APT

APT (англ. advanced persistent threat — «развитая устойчивая угроза»; также целевая кибератака [1]) — противник, обладающий современным уровнем специальных знаний и значительными ресурсами, которые позволяют ему создавать возможности для достижения целей посредством различных векторов нападения (например, информационных, физических и обманных). Эти цели обычно включают установление и расширение своего присутствия внутри информационно-технологической инфраструктуры целевой организации для осуществления намерений извлечения информации, срыва или создания помех критическим аспектам выполняемой задачи, программы или службы; либо для того, чтобы занять позицию, позволяющую осуществить эти намерения в будущем. APT, как «развитая устойчивая угроза»: добивается своих целей неоднократно в течение длительного времени; адаптируется к усилиям защищающихся оказать угрозе сопротивление; имеет установку сохранить уровень проникновения в целевой инфраструктуре, требуемый для осуществления намерений.[2][3].

Термин APT изначально использовался для описания кибернападений на военные организации, но более не ограничен военной сферой. Атака APT превосходит обычные киберугрозы, так как ориентируется на взлом конкретной цели и готовится на основании информации о ней, собираемой в течение длительного времени. APT осуществляет взлом целевой инфраструктуры посредством эксплуатации программных уязвимостей и методов «социальной инженерии»[4][5].

По состоянию на 2015 г., не выработано абсолютных методов противодействия угрозам класса APT, они продолжают развиваться. Обнаружение целевой атаки требует тщательного анализа событий безопасности за длительный срок[6]. Отличительным аспектом последствий атаки является отсутствие гарантии полного восстановления и дальнейшей безопасности. Для внедрения должных контрмер требуется глубокое понимание сущности, моделей и рисков APT[7].


Определения[ | ]

Целевая кибератака (таргетированная кибератака[1])- вид кибератаки, процесс которой контролируется вручную в реальном времени человеком, являющимся центром атаки. Целью данной атаки является хищение защищенной информации из информационной системы конкретной компании, организации или государственной службы. Важными отличительными особенностями таргетированных атак можно назвать их продолжительность, длительный и ресурсозатратный период подготовки, а также использование не только технических и компьютерных средств для её осуществления[8][9]. Комплексный подход к построению атаки может включать активное воздействие на людей с помощью психологии и методов социальной инженерии, совместно с атаками нулевого дня (zero-day exploits) на оборудование[5].

Термин APT может так же использоваться для обозначения комплекса всевозможных технических и программных средств, утилит и ПО, необходимых для совершения целевой атаки. В настоящий момент существует огромное множество всевозможных средств атаки, к которым потенциальные злоумышленники могут получить доступ в сети или на теневых рынках. Большинство современных систем безопасности не требуют создания уникальных средств для взлома и поддаются уже имеющимся инструментам в нужной комбинации и при нужной стратегии[10]

Опасность APT-атак[ | ]

Таргетированная атака может представлять серьезную угрозу информационной безопасности компании из-за сложности обнаружения и тяжести последствий. В среднем, обнаружение атаки происходит спустя 200 дней после её начала. И даже после установления факта присутствия APT в своей сети, компании не всегда способны избавиться от угрозы или хотя бы минимизировать её влияние[7]. Это приводит к долгому простою в работе вызванному попытками восстановить контроль, а также расследовать инцидент. Материальные потери от крупных атак в среднем по миру составляют $551000[11].

Основные цели атак[ | ]

APT-атака может преследовать самые разные цели[10]. А именно, хищение денежных средств или персональных данных; манипулирование бизнес-процессами, ослабление в конкурентной борьбе, шантаж и вымогательство; кража интеллектуальной собственности; попытки сделать политическое заявление либо нарушить работу городской инфраструктуры[12][13].

Этапы[ | ]

Выделяют 4 стадии целевой атаки (подготовка, проникновение, распространение, достижение цели), каждая из которых сопровождается деятельностью, направленной на сокрытие следов присутствия в системе[1].

Подготовка[ | ]

Подготовка включает в себя определение цели, нахождение максимального количества информации о ней, выявление слабых мест в системе безопасности. Затем производится выработка стратегии, подбираются средства проникновения из ранее созданных либо создаются новые, специализированные, затем они тестируются на моделях.

Выбор какой-либо организации в качестве цели, а также определение задач предстоящей атаки, производится чаще по заказу заинтересованных лиц, либо, после мониторинга рынка, в частном порядке. В качестве инструмента мониторинга обычно выступают общедоступные методы, такие как RSS-рассылки, официальные аккаунты компаний в соц сетях, различные профильные форумы, на которых могут проявлять активность сотрудники целевых компаний[10].

Дальнейшая разведка производится для обнаружения уязвимостей. И, поскольку технические средства, используемые для защиты инфосети, являются неразглашаемой информацией, структуру информационной системы и её слабости пытаются узнать любым доступным методом, в том числе посредством социальной инженерии[14].

Некоторые способы проведения разведки[15][16].

  • Инсайд. Преступники получают необходимую информацию от недавно уволенных или действующих сотрудников компании. При этом не обязательно через прямой подкуп или шантаж, экс-сотрудник может даже не осознавать, что стал источником приватных данных. Например, часто встречающийся прием: бывшего сотрудника компании приглашают на собеседование на новую должность, которая может его заинтересовать. В ходе собеседования подставной HR-специалист провоцирует сотрудника проявить свои качества, как специалиста, тем самым выдав информацию о прежнем месте работы[10].
  • Открытые источники. Недобросовестность компаний в отношении уничтожения бумажных носителей информации, выкладывание списков с именами сотрудников на официальных сайтах, государственные порталы и т. д. позволяют злоумышленникам собрать достаточно полную информацию о компании-жертве. А именно, имена сотрудников, e-mail’ы и телефоны; графики работы подразделений компании; различную внутреннюю информацию, а также информацию о бизнес-партнерах. Вся полученная таким способом информация успешно используется в методах социальной инженерии, что бы заполучить доверие и/или обмануть сотрудников компании[1][5].
  • Социальная инженерия. Включает в себя множество методов. Например, общаясь с сотрудником-жертвой через социальные сети или с помощью телефонных звонков, преступники представляются именами внутренних сотрудников, что бы получить нужную информацию или заставить сделать необходимое действие[17].

После тщательной проработки стратегии, учитывающей все этапы проникновения (в том числе действия преступников в случае нештатных ситуаций), они создают так называемый стенд (полностью действующая модель атакуемого ПО и системы безопасности). Эта модель позволяет отработать техники внедрения, отследить возможные каналы обхода средств обнаружения и убедится в возможности скрыть все следы проникновения[10].

Следует отметить, что этот и последующие этапы могут оказаться весьма денежно затратными для преступников. В частности, иногда преступникам выгоднее написать нужный набор инструментов нападения самостоятельно, нежели платить за уже готовое и не оптимизированное. Как правило, такой набор (Toolset) состоит из командного центра (C&C)[18], инструментов проникновения и основного вредоносного модуля[19].

Проникновение[ | ]

На этом этапе используются уязвимости нулевого дня, а также все возможные техники социальной инженерии. После удостоверения в проникновении на нужный хост, злоумышленник дает команду на инсталляцию вредоносного а через центр управления (C&C).

Основные средства проникновения и их назначение:

  • Эксплойт (Exploit) — основной инструмент проникновения. Чаще всего используются уязвимости в Adobe PDF,

Adobe Flash, Microsoft Office и Internet Explorer[20].Данное ПО может доставляться с помощью электронной почты, веб-сайтов или USB-устройств[21][22].

  • Валидатор — программа для сбора и проверки информации с зараженного хоста и передачи её (в зашифрованном виде) в центр управления, где человек предпринимает решение о том, стоит ли продолжать атаку. Им отдается соответствующая команда: загрузить Dropper для начала атаки, либо самоуничтожиться, если данные на хосте не имеют ценности, либо войти в процесс ожидания, если решение отложено[10]. ПО доставляется по электронной почте, через веб-сайты и гораздо реже через USB-устройства. Важной особенностью данного ПО является его безопасность для преступников. Даже в случае перехвата со стороны службы безопасности, программа не несет информации ни о самой атаке, ни об атакующих[21].
  • Downloader — программа для быстрого заражения хоста, доставляется с помощью фишинга через вложения в почте, либо через фишинговые сайты. При запуске загружает основной вредоносный модуль Payload либо Dropper.
  • Dropper — троянская программа для доставки (через скрытую автозагрузку) модуля Payload на машину жертвы. Доставляется через электронную почту, веб-сайты, эксплойт и валидатор. Обычно, программа встраивает собственный в самого активного процесса, работающего на данном компьютере, непосредственно в оперативной памяти.
  • Основной вредоносный модуль в целевой атаке, загружаемый на инфицированный хост Dropper’ом, может состоять из нескольких функциональных доп. модулей, каждый из которых будет выполнять свою функцию[10]:
    • клавиатурный шпион;
    • запись экрана;
    • удаленный доступ;
    • модуль распространения внутри инфраструктуры;
    • взаимодействие с C&C и обновление;
    • шифрование;
    • очистка следов активности, самоуничтожение;
    • чтение локальной почты;
    • поиск информации на диске.

Сам модуль создается с многоуровневым шифрованием, для защиты от обнаружения атаки и для сокрытия информации о преступниках.

Распространение[ | ]

В данную фазу злоумышленник старается максимально распространить свой по информационной сети, ориентируясь на ключевые точки — рабочие станции и сервера, необходимые для осуществления целей атаки. Он использует удаленный доступ RDP, и работает под легитимными администраторскими правами и не может быть замечен системой безопасности[23][24].

Достижение цели[ | ]

На этом этапе происходит либо хищение (сопровождаемое сжатием и шифрованием)[25], либо изменение закрытой информации, либо иные манипуляции, требующиеся злоумышленнику. За этим следует сокрытие следов и, при необходимости, оставление точек возврата в систему[26].

Способы борьбы с APT-угрозами[ | ]

Основным способом противостояния целевым атакам является недопущение их начала, поскольку активную атаку крайне сложно заметить. Среди стандартных технических средств предотвращения можно выделить сигнатурный анализ, исполнение правил для сетевых соединений, черные и белые списки приложений, а также использование межсетевых экранов и межсегментного контроля, IDS/IPS, SIEM, контент-фильтры, совместное использование файловых антивирусов и актуальной анти-спам политики для устранения угроз со стороны массовых рассылок (например, запароленных архивов с вредоносным ом). Немаловажной частью предотвращения APT-атак является обучение персонала правильной политике информационной безопасности. [7].[27]

Если атака все-таки была начата, или есть предположение о её наличии, ставится задача обнаружения и локализации. Хотя существует целый комплекс различных мер, направленных на обнаружение APT, они, зачастую, оказываются малоэффективны[28]. Среди таких мер можно выделить сервисы, предлагающие проверки системы, достаточно компетентных специалистов по безопасности, автоматизированные системы обработки событий безопасности, а также актуальные данные о существующих угрозах[29], например, Threat Data Feeds — сервис, содержащий следующую информацию[30]:

  • Набор URL-адресов, соответствующих наиболее зловредным ссылкам и Web-сайтам.
  • IP-репутация — градация IP-адресов по уровню безопасности.
  • Набор файловых хэшей, охватывающий вредоносные программы.
  • Активность ботнет-сетей.

Если подтверждается факт атаки, должны быть предприняты меры по её остановке, выясняется нанесенный ущерб.

Однако, даже если угроза была обнаружена и были приняты корректирующие меры, APT может оставаться в системе годами[11]

Примеры удачных APT-атак[ | ]

Далеко не все инциденты с APT-атаками становятся известны широкой публике, поскольку общественные заявления об одной атаке могут спровоцировать новые, а также дать преступникам возможность учесть ошибки. Однако, некоторые крупные атаки были документированы[31][32][33].

1998-2000

2007

  • Нападение на Oak Ridge National Laboratory — пример удачного использования социальной инженерии, преступники получили легальный доступ к системе через e-mail’ы, после чего, предположительно, похитили информацию из баз данных лаборатории.
  • Нападение на Los Alamos National Laboratory — один из инцидентов среди массового нападения на американские лаборатории.

2008

  • Атака на министерство обороны США. Иностранным агентам влияния удалось установить вредоносную программу в систему министерства с помощью USB-флэш накопителя. распространился на огромное число компьютеров.
  • Нападение на Office of His Holiness the Dalai Lama — преступники получили пользовательский пароль к системе, а затем в легитимном письме подменили содержимое, что бы получить удаленный доступ к системе OHHDL.

2009

  • GhostNet — самая крупная акция кибершпионажа, заражены более 1000 компьютерных сетей, в том числе правительственных, в более чем 100 странах.
  • Stuxnet — нападение некоторой организации, предположительно находящейся в Иране, на ряд компаний, с использованием червя Stuxnet, совершалось с целью перепрограммировать промышленные системы управления газопроводом и энергоустановок, для получения доступа к иранской ядерной программе.
  • Night Dragon — атака направленная против глобальных нефтяных и бензиновых компаний. Злоумышленники использовали социальную инженерию и уязвимости системы Windows, что бы получить доступ к внутренним аккаунтам и информации.
  • Operation Aurora — атака на инфраструктуру компании Google с целью похитить исходный .

2010

  • Stuxnet — продолжение.
  • Australian Resource Sector — атака на три крупные австралийские ресурсодобывающие компании: BHP Billiton, Fortescue Metals Group и Rio Tinto.
  • Атака на французское правительство — преступники получили возможность удаленно контролировать правительственные компьютеры и извлекать документы, на протяжении более чем 3 месяцев оставаясь не обнаруженными.

2011

  • Атака на французское правительство — продолжение.
  • Атака на канадское правительство — преступникам удалось подделать электронные письма сотрудникам, таким образом, будто бы они приходили от руководства. Сами письма несли вредоносное ПО, которое дало доступ преступникам к секретным данным.
  • Атака на австралийское правительство — преступники получили доступ к высшей правительственной переписке не менее чем на месяц.
  • Comodo Affiliated Root Authority — атака на центр сертификации, в результате которой в сети появились поддельные SSL сертификаты известных доменов, например mail.google.com, www.google.com, login.yahoo.com, login.skype.com, и т. д.
  • Oak Ridge National Laboratory — преступники воспользовались атакой нулевого дня для Internet Explorer, остается неизвестным, были ли похищены какие-либо данные, однако работа лаборатории была остановлена на двое суток.
  • Атака на международный валютный фонд. Потребовала написания уникального ПО, в результате чего преступники получили доступ к важной политической и экономической информации.

Известные преступные группировки[ | ]

Разработкой и планированием атак занимаются группы людей, обладающих достаточными знаниями. Чаще всего целью их нападения становятся банковские системы[34].

  • Carbanac — международная группировка, все ещё активна (2015г).
  • METEL — русская группа, активна (2015г).
  • GCMAN — русская группировка, частично нейтрилизована (2015г)
  • Blue Termit — южно-корейская группа.

См. также[ | ]

Примечания[ | ]

  1. 1 2 3 4 Kim & Kim, 2014, pp. 132.
  2. MITRE, 2014.
  3. Chen, Desmet & Huygens, 2014, pp. 2.
  4. Jeun, Lee & Won, 2012, pp. 145.
  5. 1 2 3 Krombholz, Hobel, et al., 2015, pp. 1.
  6. Lee, Lee & Park, 2014, pp. 215—220.
  7. 1 2 3 Awan, Burnap & Rana, 2015, pp. 15.
  8. Kim & Kim, 2014, pp. 132,137.
  9. SecureWorks, 2016, pp. 2.
  10. 1 2 3 4 5 6 7 Левцов, Демидов, часть 1, 2016.
  11. 1 2 Отчет об исследовании. Информационная Безопасность Бизнеса. Лаборатория Касперского (2014).
  12. Stood & Enbody, 2014, pp. 3.
  13. Jeun, Lee & Won, 2012, pp. 146.
  14. Chen, Desmet & Huygens, 2014, pp. 4.
  15. Krombholz, Hobel, et al., 2015.
  16. Jeun, Lee & Won, 2012, pp. 147—148.
  17. Krombholz, Hobel, et al., 2015, pp. 2—3.
  18. Kim & Kim, 2014, pp. 132, 134-135.
  19. Chen, Desmet & Huygens, 2014, pp. 5.
  20. Chen, Desmet & Huygens, 2014, pp. 4—5.
  21. 1 2 Kim & Kim, 2014, pp. 134.
  22. Stood & Enbody, 2014, pp. 1, 38.
  23. Chen, Desmet & Huygens, 2014, pp. 5—6.
  24. Jeun, Lee & Won, 2012, pp. 148.
  25. Chen, Desmet & Huygens, 2014, pp. 6.
  26. Stood & Enbody, 2014.
  27. Stood, A. U.S. MILITARY DEFENSE SYSTEMS: THE ANATOMY OF CYBER ESPIONAGE BY CHINESE HACKERS (англ.) // The Georgetown Journal of International Affairs. — 2014. Архивировано 4 ноября 2016 года.
  28. Chen, Desmet & Huygens, 2014, pp. 6—7.
  29. SecureWorks, 2016, pp. 5—6.
  30. Левцов, Демидов, часть 3, 2016.
  31. Stood & Enbody, 2014, pp. 1,5-6.
  32. Chen, Desmet & Huygens, 2014, pp. 7.
  33. Jeun, Lee & Won, 2012, pp. 147.
  34. Увеличивается количество APT-ограблений банков с использованием атак Metel, GCMAN и Carbanak 2.0 (рус.), Securelist - Всё об интернет-безопасности (15 февраля 2016). Дата обращения 30 октября 2016.

Литература[ | ]

Научно-технические источники
Экспертные рекомендации
Публицистика

Ссылки[ | ]