Obsah:
Útok na počítačovú sieť už nie je hlavnou novinkou, ale existuje iný typ útoku, ktorý znepokojuje kybernetickú bezpečnosť na ďalšiu úroveň. Tieto útoky sa nazývajú pokročilé pretrvávajúce hrozby (APT). Zistite, ako sa líšia od každodenných hrozieb a prečo sú schopní spôsobiť toľko škody pri našej kontrole niektorých významných prípadov, ku ktorým došlo v posledných rokoch. (Pre čítanie na pozadí si pozrite 5 najstrašidelnejších hrozieb v technike.)
Čo je APT?
Pojem pokročilá pretrvávajúca hrozba (APT) sa môže vzťahovať na útočníka s podstatnými prostriedkami, organizáciou a motiváciou na uskutočnenie trvalého kybernetického útoku na cieľ.
APT nie je prekvapujúce, že je pokročilý, vytrvalý a ohrozujúci. Je to pokročilé riešenie, pretože využíva metódy utajenia a viacnásobných útokov, aby ohrozil cieľ, často vysoko hodnotný podnikový alebo vládny zdroj. Tento typ útoku je tiež ťažké zistiť, odstrániť a pripísať konkrétnemu útočníkovi. A čo je horšie, akonáhle je cieľ porušený, často sa vytvárajú zadné vrátka, aby poskytli útočníkovi nepretržitý prístup k ohrozenému systému.
APT sa považujú za perzistentné v tom zmysle, že útočník môže stráviť mesiace zhromažďovaním spravodajských informácií o cieli a používať tieto spravodajské informácie na spustenie viacerých útokov počas dlhšieho časového obdobia. Je to hrozivé, pretože páchatelia často prichádzajú po vysoko citlivých informáciách, napríklad o usporiadaní jadrových elektrární alebo kódoch, aby sa prenikli na kontraktorov obrany USA.
Útok APT má vo všeobecnosti tri základné ciele:
- Krádež citlivých informácií z cieľa
- Dohľad nad cieľom
- Sabotáž cieľa
Páchatelia APT často používajú dôveryhodné pripojenia na získanie prístupu k sieťam a systémom. Tieto spojenia možno nájsť napríklad prostredníctvom sympatického zasväteného alebo nevedomého zamestnanca, ktorý sa stáva obeťou útoku phishingu oštepom.
Ako sa APT líšia?
APT sa líšia od iných kybernetických útokov rôznymi spôsobmi. Po prvé, APT často používajú prispôsobené nástroje a techniky vniknutia - napríklad zneužitia zraniteľnosti, vírusy, červy a rootkity - navrhnuté špeciálne na prienik do cieľovej organizácie. Okrem toho APT často spúšťajú viacero útokov súčasne, aby porušili svoje ciele a zabezpečili nepretržitý prístup k cieleným systémom, niekedy vrátane návnady, ktorá podvedie cieľ, aby si myslel, že útok bol úspešne odrazený.
Po druhé, k útokom APT dochádza po dlhú dobu, počas ktorej sa útočníci pohybujú pomaly a ticho, aby sa vyhli detekcii. Na rozdiel od rýchlej taktiky mnohých útokov, ktoré začali typickí počítačoví zločinci, cieľom APT je zostať nezistený pohybom „nízko a pomaly“ s nepretržitým monitorovaním a interakciami, až kým útočníci nedosiahnu stanovené ciele.
Po tretie, APT sú navrhnuté tak, aby vyhovovali požiadavkám špionáže a / alebo sabotáže, ktoré zvyčajne zahŕňajú skrytých štátnych aktérov. Medzi ciele APT patrí zhromažďovanie vojenských, politických alebo ekonomických spravodajských informácií, dôverné údaje alebo hrozba obchodného tajomstva, prerušenie prevádzky alebo dokonca zničenie zariadenia.
Po štvrté, APT sú zamerané na obmedzený rozsah vysoko hodnotných cieľov. Útoky APT sa začali proti vládnym agentúram a zariadeniam, zmluvným dodávateľom v oblasti obrany a výrobcom špičkových produktov. Pravdepodobnými cieľmi sú aj organizácie a spoločnosti, ktoré udržiavajú a prevádzkujú vnútroštátnu infraštruktúru.
Niektoré príklady APT
Operácia Aurora bola jedným z prvých široko publikovaných APT; séria útokov proti americkým spoločnostiam bola sofistikovaná, cielená, tajná a určená na manipuláciu s cieľmi.Útoky, ktoré sa uskutočnili v polovici roku 2009, zneužili zraniteľnosť v prehľadávači Internet Explorer a umožnili útočníkom získať prístup k počítačovým systémom a stiahnuť do nich malware. Počítačové systémy boli pripojené k vzdialenému serveru a duševné vlastníctvo bolo ukradnuté spoločnostiam, medzi ktoré patrila spoločnosť Google, Northrop Grumman a Dow Chemical. (Prečítajte si o ďalších škodlivých útokoch v škodlivom softvéri: Worms, Trójske kone a Bots, Oh My!)
Stuxnet bol prvý APT, ktorý použil kybernetický útok na narušenie fyzickej infraštruktúry. Podľa očakávaní, že boli vyvinuté Spojenými štátmi a Izraelom, sa červ Stuxnet zameriaval na systémy priemyselnej kontroly iránskej jadrovej elektrárne.
Hoci sa zdá, že Stuxnet bol vyvinutý na útok na iránske jadrové zariadenia, rozšírilo sa ďaleko za svoj plánovaný cieľ a mohlo by sa použiť aj proti priemyselným zariadeniam v západných krajinách vrátane Spojených štátov.
Jedným z najvýznamnejších príkladov APT bolo porušenie RSA, spoločnosti zaoberajúcej sa počítačovou a sieťovou bezpečnosťou. V marci 2011 RSA prekonala netesnosť, keď ju prenikol útok oštepom, ktorý priviazal jedného z jeho zamestnancov a vyústil v obrovský úlovok pre kybernetických útočníkov.
V otvorenom liste adresovanom RSA, ktorý zákazníci zaslali na webovú stránku spoločnosti v marci 2011, výkonný predseda predstavenstva Art Coviello uviedol, že dômyselný útok APT extrahoval cenné informácie súvisiace s jeho dvojfaktorovým autentifikačným produktom SecurID, ktorý používajú vzdialení pracovníci na bezpečný prístup k sieti spoločnosti.,
„Zatiaľ čo sme si istí, že extrahované informácie neumožňujú úspešný priamy útok na ktoréhokoľvek z našich zákazníkov RSA SecurID, tieto informácie by sa mohli potenciálne použiť na zníženie efektívnosti súčasnej dvojfaktorovej implementácie autentifikácie ako súčasť širšej útok, “povedal Coviello.
Ukázalo sa však, že Coviello sa mýlil, pretože mnohí zákazníci tokenov RSA SecurID, vrátane amerického obranného gigantu Lockheed Martin, hlásili útoky vyplývajúce z porušenia RSA. V snahe obmedziť škody sa RSA dohodla na výmene žetónov pre svojich kľúčových zákazníkov.
Kde sú APT?
Jedna vec je istá: APT budú pokračovať. Pokiaľ existujú citlivé informácie, ktoré sa dajú ukradnúť, organizované skupiny sa za nimi vydajú. A pokiaľ budú existovať národy, bude existovať špionáž a sabotáž - fyzická alebo počítačová.
Už existuje nadviazanie na červa Stuxnet, prezývaný Duqu, ktorý bol objavený na jeseň roku 2011. Rovnako ako agent na spanie, aj Duqu sa rýchlo začlenil do kľúčových priemyselných systémov a zhromažďuje spravodajské informácie a skracuje čas. Uisťujeme vás, že študuje konštrukčné dokumenty s cieľom nájsť slabé miesta pre budúce útoky.
Bezpečnostné hrozby 21. storočia
Stuxnet, Duqu a ich dediči určite budú čoraz viac trápiť vlády, prevádzkovateľov kritickej infraštruktúry a profesionálov v oblasti informačnej bezpečnosti. Je na čase brať tieto hrozby rovnako vážne ako svetské problémy s informačnou bezpečnosťou každodenného života v 21. storočí.
