Часть серии по |
Информационная безопасность |
---|
Связанные категории безопасности |
Угрозы |
|
Защиты |
|
Передовые постоянные угрозы ( APT ) является незаметной угрозой актер , как правило, национальное государство или спонсируемый государством группы, которая получает несанкционированный доступ к компьютерной сети и остается незамеченными в течение длительного периода времени. [1] [2] В последнее время этот термин может также относиться к негосударственным спонсируемым группам, проводящим крупномасштабные целевые вторжения с конкретными целями. [3]
Мотивация таких субъектов угрозы обычно носит политический или экономический характер. В каждом крупном бизнес-секторе были зарегистрированы случаи кибератак со стороны продвинутых субъектов с конкретными целями, направленными на кражу, шпионаж или подрыв. Эти секторы включают правительство, оборону , финансовые услуги , юридические услуги , промышленность, телекоммуникации , потребительские товары и многие другие. [4] [5] [6] Некоторые группы используют традиционные векторы шпионажа , включая социальную инженерию , человеческий интеллект и проникновение.чтобы получить доступ к физическому местоположению, чтобы разрешить сетевые атаки. Целью этих атак является установка нестандартного вредоносного ПО . [7]
Среднее время ожидания, то есть время, в течение которого APT-атака остается незамеченной, сильно различается в зависимости от региона. FireEye сообщает, что среднее время ожидания на 2018 год в Северной и Южной Америке составляет 71 день, в регионе EMEA - 177 дней, а в Азиатско-Тихоокеанском регионе - 204 дня. [4] Это дает злоумышленникам значительное количество времени, чтобы пройти цикл атаки, распространиться и достичь своей цели.
Определение [ править ]
Определения того, что такое APT, могут различаться, но их можно резюмировать по указанным ниже требованиям:
- Продвинутый - Операторы, стоящие за угрозой, имеют в своем распоряжении полный спектр методов сбора разведданных. Они могут включать коммерческие компьютерные технологии и методы вторжения с открытым исходным кодом, но также могут распространяться на разведывательный аппарат государства. Хотя отдельные компоненты атаки нельзя считать особо «продвинутыми» (например, вредоносное ПОкомпоненты, созданные из общедоступных самодельных конструкторов вредоносных программ или с использованием легко добываемых материалов для эксплойтов), их операторы обычно могут получить доступ и разработать более продвинутые инструменты по мере необходимости. Они часто сочетают в себе несколько методов, инструментов и приемов нацеливания, чтобы достичь и скомпрометировать свою цель и сохранить доступ к ней. Операторы могут также продемонстрировать целенаправленную ориентацию на операционную безопасность, которая отличает их от «менее сложных» угроз. [3] [8] [9]
- Настойчиво - операторы преследуют конкретные цели, а не ищут информацию для получения финансовой или иной выгоды. Это различие подразумевает, что злоумышленники руководствуются внешними объектами. Таргетинг осуществляется посредством постоянного мониторинга и взаимодействия для достижения поставленных целей. Это не означает шквал постоянных атак и обновлений вредоносных программ. На самом деле, обычно более успешен подход «низко-медленно». Если оператор теряет доступ к своей цели, он обычно повторяет попытку доступа, и чаще всего успешно. Одна из целей оператора - поддерживать долгосрочный доступ к цели, в отличие от угроз, которым доступ нужен только для выполнения определенной задачи. [8] [10]
- Угроза - APT-атаки представляют собой угрозу, потому что у них есть и возможности, и цели. APT-атаки выполняются скоординированными действиями человека, а не бессмысленными и автоматизированными фрагментами кода. Операторы преследуют конкретную цель, они квалифицированы, мотивированы, организованы и хорошо финансируются. Актеры не ограничиваются группами, спонсируемыми государством. [3] [8]
История и цели [ править ]
Предупреждения против целевых, созданных с помощью социальной инженерии электронных писем, сбрасывающих троянских программ для извлечения конфиденциальной информации, были опубликованы организациями CERT Великобритании и США в 2005 году. Этот метод использовался в начале 1990-х годов и сам по себе не является APT. Термин «продвинутая постоянная угроза» был процитирован ВВС США в 2006 году [11], а полковник Грег Рэттрей был назван человеком, придумавшим этот термин. [12] Однако термин APT использовался операторами связи несколько лет назад. [ необходима цитата ]
Stuxnet компьютерный червь , который ориентирована на компьютерную технику от иранской ядерной программы , является одним из примеров APT атаки. В этом случае иранское правительство может рассматривать создателей Stuxnet как серьезную постоянную угрозу. [ необходима цитата ]
В сообществе компьютерной безопасности и все чаще в средствах массовой информации этот термин почти всегда используется в отношении долгосрочной модели эксплуатации сложной компьютерной сети, нацеленной на правительства, компании и политических активистов, и, в более широком смысле, также для приписывания A , P и T относятся к группам, стоящим за этими атаками. [13] Термин «продвинутая постоянная угроза» (APT) может смещать акцент на компьютерный взлом из-за растущего числа случаев. PC World сообщил об увеличении на 81% с 2010 по 2011 г. особо сложных целевых компьютерных атак. [14]
Действующие лица во многих странах использовали киберпространство как средство сбора разведданных о лицах и группах лиц, представляющих интерес. [15] [16] [17] США Cyber Command поставлена задача координации наступательных и оборонительных вооруженных сил США кибер - операции. [18]
Многочисленные источники утверждают, что некоторые группы APT связаны с правительствами суверенных государств или являются их агентами . [19] [20] [21] Компании, владеющие большим количеством информации, позволяющей установить личность, подвергаются высокому риску стать объектом постоянных угроз повышенной сложности, в том числе: [22]
- Высшее образование [23]
- Финансовые учреждения
- Энергия
- Транспорт
- Технологии
- Здравоохранение
- Телекоммуникации
- Производство
- Сельское хозяйство [24]
Исследование Bell Canada предоставило глубокое исследование анатомии APT и выявило их широкое присутствие в канадском правительстве и критической инфраструктуре. Установлена атрибуция китайских и российских актеров. [25]
Жизненный цикл [ править ]
Лица, стоящие за продвинутыми постоянными угрозами, создают растущий и изменяющийся риск для финансовых активов, интеллектуальной собственности и репутации организаций [26] , следуя непрерывному процессу или цепочке уничтожения :
- Ориентация на конкретные организации для единственной цели
- Попытка закрепиться в среде (распространенная тактика включает целевые фишинговые электронные письма)
- Использовать скомпрометированные системы как доступ к целевой сети
- Разверните дополнительные инструменты, которые помогут выполнить цель атаки
- Скрыть следы, чтобы сохранить доступ для будущих инициатив
Глобальный ландшафт APT из всех источников иногда упоминается в единственном числе как «APT», как и ссылки на исполнителя, стоящего за конкретным инцидентом или серией инцидентов, но определение APT включает в себя как исполнителя, так и метод. [27]
В 2013 году Mandiant представил результаты своего исследования предполагаемых китайских атак с использованием метода APT в период с 2004 по 2013 год [28], которые прошли аналогичный жизненный цикл:
- Первоначальная компрометация - осуществляется с помощью социальной инженерии и целевого фишинга , по электронной почте, с использованием вирусов нулевого дня . Еще одним популярным методом заражения было размещение вредоносного ПО на веб-сайте, который, скорее всего, посетят сотрудники жертвы.
- Установите точку опоры - установите программное обеспечение для удаленного администрирования в сети жертвы, создайте сетевые бэкдоры и туннели, позволяющие скрытный доступ к ее инфраструктуре.
- Повышение привилегий - используйте эксплойты и взлом паролей, чтобы получить права администратора на компьютере жертвы и, возможно, расширить их до учетных записей администратора домена Windows .
- Внутренняя разведка - сбор информации об окружающей инфраструктуре, доверительных отношениях, структуре домена Windows .
- Двигайтесь по горизонтали - расширяйте контроль на другие рабочие станции, серверы и элементы инфраструктуры и выполняйте сбор данных на них.
- Поддержание присутствия - обеспечение постоянного контроля над каналами доступа и учетными данными, полученными на предыдущих этапах.
- Выполненная миссия - вывести украденные данные из сети жертвы.
В инцидентах, проанализированных Mandiant, средний период, в течение которого злоумышленники контролировали сеть жертвы, составлял один год, а самый длинный - почти пять лет. [28] В инфильтраты якобы были выполнены в Шанхае на основе блока 61398 из Народно-освободительной армии . Китайские официальные лица отрицают свою причастность к этим нападениям. [29]
Предыдущие сообщения Secdev ранее выявляли и причастны к китайским актерам. [30]
Стратегии смягчения [ править ]
Существуют десятки миллионов разновидностей вредоносных программ [31], что делает чрезвычайно сложной задачей защиту организаций от APT. Хотя действия APT незаметны и их трудно обнаружить, командный сетевой трафик, связанный с APT, может быть обнаружен на уровне сетевого уровня с помощью сложных методов. Глубокий анализ журналов и корреляция журналов из различных источников имеют ограниченную полезность при обнаружении APT-активности. Сложно отделить шумы от легального трафика. Традиционные технологии и методы безопасности оказались неэффективными при обнаружении или устранении APT-атак. [32] Активная киберзащита повысила эффективность обнаружения и преследования APT (найти, исправить, устранить) при применении аналитики киберугроз.для охоты и преследования противников. [33] [34]
Группы APT [ править ]
Китай [ править ]
По словам исследователя в области безопасности Тимо Стеффенса, «APT-среда в Китае работает на основе подхода« по всей стране »с привлечением навыков университетов, отдельных лиц, а также частного и государственного секторов». [35]
Основные группы [ править ]
- PLA Unit 61398 (также известный как APT1)
- PLA Unit 61486 (также известный как APT2)
- Бакай (также известный как APT3) [36]
- Красный Аполлон (также известный как APT10)
- Пронумерованная панда (также известная как APT12)
- Codoso Team (также известная как APT19)
- Wocao (также известный как APT20) [37] [38]
- PLA Unit 78020 (также известный как APT30 и Naikon )
- Цирконий [39] (также известный как APT31) [40]
- Periscope Group (также известная как APT40)
- Двойной дракон [41] (также известный как APT41, Winnti Group, Barium или Axiom) [42] [43] [44]
- Тропический солдат [45] [46]
- Гафний [47] [48]
Иран [ править ]
- Elfin Team (также известная как APT33)
- Helix Kitten (также известный как APT34)
- Очаровательный котенок (также известный как APT35)
- APT39
- Пионерский котенок [49]
Израиль [ править ]
- Блок 8200
Северная Корея [ править ]
- Кимсуки
- Lazarus Group (также известная как APT38)
- Рикошет Чоллима (также известный как APT37)
Россия [ править ]
- Fancy Bear (также известный как APT28)
- Уютный медведь (также известный как APT29)
- Песчаный червь
- Медведь-берсерк
- Ядовитый медведь
Соединенные Штаты [ править ]
- Группа уравнений [50]
Узбекистан [ править ]
- SandCat (связанный со Службой национальной безопасности (Узбекистан) ) [51]
Вьетнам [ править ]
- OceanLotus (также известный как APT32 ) [52] [53]
См. Также [ править ]
- Бюро 121
- Деятельность китайской разведки за рубежом
- Кибершпионаж
- Darkhotel
- Бесфайловое вредоносное ПО
- Ghostnet
- Цепочка убийств
- NetSpectre
- Операция Аврора
- Операция Shady RAT
- Проактивная киберзащита
- Целевой фишинг
- Шпионское ПО
- Stuxnet
- Индивидуальные операции доступа
- Блок 180
- Блок 8200
Ссылки [ править ]
- ^ "Что такое расширенная постоянная угроза (APT)?" . www.kaspersky.com . Проверено 11 августа 2019 .
- ^ "Что такое расширенная постоянная угроза (APT)?" . Cisco . Проверено 11 августа 2019 .
- ^ a b c Мэлони, Сара. "Что такое расширенная постоянная угроза (APT)?" . Проверено 9 ноября 2018 .
- ^ a b «Тенденции кибербезопасности M-Trends» . FireEye . Проверено 11 августа 2019 .
- ^ «Киберугрозы для финансовых услуг и страховой индустрии» (PDF) . FireEye . Архивировано из оригинального (PDF) 11 августа 2019 года.
- ^ «Киберугрозы для розничной торговли и индустрии потребительских товаров» (PDF) . FireEye . Архивировано из оригинального (PDF) 11 августа 2019 года.
- ^ «Расширенные постоянные угрозы: перспектива Symantec» (PDF) . Symantec . Архивировано из оригинального (PDF) 8 мая 2018 года.
- ^ a b c «Расширенные постоянные угрозы (APT)» . Управление ИТ .
- ^ «Расширенная постоянная осведомленность об угрозах» (PDF) . TrendMicro Inc .
- ^ «Объяснение: Расширенная постоянная угроза (APT)» . Malwarebytes Labs . 2016-07-26 . Проверено 11 августа 2019 .
- ^ «Оценка исходящего трафика для выявления повышенной постоянной угрозы» (PDF) . Технологический институт SANS . Проверено 14 апреля 2013 .
- ^ «Представляем Forrester's Cyber Threat Intelligence Research» . Forrester Research. Архивировано из оригинала на 2014-04-15 . Проверено 14 апреля 2014 .
- ^ «Продвинутые постоянные угрозы: изучите азбуку APT - часть A» . SecureWorks . SecureWorks . Проверено 23 января 2017 года .
- ^ Olavsrud, Тор. «Целевые атаки увеличились, стали более разнообразными в 2011 году» . PCWorld.
- ^ «Развивающийся кризис» . BusinessWeek. 10 апреля 2008 года архивации с оригинала на 10 января 2010 . Проверено 20 января 2010 .
- ^ "Новая угроза электронного шпионажа" . BusinessWeek. 10 апреля, 2008. Архивировано из оригинала 18 апреля 2011 года . Проверено 19 марта 2011 .
- ^ "Google под атакой: высокая стоимость ведения бизнеса в Китае" . Der Spiegel. 2010-01-19. Архивировано 21 января 2010 года . Проверено 20 января 2010 .
- ^ "Командующий обсуждает десятилетие кибервилы Министерства обороны США" . ДЕПАРТАМЕНТ ОБОРОНЫ США . Проверено 28 августа 2020 .
- ^ «Под киберугрозой: подрядчики по обороне» . BusinessWeek. 6 июля 2009 года. Архивировано 11 января 2010 года . Проверено 20 января 2010 .
- ^ «Понимание расширенной постоянной угрозы» . Том Паркер. 4 февраля 2010 . Проверено 4 февраля 2010 .
- ^ «Продвинутая постоянная угроза (или операции с информационными силами)» (PDF) . Усеникс, Майкл К. Дейли. 4 ноября 2009 . Проверено 4 ноября 2009 .
- ^ «Анатомия расширенной постоянной угрозы (APT)» . Dell SecureWorks . Проверено 21 мая 2012 .
- ^ Ингерман, Брет. «Десять главных ИТ-вопросов 2011 года» . Обзор Educause.
- ^ Joaquin Джей Гонсалес III, RogerL.Kemp (2019-01-16). Кибербезопасность: текущие публикации об угрозах и защите . МакФарланд, 2019. стр. 69. ISBN. 9781476674407.
- ^ Правительство Канады, Государственные службы и закупки Канады. «Архив информации в Интернете» (PDF) . Publications.gc.ca .
- ^ «Перехитрить продвинутые и уклончивые угрозы вредоносного ПО» . Secureworks . Secureworks Insights . Проверено 24 февраля +2016 .
- ^ EMAGCOMSECURITY (9 апреля 2015 г.). «Группа APT (Advanced Persistent Threat)» . Проверено 15 января 2019 .
- ^ a b «APT1: разоблачение одного из китайских подразделений кибершпионажа» . Mandiant. 2013.
- ^ «Китай говорит, что обвинениям США во взломе не хватает технических доказательств» . Рейтер. 2013.
- ^ «GhostNet» была крупномасштабной операцией кибершпионажа » (PDF) .
- ^ RicMessier (2013-10-30). Сертификация GSEC GIAC Security Essentials Все . McGraw Hill Professional, 2013. стр. xxv. ISBN 9780071820912.
- ^ «Анатомия атаки APT (Advanced Persistent Threat)» . FireEye . Проверено 14 ноября 2020 .
- ^ «Анализ угроз в активной киберзащите (Часть 1)» . Записанное будущее . 2015-02-18 . Проверено 10 марта 2021 .
- ^ «Анализ угроз в активной киберзащите (часть 2)» . Записанное будущее . 2015-02-24 . Проверено 10 марта 2021 .
- ^ Стоун, Джефф. «Иностранные шпионы используют подставные компании, чтобы замаскировать свои взломы, заимствуя старую тактику маскировки» . www.cyberscoop.com . Киберскооп . Дата обращения 11 октября 2020 .
- ^ «Бакай: Шпионаж использовала инструменты группы уравнений до утечки теневых брокеров» . Symantec . 2019-05-07. Архивировано 07 мая 2019 года . Проверено 23 июля 2019 .
- ^ 2019-12-19. "Wocao APT20" (PDF) . CS1 maint: числовые имена: список авторов ( ссылка )
- ^ Виджаян, Джай. «Китайская кибершпионажная группа, нацеленная на организации в 10 странах» . www.darkreading.com . Темное чтение . Проверено 12 января 2020 года .
- ^ Lyngaas, Шон. «Правильная страна, неправильная группа? Исследователи говорят, что норвежская компания-разработчик программного обеспечения взломала не APT10» . www.cyberscoop.com . Киберскооп . Проверено 16 октября 2020 года .
- ^ Lyngaas, Шон. «Google предлагает подробную информацию о китайской хакерской группе, нацеленной на кампанию Байдена» . www.cyberscoop.com . Киберскооп . Проверено 16 октября 2020 года .
- ^ 2019-10-16. «Двойной дракон APT41, двойная операция шпионажа и киберпреступности» .CS1 maint: числовые имена: список авторов ( ссылка )
- ^ Писатель, штат. «Бюро назвало преступников-вымогателей» . www.taipeitimes.com . Тайбэй Таймс . Проверено 22 мая 2020 .
- ^ Тартар, Матье; Смолар, Мартин. «Нет,« Игра окончена »для Winnti Group» . www.welivesecurity.com . Мы живем в безопасности . Проверено 22 мая 2020 .
- ^ Гринберг, Энди. «Китайские хакеры разграбили тайваньскую полупроводниковую промышленность» . www.wired.com . Проводной . Дата обращения 7 августа 2020 .
- ^ Чен, Джоуи. «Спина тропического солдата: атака USB-парома нацелена на воздушные зазоры» . blog.trendmicro.com . Trend Micro . Дата обращения 16 мая 2020 .
- ^ Чимпану, Каталин. «Хакеры нацелены на воздушные зазоры тайваньских и филиппинских военных» . www.zdnet.com . ZDnet . Дата обращения 16 мая 2020 .
- ^ Naraine, Райан (2021-03-02). «Microsoft: несколько серверов Exchange Zero-Days под атакой китайской хакерской группы» . securityweek.com . Проводные деловые СМИ . Источник 2021-03-03 .
- ^ Берт, Том (2021-03-02). «Новые кибератаки национальных государств» . blogs.microsoft.com . Microsoft . Источник 2021-03-03 .
- ^ "Pioneer Kitten APT продает доступ к корпоративной сети" . угрозаpost.com .
- ^ «Уравнение: Звезда Смерти вредоносного ПО Galaxy» . Лаборатория Касперского . 2015-02-16. Архивировано 11 июля 2019 года . Проверено 23 июля 2019 .
- ^ Галлахер, Шон. «Касперский считает, что Узбекистан взломан… потому что группа использовала Kaspersky AV» . arstechnica.com . Ars Technica . Дата обращения 5 октября 2019 .
- ^ Panda, Анкит. «Наступательные кибер-возможности и разведка общественного здравоохранения: Вьетнам, APT32 и COVID-19» . thediplomat.com . Дипломат . Проверено 29 апреля 2020 .
- ^ Танриверди, Хакан; Цирер, Макс; Веттер, Анн-Катрин; Бирманн, Кай; Нгуен, Тхи До (8 октября 2020 г.). Ниерле, Верена; Шёффель, Роберт; Врещниок, Лиза (ред.). «Попался в прицел вьетнамских хакеров» . Bayerischer Rundfunk .
В случае с Буи следы ведут к группе, предположительно действующей от имени вьетнамского государства.
У экспертов есть много названий для этой группы: наиболее известны APT 32 и Ocean Lotus.
В беседах с десятком специалистов по информационной безопасности все они сошлись во мнении, что это вьетнамская группировка, шпионящая, в частности, за собственными соотечественниками.
Дальнейшее чтение [ править ]
- Рекомендации Gartner по устранению сложных постоянных угроз
- Bell Canada, Борьба с роботизированными сетями и их контроллерами: PSTP08-0107eSec, 06 мая 2010 г. (PSTP)
- Готовьтесь к пост-криптовалютному миру, крестный отец предупреждает о шифровании
- Оборонные исследования: Темный космический проект APT0
- Gartner: стратегии борьбы с расширенными целевыми атаками
- XM Cyber: удаленное заражение файлов с помощью APT-атаки
- Secdev, «GhostNet» была крупномасштабной операцией кибершпионажа, обнаруженной в марте 2009 года.
- Секдев, «Тени в облаке». Сложная экосистема кибершпионажа, которая систематически нацелена на компьютерные системы в Индии, офисах Далай-ламы, ООН и некоторых других странах и взламывает их.
- Список расширенных групп постоянных угроз
- FireEye: расширенные группы постоянных угроз
- Сообщество безопасности MITER ATT & CK отслеживало страницы Advanced Persistent Group Pages