Постоянная угроза повышенной сложности - Advanced persistent threat
An продвинутая постоянная угроза (APT) скрытный субъект угрозы, как правило, национальное государство или спонсируемая государством группа, которая получает несанкционированный доступ к компьютерная сеть и остается незамеченным в течение длительного периода.[1][2] В последнее время этот термин может также относиться к негосударственным спонсируемым группам, проводящим крупномасштабные целевые вторжения для определенных целей.[3]
Мотивация таких субъектов угрозы обычно носит политический или экономический характер. Каждый крупный бизнес сектор зафиксировал случаи кибератаки продвинутыми участниками с конкретными целями, стремящимися украсть, шпионить или мешать. Эти секторы включают правительство, защита, финансовые услуги, юридические услуги, промышленный, телекоммуникации, товары народного потребления и многое другое.[4][5][6] Некоторые группы используют традиционные шпионаж векторы, в том числе социальная инженерия, человеческий интеллект и проникновение чтобы получить доступ к физическому местоположению для сетевых атак. Целью этих атак является установка пользовательского вредоносное ПО.[7]
Среднее время ожидания, то есть время, в течение которого APT-атака остается незамеченной, сильно различается в зависимости от региона. FireEye сообщает среднее время ожидания за 2018 г. в Америка 71 день, EMEA составляет 177 дней и APAC составляет 204 дня.[4] Это дает злоумышленникам значительное количество времени, чтобы пройти цикл атаки, распространиться и достичь своей цели.
Определение
Определения того, что такое APT, могут различаться, но их можно резюмировать по названным ниже требованиям:
- Передовой - Операторы, стоящие за угрозой, имеют в своем распоряжении полный спектр методов сбора разведданных. Они могут включать коммерческие компьютерные технологии и методы вторжения с открытым исходным кодом, но могут также распространяться на разведывательный аппарат государства. Хотя отдельные компоненты атаки нельзя считать особо "продвинутыми" (например, вредоносное ПО компоненты, созданные из общедоступных самодельных конструкторов вредоносных программ или с использованием легко добываемых материалов для эксплойтов), их операторы обычно могут получить доступ и разработать более продвинутые инструменты по мере необходимости. Они часто сочетают в себе несколько методов, инструментов и приемов нацеливания, чтобы достичь и скомпрометировать свою цель и сохранить к ней доступ. Операторы могут также продемонстрировать сознательное внимание к операционной безопасности, которое отличает их от «менее сложных» угроз.[3][8][9]
- Настойчивый - Операторы преследуют конкретные цели, а не ищут информацию для получения финансовой или иной выгоды. Это различие означает, что злоумышленники руководствуются внешними объектами. Таргетинг осуществляется посредством постоянного мониторинга и взаимодействия для достижения поставленных целей. Это не означает шквал постоянных атак и обновлений вредоносных программ. На самом деле, обычно более успешен подход «низко-медленно». Если оператор теряет доступ к своей цели, он обычно повторяет попытку доступа, и чаще всего успешно. Одна из целей оператора - поддерживать долгосрочный доступ к цели, в отличие от угроз, которым доступ нужен только для выполнения определенной задачи.[8][10]
- Угроза - APT представляют собой угрозу, потому что у них есть как возможности, так и намерения. APT-атаки выполняются скоординированными действиями человека, а не бессмысленными и автоматизированными фрагментами кода. Операторы преследуют конкретную цель, они квалифицированы, мотивированы, организованы и хорошо финансируются. Актеры не ограничиваются группами, спонсируемыми государством.[3][8]
Критерии
Одна из первых теорий определения критериев[11] как угроза для оппортунистического континуума - APT как постоянный или непостоянный был впервые предложен в 2010 году. Эти критерии APT в настоящее время широко используются в отрасли и основаны на оценке следующих деталей:[12]
- Цели - Конечная цель вашей угрозы, вашего противника.
- Своевременность - время, потраченное на зондирование и доступ к вашим системам.
- Ресурсы - уровень знаний и инструментов, используемых в мероприятии.
- Устойчивость к риску (со стороны противника) - Степень, в которой угроза останется незамеченной.
- Навыки и методы - инструменты и методы, используемые на протяжении всего мероприятия.
- Действия - точные действия угрозы или множества угроз.
- Точки начала атаки - количество точек, в которых возникло событие.
- Числа, задействованные в атаке - сколько внутренних и внешних систем было задействовано в событии и сколько систем людей имеют разные веса влияния / важности.
- Источник знаний - способность распознавать любую информацию относительно любой из конкретных угроз посредством сбора информации в Интернете.
История и цели
В Великобритании и США были опубликованы предупреждения против целевых электронных писем с использованием социальных сетей, в которых трояны сбрасываются с целью извлечения конфиденциальной информации. CERT организаций в 2005 году. Этот метод использовался в начале 1990-х годов и сам по себе не является APT. Термин «продвинутая постоянная угроза» был процитирован как возникший из ВВС США в 2006 г.[13] с полковником Грегом Рэттреем, названным человеком, который ввел термин.[14] Однако термин APT использовался операторами связи несколько лет назад.[нужна цитата ]
В Stuxnet компьютерный червь, которые были нацелены на компьютерное оборудование Ядерная программа Ирана, является одним из примеров APT-атаки. В этом случае иранское правительство могло бы рассматривать создателей Stuxnet как серьезную постоянную угрозу.[нужна цитата ]
В рамках компьютерная безопасность сообщества, и все чаще в средствах массовой информации, этот термин почти всегда используется в отношении долгосрочной модели использования изощренных компьютерных сетей, нацеленной на правительства, компании и политических активистов, и, в более широком смысле, также для приписывания A, P и T атрибуты групп, стоящих за этими атаками.[15] Термин «продвинутая постоянная угроза» (APT) может смещать акцент на компьютерный взлом из-за растущего числа случаев. Компьютерный мир сообщила о 81-процентном увеличении с 2010 по 2011 годы особо сложных целевых компьютерных атак.[16]
Актеры многих стран использовали киберпространство как средство сбора информации об отдельных лицах и группах лиц, представляющих интерес.[17][18][19] В Киберкомандование США поручено координировать наступательные и оборонительные действия вооруженных сил США. кибер операции.[20]
Многочисленные источники утверждали, что некоторые группы APT связаны с правительствами или являются их агентами. суверенные государства.[21][22][23]Компании, владеющие большим количеством личная информация подвержены высокому риску стать объектом постоянных угроз повышенной сложности, в том числе:[24]
- Высшее образование[25]
- Финансовые учреждения
- Энергия
- Транспорт
- Технологии
- Здравоохранение
- Телекоммуникации
- Производство
- сельское хозяйство[26]
Исследование Bell Canada предоставило глубокое исследование анатомии APT и выявило их широкое присутствие в канадском правительстве и критической инфраструктуре. Установлена атрибуция китайских и российских актеров.[27]
Жизненный цикл
Лица, стоящие за продвинутыми постоянными угрозами, создают растущий и изменяющийся риск для финансовых активов, интеллектуальной собственности и репутации организаций.[28] следуя непрерывному процессу или убить цепь:
- Ориентация на конкретные организации для единственной цели
- Попытка закрепиться в окружающей среде (распространенная тактика включает целевой фишинг электронные письма)
- Использовать скомпрометированные системы как доступ к целевой сети
- Разверните дополнительные инструменты, которые помогут выполнить цель атаки
- Скрыть следы, чтобы сохранить доступ для будущих инициатив
Глобальный ландшафт APT из всех источников иногда упоминается в единственном числе как «APT», как и ссылки на исполнителя, стоящего за конкретным инцидентом или серией инцидентов, но определение APT включает в себя как исполнителя, так и метод.[29]
В 2013 году Mandiant представил результаты своего исследования предполагаемых китайских атак с использованием метода APT в период с 2004 по 2013 год.[30] которые следовали аналогичному жизненному циклу:
- Первоначальный компромисс - выполняется с использованием социальная инженерия и целевой фишинг, по электронной почте, используя вирусы нулевого дня. Еще одним популярным методом заражения была посадка вредоносное ПО на веб-сайте, который, скорее всего, посетят сотрудники жертвы.
- Установить точку опоры - растение программное обеспечение для удаленного администрирования в сети жертвы создавать сетевые бэкдоры и туннели, позволяющие скрытно получить доступ к ее инфраструктуре.
- Повышайте привилегии - использовать подвиги и взлом пароля получить права администратора на компьютере жертвы и, возможно, расширить его до Домен Windows учетные записи администратора.
- Внутренняя разведка - собирать информацию об окружающей инфраструктуре, доверительных отношениях, Домен Windows структура.
- Двигайтесь в сторону - распространить управление на другие рабочие станции, серверы и элементы инфраструктуры и выполнять сбор данных на них.
- Поддерживать присутствие - обеспечить непрерывный контроль над каналами доступа и учетными данными, полученными на предыдущих этапах.
- Завершить миссию - вывести украденные данные из сети жертвы.
В инцидентах, проанализированных Mandiant, средний период, в течение которого злоумышленники контролировали сеть жертвы, составлял один год, а самый длинный - почти пять лет.[30] Проникновение предположительно было осуществлено базирующейся в Шанхае Отряд 61398 из Народно-освободительная армия. Китайские официальные лица отрицают свою причастность к этим нападениям.[31]
В предыдущих сообщениях Secdev ранее были обнаружены и замешаны китайские игроки.[32]
Стратегии смягчения последствий
Существуют десятки миллионов разновидностей вредоносных программ,[33] что делает чрезвычайно сложной защиту организаций от APT. В то время как действия APT незаметны и их трудно обнаружить, командный сетевой трафик, связанный с APT, может быть обнаружен на уровне сетевого уровня с помощью сложных методов. Глубокий анализ журналов и корреляция журналов из различных источников имеют ограниченную полезность при обнаружении APT-активности. Сложно отделить шумы от легального трафика. Традиционные технологии и методы безопасности оказались неэффективными при обнаружении или устранении APT-атак.[34] Активная киберзащита повысила эффективность обнаружения и преследования APT (найти, исправить, завершить) при применении разведка киберугроз для охоты и преследования противников.[35][36]
APT-группы
Китай
По словам исследователя в области безопасности Тимо Стеффенса, «APT-среда в Китае используется для« всей страны »с привлечением навыков университетов, отдельных лиц, частного и государственного секторов».[37]
Основные группы
- PLA Unit 61398 (также известный как APT1)
- PLA Unit 61486 (также известный как APT2)
- Buckeye (также известный как APT3)[38]
- Красный Аполлон (также известный как APT10)
- Номерная панда (также известный как APT12)
- Команда Кодозо (также известный как APT19)
- Wocao (также известный как APT20)[39][40]
- PLA Unit 78020 (также известный как APT30 и Найкон )
- Цирконий[41] (также известный как APT31)[42]
- Группа перископа (также известный как APT40)
- Двойной дракон (хакерская организация)[43] (также известный как APT41, Winnti Group, Barium или Axiom)[44][45][46]
- Тропический солдат[47][48]
Иран
- Elfin Team (также известный как APT33)
- Котенок Хеликс (также известный как APT34)
- Очаровательный котенок (также известный как APT35)
- APT39
- Пионерский котенок[49]
Израиль
Северная Корея
- Рикошет Чоллима (также известный как APT37)
- Lazarus Group (также известный как APT38)
Россия
- Необычный медведь (также известный как APT28)
- Уютный медведь (также известный как APT29)
- Медведь вуду
- Ядовитый медведь
Соединенные Штаты
Узбекистан
- SandCat (связанный с Служба национальной безопасности (Узбекистан) )[51]
Вьетнам
- OceanLotus (также известен как APT32 )[52][53]
Смотрите также
Рекомендации
- ^ "Что такое расширенная постоянная угроза (APT)?". www.kaspersky.com. Получено 2019-08-11.
- ^ "Что такое расширенная постоянная угроза (APT)?". Cisco. Получено 2019-08-11.
- ^ а б c Мэлони, Сара. "Что такое расширенная постоянная угроза (APT)?". Получено 2018-11-09.
- ^ а б «Тенденции кибербезопасности M-Trends». FireEye. Получено 2019-08-11.
- ^ «Киберугрозы для финансовых услуг и страховой индустрии» (PDF). FireEye. Архивировано из оригинал (PDF) 11 августа 2019 г.
- ^ «Киберугрозы для розничной торговли и индустрии потребительских товаров» (PDF). FireEye. Архивировано из оригинал (PDF) 11 августа 2019 г.
- ^ «Постоянные угрозы повышенной сложности: взгляд Symantec» (PDF). Symantec. Архивировано из оригинал (PDF) 8 мая 2018 г.
- ^ а б c «Расширенные постоянные угрозы (APT)». Управление ИТ.
- ^ «Расширенная постоянная осведомленность об угрозах» (PDF). TrendMicro Inc.
- ^ «Разъяснение: Расширенная постоянная угроза (APT)». Лаборатория Malwarebytes. 2016-07-26. Получено 2019-08-11.
- ^ «Обратный обман: противодействие организованной киберугрозе». 3 июля 2012 г. - через www.mheducation.com.
- ^ "Бен Ротке Слэшдот". Получено 8 мая 2019.
- ^ «Оценка исходящего трафика для выявления повышенной постоянной угрозы» (PDF). Технологический институт SANS. Получено 2013-04-14.
- ^ «Представляем Forrester's Cyber Threat Intelligence Research». Forrester Research. Архивировано из оригинал на 2014-04-15. Получено 2014-04-14.
- ^ «Продвинутые постоянные угрозы: азбука APT - часть A». SecureWorks. SecureWorks. Получено 23 января 2017.
- ^ Олавсруд, Тор. «Целевые атаки увеличились, стали более разнообразными в 2011 году». PCWorld.
- ^ «Развивающийся кризис». BusinessWeek. 10 апреля 2008 г. В архиве из оригинала 10 января 2010 г.. Получено 2010-01-20.
- ^ «Новая угроза электронного шпионажа». BusinessWeek. 10 апреля 2008 г. Архивировано с оригинал 18 апреля 2011 г.. Получено 2011-03-19.
- ^ "Google под атакой: высокая стоимость ведения бизнеса в Китае". Der Spiegel. 2010-01-19. В архиве из оригинала 21 января 2010 г.. Получено 2010-01-20.
- ^ "Командир обсуждает десятилетие кибервилы Министерства обороны США". ДЕПАРТАМЕНТ ОБОРОНЫ США. Получено 2020-08-28.
- ^ «Под киберугрозой: подрядчики по обороне». BusinessWeek. 6 июля 2009 г. В архиве из оригинала 11 января 2010 г.. Получено 2010-01-20.
- ^ «Понимание расширенной постоянной угрозы». Том Паркер. 4 февраля 2010 г.. Получено 2010-02-04.
- ^ «Продвинутая постоянная угроза (или операции с информационными силами)» (PDF). Усеникс, Майкл К. Дейли. 4 ноября 2009 г.. Получено 2009-11-04.
- ^ «Анатомия расширенной постоянной угрозы (APT)». Dell SecureWorks. Получено 2012-05-21.
- ^ Ингерман, Брет. «Десять главных вопросов ИТ, 2011». Обзор Educause.
- ^ Хоакин Джей Гонсалес III , РоджерЛ Кемп (2019-01-16). Кибербезопасность: текущие публикации об угрозах и защите. МакФарланд, 2019. стр. 69. ISBN 9781476674407.
- ^ Правительство Канады, Государственные службы и закупки Канады. "Информационный архив в Интернете" (PDF). публикации.gc.ca.
- ^ «Преодоление сложных и уклончивых угроз вредоносного ПО». Secureworks. Secureworks Insights. Получено 24 февраля 2016.
- ^ EMAGCOMSECURITY (9 апреля 2015 г.). «Группа APT (Advanced Persistent Threat)». Получено 15 января 2019.
- ^ а б «APT1: разоблачение одного из подразделений кибершпионажа Китая». Mandiant. 2013.
- ^ «Китай заявляет, что обвинениям США во взломе не хватает технических доказательств». Рейтер. 2013.
- ^ «GhostNet» была масштабной операцией кибершпионажа » (PDF).
- ^ RicMessier (30 октября 2013 г.). Сертификация GSEC GIAC Security Essentials Все. McGraw Hill Professional, 2013. стр. xxv. ISBN 9780071820912.
- ^ «Анатомия атаки APT (Advanced Persistent Threat)». FireEye. Получено 2020-11-14.
- ^ «Анализ угроз в активной киберзащите (часть 1)». Записанное будущее. 2015-02-18. Получено 2020-11-14.
- ^ «Анализ угроз в активной киберзащите (часть 2)». Записанное будущее. 2015-02-24. Получено 2020-11-14.
- ^ Стоун, Джефф. «Иностранные шпионы используют подставные компании, чтобы замаскировать свои взломы, заимствуя старую тактику маскировки». www.cyberscoop.com. Cyberscoop. Получено 11 октября 2020.
- ^ «Бакай: Шпионаж использовала инструменты группы Equation до утечки теневых брокеров». Symantec. 2019-05-07. В архиве из оригинала на 2019-05-07. Получено 2019-07-23.
- ^ 2019-12-19. "Wocao APT20" (PDF).CS1 maint: числовые имена: список авторов (связь)
- ^ Виджаян, Джай. «Китайская кибершпионажная группа, нацеленная на организации в 10 странах». www.darkreading.com. Темное чтение. Получено 12 января 2020.
- ^ Lyngaas, Шон. «Правильная страна, неправильная группа? Исследователи говорят, что не APT10 взломал норвежскую софтверную фирму».. www.cyberscoop.com. Cyberscoop. Получено 16 октября 2020.
- ^ Lyngaas, Шон. «Google предлагает подробную информацию о китайской хакерской группе, нацеленной на кампанию Байдена». www.cyberscoop.com. Cyberscoop. Получено 16 октября 2020.
- ^ 2019-10-16. «Двойной дракон APT41, операция по двойному шпионажу и киберпреступности».CS1 maint: числовые имена: список авторов (связь)
- ^ Писатель, Персонал. "Бюро назвало виновных в программах-вымогателях". www.taipeitimes.com. Тайбэй Таймс. Получено 22 мая 2020.
- ^ Тартар, Матьё; Смолар, Мартин. «Нет, игра окончена» для Winnti Group ». www.welivesecurity.com. Мы живем в безопасности. Получено 22 мая 2020.
- ^ Гринберг, Энди. «Китайские хакеры разграбили тайваньскую полупроводниковую промышленность». www.wired.com. Проводной. Получено 7 августа 2020.
- ^ Чен, Джоуи. "Спина тропического солдата: атака USB-парома нацелена на воздушные зазоры". blog.trendmicro.com. Trend Micro. Получено 16 мая 2020.
- ^ Чимпану, Каталин. «Хакеры нацелены на закрытые сети тайваньских и филиппинских военных». www.zdnet.com. ZDnet. Получено 16 мая 2020.
- ^ "Pioneer Kitten APT продает доступ к корпоративной сети". угрозаpost.com.
- ^ "Уравнение: Звезда смерти галактики вредоносных программ". Лаборатория Касперского. 2015-02-16. В архиве из оригинала на 2019-07-11. Получено 2019-07-23.
- ^ Галлахер, Шон. «Касперский обнаружил, что Узбекистан взломан… потому что группа использовала Kaspersky AV». arstechnica.com. Ars Technica. Получено 5 октября 2019.
- ^ Панда, Анкит. «Наступательные кибер-возможности и разведка общественного здравоохранения: Вьетнам, APT32 и COVID-19». thediplomat.com. Дипломат. Получено 29 апреля 2020.
- ^ Танриверди, Хакан; Зирер, Макс; Веттер, Анн-Катрин; Бирманн, Кай; Нгуен, Тхи До (8 октября 2020 г.). Ниерле, Верена; Шёффель, Роберт; Врещниок, Лиза (ред.). «Попался в прицел вьетнамских хакеров». Bayerischer Rundfunk.
В случае с Буи следы ведут к группе, предположительно действующей от имени вьетнамского государства. У экспертов есть много названий для этой группы: наиболее известны APT 32 и Ocean Lotus. В беседах с десятком специалистов по информационной безопасности все они сошлись во мнении, что это вьетнамская группировка, шпионящая, в частности, за собственными соотечественниками.
дальнейшее чтение
- Gartner Рекомендации по устранению сложных постоянных угроз
- Bell Canada, Борьба с роботизированными сетями и их контроллерами: PSTP08-0107eSec, 06 мая 2010 г. (PSTP)
- Готовьтесь к пост-криптовалютному миру, крестный отец предупреждает о шифровании
- Оборонные исследования: Темный космический проект APT0
- Gartner: стратегии борьбы с расширенными целевыми атаками
- XM Cyber: удаленное заражение файлов с помощью APT-атаки
- Secdev, «GhostNet» была крупномасштабной операцией кибершпионажа, обнаруженной в марте 2009 года.
- Секдев, «Тени в облаке». Сложная экосистема кибершпионажа, систематически нацеленная на компьютерные системы в Индии, офисах Далай-ламы, Организации Объединенных Наций и некоторых других странах и взламывающая их.
- Список расширенных групп постоянных угроз