на компьютерную технику от иранской ядерной программы , является одним из примеров APT атаки. В этом случае иранское правительство может рассматривать создателей Stuxnet как серьезную постоянную угрозу. [ необходима цитата ]

В сообществе компьютерной безопасности и все чаще в средствах массовой информации этот термин почти всегда используется в отношении долгосрочной модели эксплуатации сложной компьютерной сети, нацеленной на правительства, компании и политических активистов, и, в более широком смысле, также для приписывания A , P и T относятся к группам, стоящим за этими атаками. [13] Термин «продвинутая постоянная угроза» (APT) может смещать акцент на компьютерный взлом из-за растущего числа случаев. PC World сообщил об увеличении на 81% с 2010 по 2011 г. особо сложных целевых компьютерных атак. [14]

Действующие лица во многих странах использовали киберпространство как средство сбора разведданных о лицах и группах лиц, представляющих интерес. [15] [16] [17] США Cyber Command поставлена задача координации наступательных и оборонительных вооруженных сил США кибер - операции. [18]

Многочисленные источники утверждают, что некоторые группы APT связаны с правительствами суверенных государств или являются их агентами . [19] [20] [21] Компании, владеющие большим количеством информации, позволяющей установить личность, подвергаются высокому риску стать объектом постоянных угроз повышенной сложности, в том числе: [22]

  • Высшее образование [23]
  • Финансовые учреждения
  • Энергия
  • Транспорт
  • Технологии
  • Здравоохранение
  • Телекоммуникации
  • Производство
  • Сельское хозяйство [24]

Исследование Bell Canada предоставило глубокое исследование анатомии APT и выявило их широкое присутствие в канадском правительстве и критической инфраструктуре. Установлена ​​атрибуция китайских и российских актеров. [25]

Жизненный цикл [ править ]

Лица, стоящие за продвинутыми постоянными угрозами, создают растущий и изменяющийся риск для финансовых активов, интеллектуальной собственности и репутации организаций [26] , следуя непрерывному процессу или цепочке уничтожения :

  1. Ориентация на конкретные организации для единственной цели
  2. Попытка закрепиться в среде (распространенная тактика включает целевые фишинговые электронные письма)
  3. Использовать скомпрометированные системы как доступ к целевой сети
  4. Разверните дополнительные инструменты, которые помогут выполнить цель атаки
  5. Скрыть следы, чтобы сохранить доступ для будущих инициатив

Глобальный ландшафт APT из всех источников иногда упоминается в единственном числе как «APT», как и ссылки на исполнителя, стоящего за конкретным инцидентом или серией инцидентов, но определение APT включает в себя как исполнителя, так и метод. [27]

В 2013 году Mandiant представил результаты своего исследования предполагаемых китайских атак с использованием метода APT в период с 2004 по 2013 год [28], которые прошли аналогичный жизненный цикл:

  • Первоначальная компрометация  - осуществляется с помощью социальной инженерии и целевого фишинга , по электронной почте, с использованием вирусов нулевого дня . Еще одним популярным методом заражения было размещение вредоносного ПО на веб-сайте, который, скорее всего, посетят сотрудники жертвы.
  • Установите точку опоры  - установите программное обеспечение для удаленного администрирования в сети жертвы, создайте сетевые бэкдоры и туннели, позволяющие скрытный доступ к ее инфраструктуре.
  • Повышение привилегий  - используйте эксплойты и взлом паролей, чтобы получить права администратора на компьютере жертвы и, возможно, расширить их до учетных записей администратора домена Windows .
  • Внутренняя разведка  - сбор информации об окружающей инфраструктуре, доверительных отношениях, структуре домена Windows .
  • Двигайтесь по горизонтали  - расширяйте контроль на другие рабочие станции, серверы и элементы инфраструктуры и выполняйте сбор данных на них.
  • Поддержание присутствия  - обеспечение постоянного контроля над каналами доступа и учетными данными, полученными на предыдущих этапах.
  • Выполненная миссия  - вывести украденные данные из сети жертвы.

В инцидентах, проанализированных Mandiant, средний период, в течение которого злоумышленники контролировали сеть жертвы, составлял один год, а самый длинный - почти пять лет. [28] В инфильтраты якобы были выполнены в Шанхае на основе блока 61398 из Народно-освободительной армии . Китайские официальные лица отрицают свою причастность к этим нападениям. [29]

Предыдущие сообщения Secdev ранее выявляли и причастны к китайским актерам. [30]

Стратегии смягчения [ править ]

Существуют десятки миллионов разновидностей вредоносных программ [31], что делает чрезвычайно сложной задачей защиту организаций от APT. Хотя действия APT незаметны и их трудно обнаружить, командный сетевой трафик, связанный с APT, может быть обнаружен на уровне сетевого уровня с помощью сложных методов. Глубокий анализ журналов и корреляция журналов из различных источников имеют ограниченную полезность при обнаружении APT-активности. Сложно отделить шумы от легального трафика. Традиционные технологии и методы безопасности оказались неэффективными при обнаружении или устранении APT-атак. [32] Активная киберзащита повысила эффективность обнаружения и преследования APT (найти, исправить, устранить) при применении аналитики киберугроз.для охоты и преследования противников. [33] [34]

Группы APT [ править ]

Китай [ править ]

По словам исследователя в области безопасности Тимо Стеффенса, «APT-среда в Китае работает на основе подхода« по всей стране »с привлечением навыков университетов, отдельных лиц, а также частного и государственного секторов». [35]

Основные группы [ править ]

  • PLA Unit 61398 (также известный как APT1)
  • PLA Unit 61486 (также известный как APT2)
  • Бакай (также известный как APT3) [36]
  • Красный Аполлон (также известный как APT10)
  • Пронумерованная панда (также известная как APT12)
  • Codoso Team (также известная как APT19)
  • Wocao (также известный как APT20) [37] [38]
  • PLA Unit 78020 (также известный как APT30 и Naikon )
  • Цирконий [39] (также известный как APT31) [40]
  • Periscope Group (также известная как APT40)
  • Двойной дракон [41] (также известный как APT41, Winnti Group, Barium или Axiom) [42] [43] [44]
  • Тропический солдат [45] [46]
  • Гафний [47] [48]

Иран [ править ]

  • Elfin Team (также известная как APT33)
  • Helix Kitten (также известный как APT34)
  • Очаровательный котенок (также известный как APT35)
  • APT39
  • Пионерский котенок [49]

Израиль [ править ]

  • Блок 8200

Северная Корея [ править ]

  • Кимсуки
  • Lazarus Group (также известная как APT38)
  • Рикошет Чоллима (также известный как APT37)

Россия [ править ]

  • Fancy Bear (также известный как APT28)
  • Уютный медведь (также известный как APT29)
  • Песчаный червь
  • Медведь-берсерк
  • Ядовитый медведь

Соединенные Штаты [ править ]

  • Группа уравнений [50]

Узбекистан [ править ]

  • SandCat (связанный со Службой национальной безопасности (Узбекистан) ) [51]

Вьетнам [ править ]

  • OceanLotus (также известный как APT32 ) [52] [53]

См. Также [ править ]

  • Бюро 121
  • Деятельность китайской разведки за рубежом
  • Кибершпионаж
  • Darkhotel
  • Бесфайловое вредоносное ПО
  • Ghostnet
  • Цепочка убийств
  • NetSpectre
  • Операция Аврора
  • Операция Shady RAT
  • Проактивная киберзащита
  • Целевой фишинг
  • Шпионское ПО
  • Stuxnet
  • Индивидуальные операции доступа
  • Блок 180
  • Блок 8200

Ссылки [ править ]

  1. ^ "Что такое расширенная постоянная угроза (APT)?" . www.kaspersky.com . Проверено 11 августа 2019 .
  2. ^ "Что такое расширенная постоянная угроза (APT)?" . Cisco . Проверено 11 августа 2019 .
  3. ^ a b c Мэлони, Сара. "Что такое расширенная постоянная угроза (APT)?" . Проверено 9 ноября 2018 .
  4. ^ a b «Тенденции кибербезопасности M-Trends» . FireEye . Проверено 11 августа 2019 .
  5. ^ «Киберугрозы для финансовых услуг и страховой индустрии» (PDF) . FireEye . Архивировано из оригинального (PDF) 11 августа 2019 года.
  6. ^ «Киберугрозы для розничной торговли и индустрии потребительских товаров» (PDF) . FireEye . Архивировано из оригинального (PDF) 11 августа 2019 года.
  7. ^ «Расширенные постоянные угрозы: перспектива Symantec» (PDF) . Symantec . Архивировано из оригинального (PDF) 8 мая 2018 года.
  8. ^ a b c «Расширенные постоянные угрозы (APT)» . Управление ИТ .
  9. ^ «Расширенная постоянная осведомленность об угрозах» (PDF) . TrendMicro Inc .
  10. ^ «Объяснение: Расширенная постоянная угроза (APT)» . Malwarebytes Labs . 2016-07-26 . Проверено 11 августа 2019 .
  11. ^ «Оценка исходящего трафика для выявления повышенной постоянной угрозы» (PDF) . Технологический институт SANS . Проверено 14 апреля 2013 .
  12. ^ «Представляем Forrester's Cyber ​​Threat Intelligence Research» . Forrester Research. Архивировано из оригинала на 2014-04-15 . Проверено 14 апреля 2014 .
  13. ^ «Продвинутые постоянные угрозы: изучите азбуку APT - часть A» . SecureWorks . SecureWorks . Проверено 23 января 2017 года .
  14. ^ Olavsrud, Тор. «Целевые атаки увеличились, стали более разнообразными в 2011 году» . PCWorld.
  15. ^ «Развивающийся кризис» . BusinessWeek. 10 апреля 2008 года архивации с оригинала на 10 января 2010 . Проверено 20 января 2010 .
  16. ^ "Новая угроза электронного шпионажа" . BusinessWeek. 10 апреля, 2008. Архивировано из оригинала 18 апреля 2011 года . Проверено 19 марта 2011 .
  17. ^ "Google под атакой: высокая стоимость ведения бизнеса в Китае" . Der Spiegel. 2010-01-19. Архивировано 21 января 2010 года . Проверено 20 января 2010 .
  18. ^ "Командующий обсуждает десятилетие кибервилы Министерства обороны США" . ДЕПАРТАМЕНТ ОБОРОНЫ США . Проверено 28 августа 2020 .
  19. ^ «Под киберугрозой: подрядчики по обороне» . BusinessWeek. 6 июля 2009 года. Архивировано 11 января 2010 года . Проверено 20 января 2010 .
  20. ^ «Понимание расширенной постоянной угрозы» . Том Паркер. 4 февраля 2010 . Проверено 4 февраля 2010 .
  21. ^ «Продвинутая постоянная угроза (или операции с информационными силами)» (PDF) . Усеникс, Майкл К. Дейли. 4 ноября 2009 . Проверено 4 ноября 2009 .
  22. ^ «Анатомия расширенной постоянной угрозы (APT)» . Dell SecureWorks . Проверено 21 мая 2012 .
  23. ^ Ингерман, Брет. «Десять главных ИТ-вопросов 2011 года» . Обзор Educause.
  24. ^ Joaquin Джей Гонсалес III, RogerL.Kemp (2019-01-16). Кибербезопасность: текущие публикации об угрозах и защите . МакФарланд, 2019. стр. 69. ISBN. 9781476674407.
  25. ^ Правительство Канады, Государственные службы и закупки Канады. «Архив информации в Интернете» (PDF) . Publications.gc.ca .
  26. ^ «Перехитрить продвинутые и уклончивые угрозы вредоносного ПО» . Secureworks . Secureworks Insights . Проверено 24 февраля +2016 .
  27. ^ EMAGCOMSECURITY (9 апреля 2015 г.). «Группа APT (Advanced Persistent Threat)» . Проверено 15 января 2019 .
  28. ^ a b «APT1: разоблачение одного из китайских подразделений кибершпионажа» . Mandiant. 2013.
  29. ^ «Китай говорит, что обвинениям США во взломе не хватает технических доказательств» . Рейтер. 2013.
  30. ^ «GhostNet» была крупномасштабной операцией кибершпионажа » (PDF) .
  31. ^ RicMessier (2013-10-30). Сертификация GSEC GIAC Security Essentials Все . McGraw Hill Professional, 2013. стр. xxv. ISBN  9780071820912.
  32. ^ «Анатомия атаки APT (Advanced Persistent Threat)» . FireEye . Проверено 14 ноября 2020 .
  33. ^ «Анализ угроз в активной киберзащите (Часть 1)» . Записанное будущее . 2015-02-18 . Проверено 10 марта 2021 .
  34. ^ «Анализ угроз в активной киберзащите (часть 2)» . Записанное будущее . 2015-02-24 . Проверено 10 марта 2021 .
  35. ^ Стоун, Джефф. «Иностранные шпионы используют подставные компании, чтобы замаскировать свои взломы, заимствуя старую тактику маскировки» . www.cyberscoop.com . Киберскооп . Дата обращения 11 октября 2020 .
  36. ^ «Бакай: Шпионаж использовала инструменты группы уравнений до утечки теневых брокеров» . Symantec . 2019-05-07. Архивировано 07 мая 2019 года . Проверено 23 июля 2019 .
  37. ^ 2019-12-19. "Wocao APT20" (PDF) . CS1 maint: числовые имена: список авторов ( ссылка )
  38. ^ Виджаян, Джай. «Китайская кибершпионажная группа, нацеленная на организации в 10 странах» . www.darkreading.com . Темное чтение . Проверено 12 января 2020 года .
  39. ^ Lyngaas, Шон. «Правильная страна, неправильная группа? Исследователи говорят, что норвежская компания-разработчик программного обеспечения взломала не APT10» . www.cyberscoop.com . Киберскооп . Проверено 16 октября 2020 года .
  40. ^ Lyngaas, Шон. «Google предлагает подробную информацию о китайской хакерской группе, нацеленной на кампанию Байдена» . www.cyberscoop.com . Киберскооп . Проверено 16 октября 2020 года .
  41. ^ 2019-10-16. «Двойной дракон APT41, двойная операция шпионажа и киберпреступности» .CS1 maint: числовые имена: список авторов ( ссылка )
  42. ^ Писатель, штат. «Бюро назвало преступников-вымогателей» . www.taipeitimes.com . Тайбэй Таймс . Проверено 22 мая 2020 .
  43. ^ Тартар, Матье; Смолар, Мартин. «Нет,« Игра окончена »для Winnti Group» . www.welivesecurity.com . Мы живем в безопасности . Проверено 22 мая 2020 .
  44. ^ Гринберг, Энди. «Китайские хакеры разграбили тайваньскую полупроводниковую промышленность» . www.wired.com . Проводной . Дата обращения 7 августа 2020 .
  45. ^ Чен, Джоуи. «Спина тропического солдата: атака USB-парома нацелена на воздушные зазоры» . blog.trendmicro.com . Trend Micro . Дата обращения 16 мая 2020 .
  46. ^ Чимпану, Каталин. «Хакеры нацелены на воздушные зазоры тайваньских и филиппинских военных» . www.zdnet.com . ZDnet . Дата обращения 16 мая 2020 .
  47. ^ Naraine, Райан (2021-03-02). «Microsoft: несколько серверов Exchange Zero-Days под атакой китайской хакерской группы» . securityweek.com . Проводные деловые СМИ . Источник 2021-03-03 .
  48. ^ Берт, Том (2021-03-02). «Новые кибератаки национальных государств» . blogs.microsoft.com . Microsoft . Источник 2021-03-03 .
  49. ^ "Pioneer Kitten APT продает доступ к корпоративной сети" . угрозаpost.com .
  50. ^ «Уравнение: Звезда Смерти вредоносного ПО Galaxy» . Лаборатория Касперского . 2015-02-16. Архивировано 11 июля 2019 года . Проверено 23 июля 2019 .
  51. ^ Галлахер, Шон. «Касперский считает, что Узбекистан взломан… потому что группа использовала Kaspersky AV» . arstechnica.com . Ars Technica . Дата обращения 5 октября 2019 .
  52. ^ Panda, Анкит. «Наступательные кибер-возможности и разведка общественного здравоохранения: Вьетнам, APT32 и COVID-19» . thediplomat.com . Дипломат . Проверено 29 апреля 2020 .
  53. ^ Танриверди, Хакан; Цирер, Макс; Веттер, Анн-Катрин; Бирманн, Кай; Нгуен, Тхи До (8 октября 2020 г.). Ниерле, Верена; Шёффель, Роберт; Врещниок, Лиза (ред.). «Попался в прицел вьетнамских хакеров» . Bayerischer Rundfunk . В случае с Буи следы ведут к группе, предположительно действующей от имени вьетнамского государства. У экспертов есть много названий для этой группы: наиболее известны APT 32 и Ocean Lotus. В беседах с десятком специалистов по информационной безопасности все они сошлись во мнении, что это вьетнамская группировка, шпионящая, в частности, за собственными соотечественниками.

Дальнейшее чтение [ править ]

  • Рекомендации Gartner по устранению сложных постоянных угроз
  • Bell Canada, Борьба с роботизированными сетями и их контроллерами: PSTP08-0107eSec, 06 мая 2010 г. (PSTP)
  • Готовьтесь к пост-криптовалютному миру, крестный отец предупреждает о шифровании
  • Оборонные исследования: Темный космический проект APT0
  • Gartner: стратегии борьбы с расширенными целевыми атаками
  • XM Cyber: удаленное заражение файлов с помощью APT-атаки
  • Secdev, «GhostNet» была крупномасштабной операцией кибершпионажа, обнаруженной в марте 2009 года.
  • Секдев, «Тени в облаке». Сложная экосистема кибершпионажа, которая систематически нацелена на компьютерные системы в Индии, офисах Далай-ламы, ООН и некоторых других странах и взламывает их.
Список расширенных групп постоянных угроз
  • FireEye: расширенные группы постоянных угроз
  • Сообщество безопасности MITER ATT & CK отслеживало страницы Advanced Persistent Group Pages