-0.4 C
Warszawa
wtorek 19 marca • 2024
Strona głównaTECHNIKACYBERBEZPIECZEŃSTWOAPT – CZYM SĄ ZAAWANSOWANE TRWAŁE ZAGROŻENIA?

APT – CZYM SĄ ZAAWANSOWANE TRWAŁE ZAGROŻENIA?

Advance Presistent Threat (APT) czyli Zaawansowane Trwałe Zagrożenia, to próby włamania i długotrwałej infiltracji zasobów sieciowych i systemowych ofiary. Ataki te ukierunkowane są przeciwko organizacjom, głównie państwowym lub konkretnym osobom.

Ataki APT polegają na wyrafinowanych i uporczywych czynnościach zmierzających do złamania zabezpieczeń sieci lub systemu komputerowego. Z uwagi na znaczne koszty takich ataków, są one przeprowadzane przez zorganizowane grupy cyberprzestępców lub są sponsorowane przez poszczególne państwa.

APT – znaczenie skrótu

Atak ten można tłumaczyć jako Zaawansowane Trwałe Zagrożenia i zdefiniować go jako „grupę wyrafinowanych, zdeterminowanych i skoordynowanych atakujących, którzy przez długookres czasu systematycznie kompromitują sieci komputerowe poszczególnych rządów i sektora komercyjnego”. Co więc kryje się pod nazwą tego ataku?

Zaawansowane (Advanced) – osoby stojące za przeprowadzeniem ataku APT dysponują pełnym spektrum zbierania danych wywiadowczych, od komercyjnych i otwartych technologii i technik włamań komputerowych po aparaturę wywiadowczą konkretnego państwa. Co ciekawe, poszczególne komponenty ataku mogą nie być szczególnie „zaawansowane”, np. elementy, z których buduje się malware mogą być wygenerowane z powszechnie dostępnych frameworków do tworzenia złośliwego oprogramowania lub poprzez użycie łatwo dostępnych exploitów. Jednakże często zdarza się, że komponenty zbudowane są z bardziej zaawansowanych narzędzi, dostosowanych do konkretnych potrzeb, potrafiących dokonywać rekompilacji kodu w czasie rzeczywistym. Narzędzia te często łączą wiele metod oraz innych narzędzi i technik, które mają umożliwić dotarcie do celu, zachowania jak najdłuższego dostępu do systemów informatycznych ofiary, aby jak najdłużej móc wykradać istotne dla zlecającego lub hakerów informacje. Zaawansowanie ataku APT przejawia się także w tym, iż przeprowadzający go ludzie mogą również celowo skupiać się na bezpieczeństwie operacyjnym, aby jak najdłużej pozostać niewykrytym przez ofiarę ataku.

Trwałe (Persistent) – osoby stojące za przeprowadzeniem takiego ataku mają określone cele i nie kierują się oportunistycznym poszukiwaniem informacji w celu uzyskania korzyści, np. finansowych. Oznacza to, że osoby odpowiedzialne za ataki APT posługują się podmiotami zewnętrznymi (zwykle zorganizowanymi grupami cyberprzestępców). Określanie celów odbywa się poprzez nieustanny monitoring celu i interakcję z ofiarą, co nie jest tożsame z lawiną ciągłych ataków i aktualizacji złośliwego oprogramowania. W rzeczywistości stosowane jest zgoła odmienne podejście, polegające na powolnej i niezwykle szczegółowej infiltracji. Jeżeli atakujący utraci dostęp do swojego celu, to zwykle ponawia próbę dostępu, co przeważnie kończy się sukcesem. Warto zaznaczyć, że celem cyberprzestępców jest utrzymanie długoterminowego dostępu do zasobów ofiary, w przeciwieństwie do innych ataków hakerskich, które opierają się na krótkotrwałych dostępach umożliwiających wykonanie określonego zadania.

Zagrożenia (Threats) – ataki APT stanowią znaczne zagrożenia, ponieważ wykonywane są przez skoordynowane działania ludzkie, a nie bezmyślne i zautomatyzowane fragmenty kodu. Atakujący mają określony cel i są wykwalifikowani, zmotywowani, zorganizowani i wysoko wynagradzani oraz nie ograniczają się do grup sponsorowanych przez poszczególne państwa.

Bardziej szczegółowo o Advane Persistent Threat

Praktycznie każdy atak APT jest skrupulatnie zaplanowany i poprzedzony dogłębnym rekonesansem, co oznacza, że ofiara jest obserwowana przez długi czas, aby zebrać o niej jak najwięcej informacji. Właśnie te niezwykle szczegółowe i skrupulatne działania hakerów w głównej mierze odróżniają ten typ ataku od ataków phishingowych.

Jak wspomniałem we wstępie Zaawansowane Trwałe Zagrożenia polegają na długotrwałej infiltracji sieci lub systemu komputerowego konkretnej firmy, organizacji czy osoby fizycznej. W szczególności hakerzy atakują systemy informatyczne instytucji finansowych, organizacji rządowych, wojskowych oraz dyplomatycznych, a także firm telekomunikacyjnych i energetycznych, mediów, firm prywatnych, aktywistów i przywódców politycznych. Natomiast w ścisłej czołówce najczęściej atakowanych branż znajdują się następujące branże: edukacyjna, finansowa, wysokich technologii, kosmiczna i lotnicza, energetyczna, chemiczna, telekomunikacyjna, medyczna i konsultingowa.

Przeprowadzenie skutecznego ataku APT jest nierozerwalnie związane z koniecznością przełamania lub obejścia zabezpieczeń sieci lub systemu komputerowego. Jednakże z uwagi na to, że atak APT przeprowadzany jest przez bardzo uzdolnionych i dobrze finansowanych cyberprzestępców, ten etap nie stanowi większej przeszkody, w szczególności że często hakerzy wykorzystują znane i niezałatane luki w zabezpieczeniach lub luki typu 0-day, czyli uchybienia w zabezpieczeniach oprogramowania, które jeszcze nie są znane twórcom podatnego oprogramowania. Dodatkowo do obejścia lub przełamania zabezpieczeń stosowana jest socjotechnika, zainfekowane urządzenia lub ataki na łańcuchy dostaw, przy czym narzędzia użyte w tych atakach są zdecydowanie bardziej wyrafinowane od zwykle stosowanych przez hakerów. Narzędzia te służą do umieszczenia niestandardowego złośliwego kodu na jednym lub większej liczbie urządzeń i pozostawienie go niewykrywalnym przez jak najdłuższy czas, który należy liczyć w miesiącach lub nawet w latach.

Jakie są cele ataków APT?

Motywacje cyberprzestępców są zazwyczaj polityczne lub ekonomiczne. Co ważne, w każdym większym sektorze biznesowym zostały odnotowane przypadki ataków APT. Z uwagi na konieczność przeznaczenia znacznych środków w celu przeprowadzenie tego typu ataku, ofiarami padają najczęściej agencje i organizacje rządowe lub firmy, których infiltracja zasobów może dać cyberprzestępcom znaczące zyski. Stąd też obok szpiegostwa głównym celem ataków jest własność intelektualna, a w szczególności innowacyjne projekty oraz wrażliwe i tajne dane, które są przechowywane w firmowej sieci. Niestety tego typu ataki mogą powodować realne szkody i paraliżować działanie zaatakowanej firmy. Przykładem może być atak z września 2012 roku na Saudi Aramco, który sparaliżował 30 000 komputerów lub słynny Stuxnet, o którym pisałem w artykule o 10 największych atakach hakerskich.

APT – „cykl życia”

W pierwszej kolejności typowany jest cel ataku. Jak wspomniałem wyżej może to być konkretna firma, organizacja lub osoba fizyczna.

Następnie dokonywane jest włamanie wstępne, do którego stosuje się socjotechnikę, spear phishing, phishing z użyciem poczty elektronicznej (wiadomości email) oraz wykorzystywaniem luk typu 0-day. Ponadto stosowane jest zamieszczanie złośliwego oprogramowania na stronie internetowej, którą z dużą dozą prawdopodobieństwa odwiedzą pracownicy ofiary.

Kolejno zdobywany jest przyczółek, czyli instalowane jest oprogramowanie do zdalnego zarządzania siecią ofiary, tworzone są sieciowe backdoory i tunele umożliwiające niejawny dostęp do infrastruktury ofiary.

Następnie dokonywana jest eskalacja uprawnień, do czego stosuje się exploity oraz narzędzia służące do łamania haseł. Na tym etapie ataku cyberprzestępcom zależy na uzyskaniu uprawnień administratora lub superużytkownika (w zależności od systemu operacyjnego) na komputerze ofiary i ewentualne rozszerzenie tych uprawnień na konta administratora domeny.

Kolejnym etapem jest przeprowadzenie wewnętrznego rekonesansu, który polega na zbieraniu informacji o infrastrukturze, relacjach zaufania, uprawnieniach dostępowych, strukturze domen.

Następnie hakerzy stosują zasadę „poruszaj się w bok”, czyli rozszerzają kontrolę na inne stacje robocze, serwery i elementy infrastruktury, po czym zbierają zapisane na nich dane.

Kolejny krok polega na utrzymaniu zdobytego dostępu, co wyraża się w zapewnieniu ciągłej kontroli nad kanałami dostępu i poświadczeniami (uprawnieniami) uzyskanymi w poprzednich krokach, co zazwyczaj trwa od kilku miesięcy do nawet kilku lat.

Ostatnim etapem jest ukończenie misji, czyli eksfiltracja skradzionych danych z sieci ofiary, polegająca na ich niezauważonym przeniesieniu w inne miejsce poza systemy i sieć ofiary.

Cały omówiony powyżej „cykl życia” dobrze prezentuje poniższa grafika:

Wikipedia

Obrona przed APT

Niestety na tego typu ataki nie ma jednego uniwersalnego środka zaradczego. Z uwagi na istnienie dziesiątków milionów odmian złośliwego oprogramowania, ochrona organizacji przed atakami APT jest niezwykle trudna. W szczególności trudne do wykrycia są działania podejmowane w ramach poszczególnych kroków opisanych powyżej. Jednakże związany z tymi krokami ruch sieciowy można wyśledzić, przy czym trudne jest oddzielenie tego ruchu od szumu sieciowego i od legalnego ruchu. Jednakże na poziomie warstwy sieci, za pomocą wyrafinowanych metod jest to możliwe. Przy czym należy podkreślić, że nawet głębokie analizy dzienników i korelacja dzienników z różnych źródeł mają ograniczoną przydatność w wykrywaniu takich ataków.

W jaki sposób zatem można się chronić przez atakami APT?

Jedynym sposobem jest posiadanie odpowiednich technologii do ochrony przed zagrożeniami APT oraz wprowadzenie stosownych procesów i szkoleń pracowników. Ponadto analiza przez zespoły cyberbezpieczęństwa przeprowadzonych ataków oraz kontakt z ich ofiarami mogą być bardzo pomocne przy tworzeniu polityk i odpowiednich narzędzi obrony. Warto zaznaczyć, że aż 95% ataków APT dotyka firm i organizacji, w których standardy bezpieczeństwa nie są wystarczające, co przejawia się w braku znajomości ryzyk i praktyk z zakresu bezpieczeństwa, braku aktualizacji użytkowanych programów czy nieposiadaniu oprogramowania antywirusowego zdolnego do walki z nowoczesnymi zagrożeniami.

Podsumowanie

Niewidoczność i kompleksowy charakter działań oraz zaawansowanie ataku po uzyskaniu dostępu do sieci ofiary stanowią konglomerat wyróżniający atak APT pośród innych ataków hakerskich i zagrożeń w branży IT.

Ponadto można śmiało stwierdzić, że dopóki firmy i organizacje będą posiadały wartościowe dane, dopóty hakerzy będą przeprowadzali ataki typu Advanced Persistent Threat. Jedynie coraz większa wiedza dotycząca takich ataków oraz stałe zwiększanie kultury cyberbezpieczeństwa w organizacjach, w szczególności poprzez inwestycje w wykwalifikowane zespoły specjalistów z zakresu bezpieczeństwa cybernetycznego mogą stanowić skuteczną broń w obronie przed atakami APT i znaczącymi stratami nie tylko finansowymi, ale także wizerunkowymi i branżowymi.

Autor: Michał Mamica

Zobacz również

SKOMENTUJ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj

Artykuły

Komentarze